Всем привет! 👋
Вот я и решился завести свой ТГ-канал.
Нет, у меня нет своего Youtube-канала и нет, я не настолько медиен, чтобы вы легко меня смогли узнать.
Этот канал будет вестись лично мной, без копирайтеров (думаю до этого еще далеко), а каждый пост будет выражать сугубо моё мнение и позицию, которую мы с вами сможем обсудить в комментариях к этим постам.
- Буду ли я писать что-то каждый день? – Не знаю, но очень постараюсь.
- Буду ли я писать что-то регулярно? – Точно да.
- Буду ли я прислушиваться к вам и делать контент под вас? – Частично да, но здесь абсолютно точно всегда будет выражаться именно моя позиция или мнение на ту или иную тему/проблему.
Сразу скажу, что я не буду вести себя высокомерно, как какое-то божество. Ставить себя выше вас и пытаться казаться тем, кем я не являюсь. Мы с вами на равных, поэтому предлагаю общаться без понтов.
Но кто же я такой и чем этот канал будет полезен личном вам? Именно об этом мы и поговорим в следующих постах.
Вот я и решился завести свой ТГ-канал.
Нет, у меня нет своего Youtube-канала и нет, я не настолько медиен, чтобы вы легко меня смогли узнать.
Этот канал будет вестись лично мной, без копирайтеров (думаю до этого еще далеко), а каждый пост будет выражать сугубо моё мнение и позицию, которую мы с вами сможем обсудить в комментариях к этим постам.
- Буду ли я писать что-то каждый день? – Не знаю, но очень постараюсь.
- Буду ли я писать что-то регулярно? – Точно да.
- Буду ли я прислушиваться к вам и делать контент под вас? – Частично да, но здесь абсолютно точно всегда будет выражаться именно моя позиция или мнение на ту или иную тему/проблему.
Сразу скажу, что я не буду вести себя высокомерно, как какое-то божество. Ставить себя выше вас и пытаться казаться тем, кем я не являюсь. Мы с вами на равных, поэтому предлагаю общаться без понтов.
Но кто же я такой и чем этот канал будет полезен личном вам? Именно об этом мы и поговорим в следующих постах.
👍35🔥7😍4❤🔥3👏2🤝2⚡1🤯1🕊1
Продолжаем.
Сегодня я расскажу вам о том, что вы сможете найти в этом канале в будущем и чем это может быть вам полезно.
❌ Сразу скажу, что тут не будет информации про:
- хакинг-туториалы
- душные политики безопасности
- пересыл сухих новостей из других каналов
- устаревшие практики и технологии, которым учат в постсоветских ВУЗах
📣 Здесь вы сможете:
- увидеть новости о наиболее важных и интересных событиях из мира ИТ и ИБ, а также их оценку, подкрепленную мнением автора
- найти действительно полезные образовательные материалы по доменам ИБ и ИТ
- узнать лайфхаки, выведенные реальной практикой. Это касается как вопросов построения карьеры, так и работы в целом
- Понять, как расти профессионально и правильно строить карьеру с кратным увеличением своей ЗП (начиная от резюме и собесов, заканчивая саморазвитием и позиционированием в компании и на рынке)
✅ Ну а теперь про пользу. Этот канал будет тебе полезен, если ты:
- хочешь быть в курсе актуальных новостей и тенденций мира ИТ и ИБ
- адепт самообразование и жаждешь новых знаний
- только начинаешь свой карьерный путь в ИТ или ИБ
- уже успешно строишь свою карьеру
- ищешь то самое направление для развития и работы
Тут будет только качественная информация из мира АйТи и кибербеза на понятном для всех языке.
Пакет Безопасности
Сегодня я расскажу вам о том, что вы сможете найти в этом канале в будущем и чем это может быть вам полезно.
❌ Сразу скажу, что тут не будет информации про:
- хакинг-туториалы
- душные политики безопасности
- пересыл сухих новостей из других каналов
- устаревшие практики и технологии, которым учат в постсоветских ВУЗах
📣 Здесь вы сможете:
- увидеть новости о наиболее важных и интересных событиях из мира ИТ и ИБ, а также их оценку, подкрепленную мнением автора
- найти действительно полезные образовательные материалы по доменам ИБ и ИТ
- узнать лайфхаки, выведенные реальной практикой. Это касается как вопросов построения карьеры, так и работы в целом
- Понять, как расти профессионально и правильно строить карьеру с кратным увеличением своей ЗП (начиная от резюме и собесов, заканчивая саморазвитием и позиционированием в компании и на рынке)
✅ Ну а теперь про пользу. Этот канал будет тебе полезен, если ты:
- хочешь быть в курсе актуальных новостей и тенденций мира ИТ и ИБ
- адепт самообразование и жаждешь новых знаний
- только начинаешь свой карьерный путь в ИТ или ИБ
- уже успешно строишь свою карьеру
- ищешь то самое направление для развития и работы
Тут будет только качественная информация из мира АйТи и кибербеза на понятном для всех языке.
