Кибербезопасные нейросети
Криптоновости мы с вами обсудили в одном из прошлых постов, поэтому настало время обсудить более хайповую тему – ИИ. Само собой, сковзь призму кибербеза. Снова по верхам и с полезными ссылками. Ну, поехали.
Во-первых, OpenAI запустили свою баг-баунти программу для ChatGPT. Максимальная сумма вознаграждения пока составляет 20 000 долларов. Похвально, что ребята задумались о таком зрелом процессе на столь ранней стадии развития продукта. Надеюсь, что они успели проработать систему защиты информации и не захлебнутся в выплатах баг-хантерам.
Во-вторых, ребята из Каспера (да, опять) выкатили статью на хабре, посвященную практикам применения нейросетей в мире кибербеза. Многие из пунктов мы с вами обсуждали раньше (например, тут), но почитать всё равно будет интересно.
В-третьих, Microsoft тут заявил, что скоро всем покажет новый инструмент анализа безопасности, который будет работать на ИИ под капотом. Я бы посмотрел на такое решение в бою. Кажется, что эта штука может сэкономить немало времени кибербезопасников.
Если вам понравился такой формат небольших дайджестов по разным тематикам, то пишите. Буду рад увидеть ваши реакции или комментарии под постом.
#НовостьДня
Твой Пакет Безопасности
Криптоновости мы с вами обсудили в одном из прошлых постов, поэтому настало время обсудить более хайповую тему – ИИ. Само собой, сковзь призму кибербеза. Снова по верхам и с полезными ссылками. Ну, поехали.
Во-первых, OpenAI запустили свою баг-баунти программу для ChatGPT. Максимальная сумма вознаграждения пока составляет 20 000 долларов. Похвально, что ребята задумались о таком зрелом процессе на столь ранней стадии развития продукта. Надеюсь, что они успели проработать систему защиты информации и не захлебнутся в выплатах баг-хантерам.
Во-вторых, ребята из Каспера (да, опять) выкатили статью на хабре, посвященную практикам применения нейросетей в мире кибербеза. Многие из пунктов мы с вами обсуждали раньше (например, тут), но почитать всё равно будет интересно.
В-третьих, Microsoft тут заявил, что скоро всем покажет новый инструмент анализа безопасности, который будет работать на ИИ под капотом. Я бы посмотрел на такое решение в бою. Кажется, что эта штука может сэкономить немало времени кибербезопасников.
Если вам понравился такой формат небольших дайджестов по разным тематикам, то пишите. Буду рад увидеть ваши реакции или комментарии под постом.
#НовостьДня
Твой Пакет Безопасности
🔥24❤🔥5⚡3👍3❤2👏1
Всем утечкам утечка
Вообще, сегодня вечером вас ждал спокойный дайджест из новой рубрики. Но из-за кое-каких инсайдов он переносится на завтра, не обессудьте.
Ну а теперь к делу. Судя по всему, была взломана одна из самых зрелых и развитых ИБ-компаний в нашей стране – BI.ZONE. Если верить тому, что пока не было опубликовано в СМИ, то на взлом было потрачено всего 2 дня, а среди утечек уже можно разобрать намеки на репозитории, ключи шифрования, данные с почтового сервера и, что самое неприятное – данные клиентов компании.
Напомню, что организация занимается аудитом ИБ других компаний и их продуктов, управлением цифровыми рисками, заказным пентестом и т.д. Если в результате взлома была слита информация об уязвимостях ИБ других компаний и сервисов – это будет реально громкое дело. Ну а мы пока ждем официальной коммуникации и огласки этого события в СМИ.
#НовостьДня
Твой Пакет Безопасности
Вообще, сегодня вечером вас ждал спокойный дайджест из новой рубрики. Но из-за кое-каких инсайдов он переносится на завтра, не обессудьте.
Ну а теперь к делу. Судя по всему, была взломана одна из самых зрелых и развитых ИБ-компаний в нашей стране – BI.ZONE. Если верить тому, что пока не было опубликовано в СМИ, то на взлом было потрачено всего 2 дня, а среди утечек уже можно разобрать намеки на репозитории, ключи шифрования, данные с почтового сервера и, что самое неприятное – данные клиентов компании.
Напомню, что организация занимается аудитом ИБ других компаний и их продуктов, управлением цифровыми рисками, заказным пентестом и т.д. Если в результате взлома была слита информация об уязвимостях ИБ других компаний и сервисов – это будет реально громкое дело. Ну а мы пока ждем официальной коммуникации и огласки этого события в СМИ.
#НовостьДня
Твой Пакет Безопасности
⚡13🤯13👍5😁4❤3🔥3😢3
Всем привет!