Пакет Безопасности
👍22🔥12❤5🕊2🌚2❤🔥1⚡1🤯1
🥸 Ты должен быть “кем-то”, чтобы тебя начали слушать
Итак, этот пост будет посвящен небольшому рассказу обо мне.
Сразу упомяну, что всё нижесказанное нужно не для того, чтобы потешить моё эго или вызвать похвалу и восхищение. Это нужно для того, чтобы вызвать бОльшее доверие у тех, кто будет читать все мои последующие посты и мнения.
Природа человека устроена так, что он не любит доверять и слушать людей, которые ничего в своей жизни не добились или как-то себя не проявили. Это как сходить на тренировку в качалке к фитнес-тренеру, который не следит за своей фигурой и здоровьем. Кто будет слушать советы тренера с обвисшим животом и дряхлыми бицепсами? Правильно – никто.
Так вот, кто же автор этого канала? Коротко и в тезисах:
- В ИТ и ИБ я уже более 9 лет
- Сейчас руковожу архитектурой ИБ в одном энтерпрайзе
- Записал свой обучающий курс по ИБ с одной очень крутой образовательной платформой
- Успешно менторю людей для входа как в ИТ, так и в ИБ
- Успел насмотреться на все ключевые ИТ/ИБ процессы во многих сферах, начиная от нефтянки и телекома, заканчивая лучшим ФинТехом в стране
- Иногда хожу выступать на митапы и участвую в жюри различных кибер-соревнований
Думаю, что в следующих постах я еще буду упоминать о своей биографии, когда это будет позволять определенный контекст. Ну а подробнее можно узнать обо мне тут.
Пакет Безопасности
Итак, этот пост будет посвящен небольшому рассказу обо мне.
Сразу упомяну, что всё нижесказанное нужно не для того, чтобы потешить моё эго или вызвать похвалу и восхищение. Это нужно для того, чтобы вызвать бОльшее доверие у тех, кто будет читать все мои последующие посты и мнения.
Природа человека устроена так, что он не любит доверять и слушать людей, которые ничего в своей жизни не добились или как-то себя не проявили. Это как сходить на тренировку в качалке к фитнес-тренеру, который не следит за своей фигурой и здоровьем. Кто будет слушать советы тренера с обвисшим животом и дряхлыми бицепсами? Правильно – никто.
Так вот, кто же автор этого канала? Коротко и в тезисах:
- В ИТ и ИБ я уже более 9 лет
- Сейчас руковожу архитектурой ИБ в одном энтерпрайзе
- Записал свой обучающий курс по ИБ с одной очень крутой образовательной платформой
- Успешно менторю людей для входа как в ИТ, так и в ИБ
- Успел насмотреться на все ключевые ИТ/ИБ процессы во многих сферах, начиная от нефтянки и телекома, заканчивая лучшим ФинТехом в стране
- Иногда хожу выступать на митапы и участвую в жюри различных кибер-соревнований
Думаю, что в следующих постах я еще буду упоминать о своей биографии, когда это будет позволять определенный контекст. Ну а подробнее можно узнать обо мне тут.
Пакет Безопасности
securitycult on Notion
whoami. | Notion
Привет и добро пожаловать на эту страничку 👋
👍22🔥7🕊3🥰2😍2🤓2⚡1❤🔥1❤1🤯1
❓ Как же будет выходить контент и в каком формате?
Скоро закончится вся эта вводная нудятина, осталось совсем немного.
Хочется, чтобы у новых людей, которые заходят к нам в гости, было четкое понимание того, что ждать от этого канала.
Пока у меня есть план делать контент в трёх форматах/рубриках:
- #НовостьДня – пересылка или ретрансляция какой-то одной интересной новости из мира ИТ/ИБ с моим комментарием к ней (1 раз в несколько дней или чаще)
- #Мнение – авторский текст на какую-то определенную тему с подробным ее разбором. Тема может быть как технической, так и бытовой (1 раз в несколько дней)
- #Полезное – файлы, инфографики, ссылки и любой другой контент, который может принести вам пользу или облегчить жизнь (рандомно по мере нахождения подобных материалов)
- #Кибергигиена – обзор различных методов и случаев взлома из реальной жизни (рандомно по мере нахождения подобных материалов)
По мере развития канала (да, я в это искренне верю и буду прикладывать максимум усилий) форматы будут расширяться и видоизменяться, подстраиваясь как под меня, так и под вас. Ну а вы в любой момент можете написать мне лично или в комментарии с вашими предложениями и пожеланиями.
Скоро закончится вся эта вводная нудятина, осталось совсем немного.
Хочется, чтобы у новых людей, которые заходят к нам в гости, было четкое понимание того, что ждать от этого канала.