Я решил ввести новую традицию в канале – небольшие воскресные дайджесты того, что мы успели обсудить за неделю в этом канале (само собой, с удобными ссылками на посты). Ну и если буду находить что-то интересное, что мы не успели охватить – буду также упоминать.
Ну, погнали. Вот, что было интересного на прошедшей неделе:
⚡ VirusTotal выкатил браузерное расширение для проверки ссылок и файлов – ссылка
⚡ Децентрализация дошла и до VPN-сервисов – ссылка
⚡ Обсудили, как уберечь свой криптокошелек от злоумышленников и какие есть риски при получении зарплаты в крипте – ссылка
⚡ Полезная, функциональная и красивая схема для DevSecOps-ов – ссылка
⚡ Криптовалютный взлом одного популярного кошелька – ссылка
⚡ Свежие киберновости из мира нейросетей – ссылка
Я решил ввести новую традицию в канале – небольшие воскресные дайджесты того, что мы успели обсудить за неделю в этом канале (само собой, с удобными ссылками на посты). Ну и если буду находить что-то интересное, что мы не успели охватить – буду также упоминать.
Ну, погнали. Вот, что было интересного на прошедшей неделе:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍32🔥8⚡3❤3❤🔥2
Нейросетевой Робин Гуд
Тут один энтузиаст опубликовал на GitHub уязвимость, которая позволяет бесплатно и без ограничений (ну почти ) пользоваться ChatGPT, причем любой из доступных моделей – и GPT-3.5, и GPT-4.
Этот исследователь смог зареверсить API популярного чат-бота от OpenAI и найти лазейку в интеграциях с сервисами WriteSonic и You.com. По сути, их интеграциями и будут пользоваться те, кто решит повторить эксперимент энтузиаста.
Нюанс в том, что API ChatGPT платное, и за все ваши запросы будут разоряться сервисы, указанные выше. Судя по всему, уязвимость всё еще не закрыта, и её можно спокойно эксплуатировать (само собой, сугубо в образовательных целях ). Думаю, что скоро эту лавочку прикроют, причем не сама OpenAI, а те компании, которые прямо сейчас теряют свои деньги.
#НовостьДня
Твой Пакет Безопасности
Тут один энтузиаст опубликовал на GitHub уязвимость, которая позволяет бесплатно и без ограничений (
Этот исследователь смог зареверсить API популярного чат-бота от OpenAI и найти лазейку в интеграциях с сервисами WriteSonic и You.com. По сути, их интеграциями и будут пользоваться те, кто решит повторить эксперимент энтузиаста.
Нюанс в том, что API ChatGPT платное, и за все ваши запросы будут разоряться сервисы, указанные выше. Судя по всему, уязвимость всё еще не закрыта, и её можно спокойно эксплуатировать (
#НовостьДня
Твой Пакет Безопасности
❤22😁11🥰3⚡2🔥2
Вредоносный рынок
Похоже, что в ближайших версиях iOS всё-таки появится возможность скачивания приложений в обход AppStore. Лично я всё еще вижу в этом скорее минусы, чем плюсы, так как это очень сильно расширяет поверхность для заражения наших устройств. Но сегодня не об этом. А о том, каким может стать будущее яблочного магазина приложений.
Я тут наткнулся на исследование от ребят из всем известной лаборатории (честно, не реклама) о рынке инфицированных приложений под Google Play. Да, в дарксторах и на форумах иногда попадаются специальные разделы, посвященные зараженным приложениям для платформы Android (мы с вами уже затрагивали эту тему в одном из прошлых постов).
Там вы можете купить как уже готовое решение, так и заказать нечто, сделанное специально под ваш запрос. Но сложность даже не в этом, а в том, чтобы правильно встроить вредоносное ПО в сам маркетплейс от Гугла. Для этого нужен свежий аккаунт разработчика, чистое приложение для первой загрузки, правильное его обновление с добавлением вредоносного кода и т.д.
В общем, пока мы, без задней мысли, скачиваем на свои смартфоны СБОЛы и прочие копии банковских клиентов, где-то там расцветает целая индустрия.
#Мнение
Твой Пакет Безопасности
Похоже, что в ближайших версиях iOS всё-таки появится возможность скачивания приложений в обход AppStore. Лично я всё еще вижу в этом скорее минусы, чем плюсы, так как это очень сильно расширяет поверхность для заражения наших устройств. Но сегодня не об этом. А о том, каким может стать будущее яблочного магазина приложений.