Пока у меня есть план делать контент в трёх форматах/рубриках:
- #НовостьДня – пересылка или ретрансляция какой-то одной интересной новости из мира ИТ/ИБ с моим комментарием к ней (1 раз в несколько дней или чаще)
- #Мнение – авторский текст на какую-то определенную тему с подробным ее разбором. Тема может быть как технической, так и бытовой (1 раз в несколько дней)
- #Полезное – файлы, инфографики, ссылки и любой другой контент, который может принести вам пользу или облегчить жизнь (рандомно по мере нахождения подобных материалов)
- #Кибергигиена – обзор различных методов и случаев взлома из реальной жизни (рандомно по мере нахождения подобных материалов)
По мере развития канала (да, я в это искренне верю и буду прикладывать максимум усилий) форматы будут расширяться и видоизменяться, подстраиваясь как под меня, так и под вас. Ну а вы в любой момент можете написать мне лично или в комментарии с вашими предложениями и пожеланиями.
🔥13👍7❤🔥3👏2🤔2⚡1🤯1
🥸 Анонимность
Итак, новый день – новый пост. Пока тенденция хорошая.
Сегодня предлагаю отвлечься от душных вводных сообщений и немного поговорить об анонимности в интернетах.
Тема давно волнует и будоражит сознание всех конспирологов. Думаю, что каждый из вас уже знает о том, что такое цифровой след (если нет, то можете почитать тут и тут). Так вот, оставить его очень легко, а вот затереть за собойневозможно крайне сложно.
Благо, современные технологии в виде блокчейна позволяют частично решить проблему анонимности. Именно под этим соусом команда Telegram и подает свою новую фичу. Так как авторизация в Telegram завязана на номере мобильного телефона, это позволяет однозначно идентифицировать владельца аккаунта в случае необходимости. Само собой, есть серые номера, симки из подземных переходов и прочее, но мы говорим о рядовых пользователях.
Так вот, теперь можно приобрести за крипту “виртуальный” номер, который продаётся в виде NFT через сервис Fragment. При помощи полученного номера телефона можно уже авторизоваться вДаркнете Telegram, а сам номер будет привязан к вашему анонимному криптокошельку.
Кажется, что это нововведение содержит в себе ТОП-5 хайповых слов из 2к22, и да, это так. Маркетологам низкий поклон, но технологического чуда не произошло. Кошелёк всё также можно отследить (да, чуть сложнее, но можно), а пользователя сервиса всё также можно идентифицировать.
Ах да, за номер надо заплатить от 9 TON (примерно $17), но можно и меньше 😉
#НовостьДня
Пакет Безопасности
Итак, новый день – новый пост. Пока тенденция хорошая.
Сегодня предлагаю отвлечься от душных вводных сообщений и немного поговорить об анонимности в интернетах.
Тема давно волнует и будоражит сознание всех конспирологов. Думаю, что каждый из вас уже знает о том, что такое цифровой след (если нет, то можете почитать тут и тут). Так вот, оставить его очень легко, а вот затереть за собой
Благо, современные технологии в виде блокчейна позволяют частично решить проблему анонимности. Именно под этим соусом команда Telegram и подает свою новую фичу. Так как авторизация в Telegram завязана на номере мобильного телефона, это позволяет однозначно идентифицировать владельца аккаунта в случае необходимости. Само собой, есть серые номера, симки из подземных переходов и прочее, но мы говорим о рядовых пользователях.
Так вот, теперь можно приобрести за крипту “виртуальный” номер, который продаётся в виде NFT через сервис Fragment. При помощи полученного номера телефона можно уже авторизоваться в
Кажется, что это нововведение содержит в себе ТОП-5 хайповых слов из 2к22, и да, это так. Маркетологам низкий поклон, но технологического чуда не произошло. Кошелёк всё также можно отследить (да, чуть сложнее, но можно), а пользователя сервиса всё также можно идентифицировать.
Ах да, за номер надо заплатить от 9 TON (примерно $17), но можно и меньше 😉
#НовостьДня
Пакет Безопасности
👍19❤🔥4🔥4⚡3🤯2❤1
Навигация по вводным и полезным постам
- Интро
- О канале
- Об авторе
- Рубрики
- Подборки
- Спустя 2 года
Другие проекты
Please open Telegram to view this post
VIEW IN TELEGRAM
3❤15👍11⚡4❤🔥1👎1🤯1
👨🦳 Удобно на «ты»?
Не знаю, как вы, но лично я был воспитан таким образом, чтобы к большинству новых/незнакомых людей обращаться на “вы”, а если этот человек еще и выглядит старше меня, то тут вообще без вариантов. И это работало безотказно, пока я не устроился в современный и гибкий ФинТех, где меня научили относиться к этому проще.
Так вот, в современной IT-тусовке принято всегда заходить в любую комнату на ”ты”. Это работает как на рабочих zoom-встречах, так и на различных митапах при нетворкинге. Даже подавляющее большинство рекрутеров при первой беседе выдают ключевую фразу «Удобно сразу на ”ты”?».
Это не означает, что все друг друга ”не уважают”, это означает, что тут все на равных, вне зависимости от возраста, регалий или статуса. Да и так банально проще, не нужно тратить лишний ресурс на то, чтобы понять, на ”ты” сейчас надо обратиться или на ”вы”.
Так вот, к чему это всё. Дело в том, что порой в этот уютный и доброжелательный мир без условностей и лишних усложнений попадают люди, которые не готовы принимать условия игры. Причин может быть много, начиная с профдеформации, заканчивая настоящим высокомерием.
И когда на таких людей случайно натыкаешься, это очень сильно отталкивает. В пример приведу две свои переписки с HR из разных компаний (для контекста – я регулярно пингую разные интересные проекты на наличие актуальных вакансий, о чем расскажу в следующих постах). Думаю, тут очевидно, с кем из них приятнее было бы продолжить диалог.
А как вы относитесь к общению на ”ты”?
#Мнение
Пакет Безопасности
Не знаю, как вы, но лично я был воспитан таким образом, чтобы к большинству новых/незнакомых людей обращаться на “вы”, а если этот человек еще и выглядит старше меня, то тут вообще без вариантов. И это работало безотказно, пока я не устроился в современный и гибкий ФинТех, где меня научили относиться к этому проще.
Так вот, в современной IT-тусовке принято всегда заходить в любую комнату на ”ты”. Это работает как на рабочих zoom-встречах, так и на различных митапах при нетворкинге. Даже подавляющее большинство рекрутеров при первой беседе выдают ключевую фразу «Удобно сразу на ”ты”?».
Это не означает, что все друг друга ”не уважают”, это означает, что тут все на равных, вне зависимости от возраста, регалий или статуса. Да и так банально проще, не нужно тратить лишний ресурс на то, чтобы понять, на ”ты” сейчас надо обратиться или на ”вы”.
Так вот, к чему это всё. Дело в том, что порой в этот уютный и доброжелательный мир без условностей и лишних усложнений попадают люди, которые не готовы принимать условия игры. Причин может быть много, начиная с профдеформации, заканчивая настоящим высокомерием.
И когда на таких людей случайно натыкаешься, это очень сильно отталкивает. В пример приведу две свои переписки с HR из разных компаний (для контекста – я регулярно пингую разные интересные проекты на наличие актуальных вакансий, о чем расскажу в следующих постах). Думаю, тут очевидно, с кем из них приятнее было бы продолжить диалог.
А как вы относитесь к общению на ”ты”?
#Мнение
Пакет Безопасности
👍27❤🔥11🔥8❤5🤯3🤔2🎉2⚡1
💸 Недобросовестные владельцы криптокошельков
Тут на днях вышла очень забавная новость от ТАСС на тему того, что “В МВД внедрили цифровой сервис по выявлению недобросовестных владельцев криптокошельков”. В этой новости абсурдно всё, начиная с заголовка, заканчивая цитатами из интервью. Предлагаю немного разобраться и понять, что тут вообще происходит.
Россия уже на протяжении пары лет пытается оседлать и приручить этого неведомого криптоконя, но всё никак не получается. Оказывается, что существует некий сервис, который умеет анализировать и оценивать информацию о финансовых рисках экономики по всей стране в разных сферах – от производства до оборонки. Так вот, ребята внедрили в этот сервис новый модуль, который умеет мониторить крипто-транзакции. И об этом модуле известно только одно: "Уже имеется положительный опыт использования данного инструмента по выявлению недобросовестных владельцев криптокошельков”.
Как оно работает и работает ли вообще – загадка №1. Кто такие “недобросовестные владельцы криптокошельков” – загадка №2.
Залезть в головуНачальника МВД автора мы не можем, поэтому тут остаётся только гадать. Возможно речь идёт о тех, кто не платит налоги с оборота крипты или проводит нелегальные сделки (тема совести не раскрыта). Оставим загадку №2 нераскрытой.
А вот с первой загадкой уже можно пофантазировать. Подобными инструментами отслеживания крипто-транзакций обладают несколько компаний из мира кибербезопасности, такие как Касперский или Group IB. На самом деле, тут нет никакого Rocket science, попробую объяснить почему.
По сути нам нужен алгоритм (а лучше целая нейронка), который будет на основе всех крипто-транзакций (информация о которых открыта) группировать их по одному владельцу. Эту проблему решает задача кластеризации. За ключевые параметры можно брать как объем транзакции, так и её частоту/регулярность, а лучше всё вместе. Подобные вещи делаются быстро и легко. Помню даже, как лет 10 назад ВКонтакте делал визуализацию этой задачи, когда строил связи между друзьями и друзьями друзей, выявляя количество рукопожатий до нужного человека.
Ну а дальше нам нужно только выявить потенциально подозрительные адреса. Сделать это можно по их связям с уже засвеченными (идентифицированными) кошельками, которые принадлежат дарксторам, разработчикам вредоносного ПО и прочим.