Я тут наткнулся на исследование от ребят из всем известной лаборатории (честно, не реклама) о рынке инфицированных приложений под Google Play. Да, в дарксторах и на форумах иногда попадаются специальные разделы, посвященные зараженным приложениям для платформы Android (мы с вами уже затрагивали эту тему в одном из прошлых постов).
Там вы можете купить как уже готовое решение, так и заказать нечто, сделанное специально под ваш запрос. Но сложность даже не в этом, а в том, чтобы правильно встроить вредоносное ПО в сам маркетплейс от Гугла. Для этого нужен свежий аккаунт разработчика, чистое приложение для первой загрузки, правильное его обновление с добавлением вредоносного кода и т.д.
В общем, пока мы, без задней мысли, скачиваем на свои смартфоны СБОЛы и прочие копии банковских клиентов, где-то там расцветает целая индустрия.
#Мнение
Твой Пакет Безопасности
👍11🔥3⚡2
Даёшь OSINT в люди
Я тут заметил, что Яндекс выкатил новую функцию в своём поисковике – публичный профиль. Правильно, хватит терпеть кибератаки и сливы данных клиентов, пусть пользователи сами сливают свои данные.
Если я всё правильно понял, то можно подать заявку на участие в бета-тестировании вот тут, и вам дадут возможность заполнить подробную информацию о вас, чтобы она выводилась красивой карточкой при поиске по вашему имени и фамилии.
Во-первых, нужно понимать, что заполняя такую заявку, вы даёте добровольное согласие на то, что доступ к вашим ПДн получит практический любой житель нашей страны (и не только).
Во-вторых, не очень понятно, что будет происходить, когда соберется достаточное количество пользователей, и ФИО начнут дублироваться – прямо вижу, как уставшие сотрудники службы безопасности зеленого банка скроллят длинные списки "своих клиентов" в поисках индивидуального подхода каждому из них.
В-третьих, такой инструмент можно было бы использовать для того, чтобы исказить свой цифровой портрет. Но, скорее всего, это будет бесполезно с учетом предыдущего пункта.
В общем, фича интересная, а для медийных личностей (и тех, кто хочет таковыми стать) еще и полезная. Но на финальную реализацию я бы еще посмотрел.
#Мнение
Твой Пакет Безопасности
Я тут заметил, что Яндекс выкатил новую функцию в своём поисковике – публичный профиль. Правильно, хватит терпеть кибератаки и сливы данных клиентов, пусть пользователи сами сливают свои данные.
Если я всё правильно понял, то можно подать заявку на участие в бета-тестировании вот тут, и вам дадут возможность заполнить подробную информацию о вас, чтобы она выводилась красивой карточкой при поиске по вашему имени и фамилии.
Во-первых, нужно понимать, что заполняя такую заявку, вы даёте добровольное согласие на то, что доступ к вашим ПДн получит практический любой житель нашей страны (и не только).
Во-вторых, не очень понятно, что будет происходить, когда соберется достаточное количество пользователей, и ФИО начнут дублироваться – прямо вижу, как уставшие сотрудники службы безопасности зеленого банка скроллят длинные списки "своих клиентов" в поисках индивидуального подхода каждому из них.
В-третьих, такой инструмент можно было бы использовать для того, чтобы исказить свой цифровой портрет. Но, скорее всего, это будет бесполезно с учетом предыдущего пункта.
В общем, фича интересная, а для медийных личностей (и тех, кто хочет таковыми стать) еще и полезная. Но на финальную реализацию я бы еще посмотрел.
#Мнение
Твой Пакет Безопасности
😁13👍5❤🔥3⚡3❤1👎1
Начинаем утреннюю зарядку
ФБР тут решили напомнить всем (само собой, через Твиттер) о том, что пользоваться бесплатными и незнакомыми зарядными устройствами – опасно. Ну а я подумал, что это отличный повод затронуть эту тему. Лично для меня это уровень заклеивания всех камер и микрофонов на своем смартфоне (хоть я и ношу с собой зарядку ), но риски тут действительно есть и, возможно, даже бОльшие, чем в случае с камерами.
Называется это Juice Jacking и суть его в том, что ваше устройство взламывается при подключении к нему специального (якобы зарядного ) кабеля. Более того, вы даже сами можете такой кабель купить (и даже не в даркнете).
Обычно такие продвинутые зарядные устройства обладают похожим набором возможностей – запись экран и регистрация нажатий на него, передача всех собранных данных по беспроводной сети, удаленный доступ к вашему устройству. Само собой, в случае с техникой Apple, у вас будет дополнительный барьер защиты в виде всплывающего окна, где вам нужно решить, доверять этому аксессуару или нет. Но все мы понимаем, что обычно люди просто машинально нажимают на рандомную кнопку.