Ну а дальше уже можно отследить владельцев подозрительных кошельков через данные с криптобирж, например. Есть и более искусные методы, связанные с идентификаторами устройств, но о них мы поговорим в другой раз.
#НовостьДня
Пакет Безопасности
Тут на днях вышла очень забавная новость от ТАСС на тему того, что “В МВД внедрили цифровой сервис по выявлению недобросовестных владельцев криптокошельков”. В этой новости абсурдно всё, начиная с заголовка, заканчивая цитатами из интервью. Предлагаю немного разобраться и понять, что тут вообще происходит.
Россия уже на протяжении пары лет пытается оседлать и приручить этого неведомого криптоконя, но всё никак не получается. Оказывается, что существует некий сервис, который умеет анализировать и оценивать информацию о финансовых рисках экономики по всей стране в разных сферах – от производства до оборонки. Так вот, ребята внедрили в этот сервис новый модуль, который умеет мониторить крипто-транзакции. И об этом модуле известно только одно: "Уже имеется положительный опыт использования данного инструмента по выявлению недобросовестных владельцев криптокошельков”.
Как оно работает и работает ли вообще – загадка №1. Кто такие “недобросовестные владельцы криптокошельков” – загадка №2.
Залезть в голову
А вот с первой загадкой уже можно пофантазировать. Подобными инструментами отслеживания крипто-транзакций обладают несколько компаний из мира кибербезопасности, такие как Касперский или Group IB. На самом деле, тут нет никакого Rocket science, попробую объяснить почему.
По сути нам нужен алгоритм (а лучше целая нейронка), который будет на основе всех крипто-транзакций (информация о которых открыта) группировать их по одному владельцу. Эту проблему решает задача кластеризации. За ключевые параметры можно брать как объем транзакции, так и её частоту/регулярность, а лучше всё вместе. Подобные вещи делаются быстро и легко. Помню даже, как лет 10 назад ВКонтакте делал визуализацию этой задачи, когда строил связи между друзьями и друзьями друзей, выявляя количество рукопожатий до нужного человека.
Ну а дальше нам нужно только выявить потенциально подозрительные адреса. Сделать это можно по их связям с уже засвеченными (идентифицированными) кошельками, которые принадлежат дарксторам, разработчикам вредоносного ПО и прочим.
Ну а дальше уже можно отследить владельцев подозрительных кошельков через данные с криптобирж, например. Есть и более искусные методы, связанные с идентификаторами устройств, но о них мы поговорим в другой раз.
#НовостьДня
Пакет Безопасности
👍14🔥4❤🔥3🤯3⚡2😱1
IT words.pdf
187.7 KB
🇺🇸 Шпаргалка по ITшным словам
Нашел тут в интернетах очень полезный сборник слов/выражений на английском по IT-тематике. На собесах точно пригодится. Из домена ИБ тоже слов достаточно.
Так что скорее пересылайте своим друзьям айтишникам и себе в сохранёнки, обязательно пригодится.
#Полезное
Пакет Безопасности
Нашел тут в интернетах очень полезный сборник слов/выражений на английском по IT-тематике. На собесах точно пригодится. Из домена ИБ тоже слов достаточно.
Так что скорее пересылайте своим друзьям айтишникам и себе в сохранёнки, обязательно пригодится.
#Полезное
Пакет Безопасности
👍13❤5❤🔥2🤓2⚡1🔥1🤯1
🔑 БезПарольность
Многие из вас наверняка устали уже записывать куда-то пароли от своих аккаунтов социальных сетей, сервисов, почт и прочего. Хранить их в облаках не безопасно, каждый раз перезаписывать их в тетрадке – не удобно, а хранить такие данные локально на своём личном устройстве – и не безопасно, и не удобно одновременно.
Уверяю вас, вы такие не одни и человечество давно уже пытается перейти в эру “учётных данных нового поколения” при помощи концепции PasswordLess.
Проблема паролей состоит в том, что они, во-первых, крайне редко меняются пользователями, а во-вторых, они могут быть осознанными и вычисляемыми.
Первую проблему не решить без автоматизации, так как нам нужно менять пароль чаще, чем то время, за которое его могут вычислить или подобрать. Тут речь не про кибергигиену, при которой пароль желательно менять каждый месяц. По мнению Google Authenticator, например, это каждые 30 секунд для комбинации из 6-ти цифр.
Вторая проблема состоит в том, что пароли можно вычислить. Вычисляется пароль разными способами, например, перебором, социальной инженерией (пользователь сам его выдаст в том или ином виде) или разведкой (на основе данных о пользователе, таких как имя собаки, дата рождения или название любимой спортивной команды). Более того, люди любят использовать один и тот же пароль сразу для нескольких сервисов, поэтому, если ваш пароль хоть раз засветился в слитых базах в одном месте, будьте уверены, его будут пробовать подставлять и во все остальные распространённые сервисы.