По итогу, пока вы заряжаете своё устройство, злоумышленником может быть получен доступ ко всем вашим банковским приложениям, кошелькам, заметкам и социальным сетям. Это может быть как целевой атакой, так и простой охотой на живца.
В общем, ребята из Бюро абсолютно правы и использование общественных зарядок я бы смело приравнивал к использованию публичных и открытых wifi-сетей. Так что носим с собой свои провода и пауэрбанки, свой роутер и наш блокнот с паролями.
#Кибергигиена
Твой Пакет Безопасности
ФБР тут решили напомнить всем (само собой, через Твиттер) о том, что пользоваться бесплатными и незнакомыми зарядными устройствами – опасно. Ну а я подумал, что это отличный повод затронуть эту тему. Лично для меня это уровень заклеивания всех камер и микрофонов на своем смартфоне (
Называется это Juice Jacking и суть его в том, что ваше устройство взламывается при подключении к нему специального (
Обычно такие продвинутые зарядные устройства обладают похожим набором возможностей – запись экран и регистрация нажатий на него, передача всех собранных данных по беспроводной сети, удаленный доступ к вашему устройству. Само собой, в случае с техникой Apple, у вас будет дополнительный барьер защиты в виде всплывающего окна, где вам нужно решить, доверять этому аксессуару или нет. Но все мы понимаем, что обычно люди просто машинально нажимают на рандомную кнопку.
По итогу, пока вы заряжаете своё устройство, злоумышленником может быть получен доступ ко всем вашим банковским приложениям, кошелькам, заметкам и социальным сетям. Это может быть как целевой атакой, так и простой охотой на живца.
В общем, ребята из Бюро абсолютно правы и использование общественных зарядок я бы смело приравнивал к использованию публичных и открытых wifi-сетей. Так что носим с собой свои провода и пауэрбанки, свой роутер и наш блокнот с паролями.
#Кибергигиена
Твой Пакет Безопасности
👍39😁5🌚4❤🔥3🕊1
Вредоносный кикшеринг
Те из вас, кто уже успел воспользоваться благами эволюции в виде поминутной аренды самокатов, наверное знают, что один из способов арендовать устройство – отсканировать QR-код на его руле или корпусе.
Так вот, фишеры добрались и до фанов самокатопроката. Они просто начали приклеивать свои QR-коды, ведущие на поддельные сайты (очень похожие на официальные). Всё, что могут предпринять владельцы сервисов краткосрочной аренды – рекомендовать сканировать коды только через фирменные приложения. При этом, им самим нужно озаботиться тем, чтобы сканировались только их КуАры, а вредоносные – отбраковывались (вроде как, это уже сделано).
Фишинг через вредоносные QR – не ноу-хау. Его давно применяют, размещая изображения кодов на асфальтах, стенах домов, в кафе (с закосом под меню или подключение к wi-fi) и в прочих людных местах.
Так что будьте аккуратнее и лучше лишний раз задумайтесь, прежде чем сканировать незнакомый QR.
#НовостьДня
Твой Пакет Безопасности
Те из вас, кто уже успел воспользоваться благами эволюции в виде поминутной аренды самокатов, наверное знают, что один из способов арендовать устройство – отсканировать QR-код на его руле или корпусе.
Так вот, фишеры добрались и до фанов самокатопроката. Они просто начали приклеивать свои QR-коды, ведущие на поддельные сайты (очень похожие на официальные). Всё, что могут предпринять владельцы сервисов краткосрочной аренды – рекомендовать сканировать коды только через фирменные приложения. При этом, им самим нужно озаботиться тем, чтобы сканировались только их КуАры, а вредоносные – отбраковывались (вроде как, это уже сделано).
Фишинг через вредоносные QR – не ноу-хау. Его давно применяют, размещая изображения кодов на асфальтах, стенах домов, в кафе (с закосом под меню или подключение к wi-fi) и в прочих людных местах.
Так что будьте аккуратнее и лучше лишний раз задумайтесь, прежде чем сканировать незнакомый QR.
#НовостьДня
Твой Пакет Безопасности
🤔12🔥6👍4⚡3😁3🥴2👎1
Идеальный баланс
Ребята из Касперского тут выкатили забавный онлайн-сервис – Privacy Checker. Понятное дело, что он является частью маркетинга платных продуктов компании, но, это не делает его хуже. Там есть действительно полезные и не самые очевидные советы.