Кажется, что с этими проблемами может помочь удалённый централизованный сервис, который и будут генерировать и хранить в себе пароли от разных сайтов, приложений и прочего. Но это не совсем так, поскольку у нас появляется единая точка отказа в виде этого сервиса. Чем это грозит – думаю очевидно. Например, LastPass уже второй раз за последнее время подвергся успешной кибератак с последующим сливам данных.
Правильнее будет разнести генерацию ключей, паролей и токенов между этим централизованным сервисом и тем устройством, через которое и происходит авторизация/аутентификация. И сделать это так, чтобы ни на одном из них не хранилась информация, достаточная для полного подбора/взлома/вычисления пароля.
В уходе от паролей заинтересованы не только пользователи, но и ключевые игроки рынка IT. Именно поэтому большие ребята решили объединиться, из чего родился passkey. Очень хочется надеяться, что эта инициатива продолжить жить и развиваться, а мы скоро забудем о проблемах хранения паролей в блокнотах.
#Мнение
Пакет Безопасности
Многие из вас наверняка устали уже записывать куда-то пароли от своих аккаунтов социальных сетей, сервисов, почт и прочего. Хранить их в облаках не безопасно, каждый раз перезаписывать их в тетрадке – не удобно, а хранить такие данные локально на своём личном устройстве – и не безопасно, и не удобно одновременно.
Уверяю вас, вы такие не одни и человечество давно уже пытается перейти в эру “учётных данных нового поколения” при помощи концепции PasswordLess.
Проблема паролей состоит в том, что они, во-первых, крайне редко меняются пользователями, а во-вторых, они могут быть осознанными и вычисляемыми.
Первую проблему не решить без автоматизации, так как нам нужно менять пароль чаще, чем то время, за которое его могут вычислить или подобрать. Тут речь не про кибергигиену, при которой пароль желательно менять каждый месяц. По мнению Google Authenticator, например, это каждые 30 секунд для комбинации из 6-ти цифр.
Вторая проблема состоит в том, что пароли можно вычислить. Вычисляется пароль разными способами, например, перебором, социальной инженерией (пользователь сам его выдаст в том или ином виде) или разведкой (на основе данных о пользователе, таких как имя собаки, дата рождения или название любимой спортивной команды). Более того, люди любят использовать один и тот же пароль сразу для нескольких сервисов, поэтому, если ваш пароль хоть раз засветился в слитых базах в одном месте, будьте уверены, его будут пробовать подставлять и во все остальные распространённые сервисы.
Кажется, что с этими проблемами может помочь удалённый централизованный сервис, который и будут генерировать и хранить в себе пароли от разных сайтов, приложений и прочего. Но это не совсем так, поскольку у нас появляется единая точка отказа в виде этого сервиса. Чем это грозит – думаю очевидно. Например, LastPass уже второй раз за последнее время подвергся успешной кибератак с последующим сливам данных.
Правильнее будет разнести генерацию ключей, паролей и токенов между этим централизованным сервисом и тем устройством, через которое и происходит авторизация/аутентификация. И сделать это так, чтобы ни на одном из них не хранилась информация, достаточная для полного подбора/взлома/вычисления пароля.
В уходе от паролей заинтересованы не только пользователи, но и ключевые игроки рынка IT. Именно поэтому большие ребята решили объединиться, из чего родился passkey. Очень хочется надеяться, что эта инициатива продолжить жить и развиваться, а мы скоро забудем о проблемах хранения паролей в блокнотах.
#Мнение
Пакет Безопасности
👍14❤🔥5🔥3❤2⚡1😁1🤯1
🏆 Итоги года
Настало время немного поговорить о рабочем кибербезе.
2к22 год наконец-то подходит к концу, а это значит, что пора подводить итоги.
У кибербезопасников, как и всегда, итоги свои. Поэтому держите ТОП-10 эксплуатируемых уязвимостей в 2022 году по версии Cyber Threat Intelligence:
1. Follina (CVE-2022-30190)
2. Log4Shell (CVE-2021-44228)
3. Spring4Shell (CVE-2022-22965)
4. F5 BIG-IP (CVE-2022-1388)
5. Google Chrome zero-day (CVE-2022-0609)
6. Old but not forgotten - Microsoft Office bug (CVE-2017-11882)
7. ProxyNotShell (CVE-2022-41082, CVE-2022-41040)
8. Zimbra Collaboration Suite bugs (CVE-2022-27925, CVE-2022-41352)
9. Atlassian Confluence RCE flaw (CVE-2022-26134)
10. Zyxel RCE vulnerability (CVE-2022-30525)
Будьте осторожны, берегите себя и ваши сервисы.
P.S. Ниже есть пикча с наглядными иконками
#Полезное
Пакет Безопасности
Настало время немного поговорить о рабочем кибербезе.
2к22 год наконец-то подходит к концу, а это значит, что пора подводить итоги.
У кибербезопасников, как и всегда, итоги свои. Поэтому держите ТОП-10 эксплуатируемых уязвимостей в 2022 году по версии Cyber Threat Intelligence:
1. Follina (CVE-2022-30190)
2. Log4Shell (CVE-2021-44228)
3. Spring4Shell (CVE-2022-22965)
4. F5 BIG-IP (CVE-2022-1388)
5. Google Chrome zero-day (CVE-2022-0609)
6. Old but not forgotten - Microsoft Office bug (CVE-2017-11882)
7. ProxyNotShell (CVE-2022-41082, CVE-2022-41040)
8. Zimbra Collaboration Suite bugs (CVE-2022-27925, CVE-2022-41352)
9. Atlassian Confluence RCE flaw (CVE-2022-26134)
10. Zyxel RCE vulnerability (CVE-2022-30525)
Будьте осторожны, берегите себя и ваши сервисы.
P.S. Ниже есть пикча с наглядными иконками
#Полезное
Пакет Безопасности
👍10❤🔥4🔥3⚡2🤓2🤯1
🥇🥈 Здоровая конкуренция
VK окончательно похоронил свой поисковик в виде mail.ru. Теперь он полноценно использует поисковые алгоритмы Яндекса (почитать можно тут). Кажется, что в этой новости нет ничего такого, ведь никто уже давно не вспоминал и не пользовался поисковиком от Мэйла. В целом – да. Но лично меня начинают тревожить последние перестройки и сделки между крупнейшими IT-гигантами российского сегмента.
Думаю, что для всех очевидно, что VK уже давно подконтрольна всем необходимым ведомствам. А после отделения Яндекса от глобального бизнеса и прихода в топ-менеджмент Алексея Кудрина (бывший глава Счетной палаты), тотальный контроль сверху может накрыть и Яндекс. И проблема даже не столько в контроле, сколько в том, что вероятность слияния этих двух двигателей отечественного IT-прогресса, с каждым днём становится всё выше.
На протяжении последнего года Яндекс и VK и так уже пожанглировали достаточным количеством сервисов и дочерних компаний, убивая конкуренцию в сегменте доставки еды и продуктов. Но, если произойдет полноценное поглощение или слияние этих двух компаний, то кажется, что это может очень сильно ударить молотом стагнации по айтишке в России. Ведь не будет конкуренции, азарта, не будет борьбы за пользователя, но будет тотальный контроль и цензура сверху.
#НовостьДня
Пакет Безопасности
VK окончательно похоронил свой поисковик в виде mail.ru. Теперь он полноценно использует поисковые алгоритмы Яндекса (почитать можно тут). Кажется, что в этой новости нет ничего такого, ведь никто уже давно не вспоминал и не пользовался поисковиком от Мэйла. В целом – да. Но лично меня начинают тревожить последние перестройки и сделки между крупнейшими IT-гигантами российского сегмента.
Думаю, что для всех очевидно, что VK уже давно подконтрольна всем необходимым ведомствам. А после отделения Яндекса от глобального бизнеса и прихода в топ-менеджмент Алексея Кудрина (бывший глава Счетной палаты), тотальный контроль сверху может накрыть и Яндекс. И проблема даже не столько в контроле, сколько в том, что вероятность слияния этих двух двигателей отечественного IT-прогресса, с каждым днём становится всё выше.
На протяжении последнего года Яндекс и VK и так уже пожанглировали достаточным количеством сервисов и дочерних компаний, убивая конкуренцию в сегменте доставки еды и продуктов. Но, если произойдет полноценное поглощение или слияние этих двух компаний, то кажется, что это может очень сильно ударить молотом стагнации по айтишке в России. Ведь не будет конкуренции, азарта, не будет борьбы за пользователя, но будет тотальный контроль и цензура сверху.
#НовостьДня
Пакет Безопасности
👍10🤔6❤🔥3⚡1🤯1🥴1🌚1🤓1
🐠 Фишинговый квест
Пока рыночная стоимость криптовалюты команды Telegram – TON растет, как на дрожжах, а о сервисе fragment.com узнают всё больше людей, наши любимые злоумышленники не сидят на месте и придумывают новые способы угнать ваш крипто-кошелёк или аккаунт в телеграме. Напомню, сервис предоставляет опции по продаже и покупке никнеймов в мессенджере и виртуальных номеров для авторизации в нём же.
Думаю, что никого из вас не нужно учить бережно относиться к своей кибергигиене и перепроверять сервисы, которыми вы пользуетесь. Тем более, те сервисы, которые просят получить доступ к вашим кошелькам, социальным сетям и прочим личным данным. К сожалению, фишинг всё еще остаётся одним из самых популярных и простых способов кражи данных пользователей.
Так вот, на этот раз речь пойдёт о сайте с доменом fragment.quest. На первый взгляд он ничем не отличается от оригинального fragment.com, особенно если не пытаться тыкать на все кнопки (большинство из них просто не работает). Сайт нацелен сугубо на то, чтобы угнать ваш кошелёк TON. Вот только, в отличие от оригинального сайта, он не выдаёт вам QR-код для авторизации в приложении, а сразу запрашивает секретную фразу от кошелька.
Что произойдет, если эту фразу ввести, думаю, очевидно. Ах да, этот сайт запросит такую же фразу даже в том случае, если вы нажмете на кнопку “Connect Telegram”. Информации о том, сколько эти ребята уже угнали кошельков и заработали денег, у меня нет. Но то, что кто-то уже попался на этот трюк, можно понять по множеству гневных сообщений в тематических Дискорд-форумах.
Будьте осторожны и внимательны, вы же у меня умные.
А при возникновении каких-то сомнений или вопросов – пишите, не стесняйтесь.
#Кибергигиена
Пакет Безопасности
Пока рыночная стоимость криптовалюты команды Telegram – TON растет, как на дрожжах, а о сервисе fragment.com узнают всё больше людей, наши любимые злоумышленники не сидят на месте и придумывают новые способы угнать ваш крипто-кошелёк или аккаунт в телеграме. Напомню, сервис предоставляет опции по продаже и покупке никнеймов в мессенджере и виртуальных номеров для авторизации в нём же.
Думаю, что никого из вас не нужно учить бережно относиться к своей кибергигиене и перепроверять сервисы, которыми вы пользуетесь. Тем более, те сервисы, которые просят получить доступ к вашим кошелькам, социальным сетям и прочим личным данным. К сожалению, фишинг всё еще остаётся одним из самых популярных и простых способов кражи данных пользователей.
Так вот, на этот раз речь пойдёт о сайте с доменом fragment.quest. На первый взгляд он ничем не отличается от оригинального fragment.com, особенно если не пытаться тыкать на все кнопки (большинство из них просто не работает). Сайт нацелен сугубо на то, чтобы угнать ваш кошелёк TON. Вот только, в отличие от оригинального сайта, он не выдаёт вам QR-код для авторизации в приложении, а сразу запрашивает секретную фразу от кошелька.
Что произойдет, если эту фразу ввести, думаю, очевидно. Ах да, этот сайт запросит такую же фразу даже в том случае, если вы нажмете на кнопку “Connect Telegram”. Информации о том, сколько эти ребята уже угнали кошельков и заработали денег, у меня нет. Но то, что кто-то уже попался на этот трюк, можно понять по множеству гневных сообщений в тематических Дискорд-форумах.
Будьте осторожны и внимательны, вы же у меня умные.
А при возникновении каких-то сомнений или вопросов – пишите, не стесняйтесь.
#Кибергигиена
Пакет Безопасности
👍10❤🔥4🔥3🤯1🤣1
🫡 Контроля много не бывает
Только все начали забывать о введении Пакета Яровой, как ребята из РКН решили показать новую систему контроля интернетов.
Небольшой оффтоп о том самом законе Яровой, который был опубликован аж в 2018 году. По его задумке компании обязаны хранить переписку, телефонные звонки и исходящий трафик всех российских пользователей, а также предоставлять эти данные по запросу спецслужб. Были даже разработаны специальные средства для сбора и хранения всей этой информации. Но, к сожалению или к счастью, нормальноразгребать сортировать и фильтровать всю эту БигДату никто так и не научился. Поэтому, до сих пор все данные пользователей сваливаются в одну кучу и хранятся в хаотическом порядке.
Так вот, перейдем к самой новости. На днях была анонсирована система мониторинга маршрутов трафика, которая «позволит контролировать передачу данных между всеми операторами и провайдерами связи и отслеживать тех, кто не исполняет требования ведомства». Бюджет на это дело заложен приличный – 1,2 млрд ₽.
Помимо приближениячебурнета суверенного рунета, это может принести и пользу, если новая система мониторинга научится правильно обрабатывать собираемую информацию. Ведь это может помочь вовремя распознавать и блокировать кибератаки, которые в последнее время накрыли весь РФ сектор.
#НовостьДня
Пакет Безопасности
Только все начали забывать о введении Пакета Яровой, как ребята из РКН решили показать новую систему контроля интернетов.
Небольшой оффтоп о том самом законе Яровой, который был опубликован аж в 2018 году. По его задумке компании обязаны хранить переписку, телефонные звонки и исходящий трафик всех российских пользователей, а также предоставлять эти данные по запросу спецслужб. Были даже разработаны специальные средства для сбора и хранения всей этой информации. Но, к сожалению или к счастью, нормально
Так вот, перейдем к самой новости. На днях была анонсирована система мониторинга маршрутов трафика, которая «позволит контролировать передачу данных между всеми операторами и провайдерами связи и отслеживать тех, кто не исполняет требования ведомства». Бюджет на это дело заложен приличный – 1,2 млрд ₽.
Помимо приближения
#НовостьДня
Пакет Безопасности
👍5❤4❤🔥3🤔3🤯2⚡1🤬1