Вы можете натыкать в конструкторе то устройство и софт, в котором хотите подкрутить настройки безопасности, а сервис вам подскажет, на что обратить внимание, в какие меню нужно зайти, что выключить и так далее. Здесь даже можно выбрать уровеньпаранойи баланса между безопасностью и удобством.
В общем, можете зайти, потыкать и проверить, всё ли лишнее вы отключили, когда настраивали свой браузер или мессенджер. Думаю, что старшему поколению тоже будет полезно поиграться в этом конфигураторе, чтобы не нахвататься лишнего в интернетах. Так что рассылайте всем родным и близким.
#Кибергигиена
Твой Пакет Безопасности
Ребята из Касперского тут выкатили забавный онлайн-сервис – Privacy Checker. Понятное дело, что он является частью маркетинга платных продуктов компании, но, это не делает его хуже. Там есть действительно полезные и не самые очевидные советы.
Вы можете натыкать в конструкторе то устройство и софт, в котором хотите подкрутить настройки безопасности, а сервис вам подскажет, на что обратить внимание, в какие меню нужно зайти, что выключить и так далее. Здесь даже можно выбрать уровень
В общем, можете зайти, потыкать и проверить, всё ли лишнее вы отключили, когда настраивали свой браузер или мессенджер. Думаю, что старшему поколению тоже будет полезно поиграться в этом конфигураторе, чтобы не нахвататься лишнего в интернетах. Так что рассылайте всем родным и близким.
#Кибергигиена
Твой Пакет Безопасности
👍25🔥8⚡6😁2
Праздники такие праздники
Ну вот и прошла очередная неделя, а я снова проворонил воскресенье со своим новым дайджестом. Исправляюсь, так что смотрите, сколько всего интересного было в канале за прошедшую неделю:
⚡ Как пользоваться ChatGPT бесплатно, благодаря найденной уязвимости – ссылка
⚡ Исследование на тему зараженности Google Play вредоносными приложениями и черного рынка по их производству – ссылка
⚡ Яндекс выкатил функцию, благодаря которой теперь любой желающий может заняться OSINTом – ссылка
⚡ Почему нельзя пользоваться общедоступными зарядными устройствами и чем это чревато – ссылка
⚡ Небезопасный кикшеринг или как подвезти своего друга на электро-самокате и не заразиться – ссылка
⚡ Бесплатный сервис от Каспера для повышение уровня кибергигиены своих устройств – ссылка
#КиберДайджест
Твой Пакет Безопасности
Ну вот и прошла очередная неделя, а я снова проворонил воскресенье со своим новым дайджестом. Исправляюсь, так что смотрите, сколько всего интересного было в канале за прошедшую неделю:
#КиберДайджест
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤4⚡3❤🔥1🥴1
Забыли про утечки?
Напоминаю, что за 2022 год были слиты данные еще не всех граждан нашей страны, поэтому стремиться еще есть к чему. Так что поехали.
Начнем с того, что были слиты данные пользователей Альфа Страхования. Для тех, кто не знает – это практически монополист на рынке РФ в сфере страхования. Если вы где-то оформляете страховку, то, скорее всего, это просто прокладка между вами и Альфой. Так вот, их вскрыли и слили. В сеть сразу были выложены уникальные данные порядка миллиона клиентов, включая их телефоны, почты, ФИО, хэши паролей и т.д. Сами NLB (хакерская группировка, которая и опубликовала данные) утверждают, что они получили данные 14 млн клиентов компании, но пока они не были опубликованы. Так что, либо они блефуют, либо Альфа Страхование пошли на сделку.
Также был взломан ИТ-интегратор "Первый Бит" и все его дочерние компании, из которых суммарно было слито порядка 250 000 номеров телефонов, а также другие персональные данные клиентов.
Еще один инфоповод в сфере утечек посвящен самой Минцифре. Там предложили компенсировать пострадавшим (от утечек) гражданам их страдания. Для этого предлагается оставлять свои заявки на Госуслугах. Правда ответственность за подсчет размера компенсации возлагается на самого оператора ПДн. Но, если компания, потерявшая ваши данные, удовлетворит более 60% полученных жалоб, то к ней предлагается применять смягчающие тарифы по оборотному штрафу (который мы обсуждали тут).
Кажется, что мы немного не успеваем вводить штрафы для компаний, потому что очень скоро они смогут просто оправдываться тем, что данные их клиентов и так уже были слиты в сеть.
#Мнение
Твой Пакет Безопасности
Напоминаю, что за 2022 год были слиты данные еще не всех граждан нашей страны, поэтому стремиться еще есть к чему. Так что поехали.
Начнем с того, что были слиты данные пользователей Альфа Страхования. Для тех, кто не знает – это практически монополист на рынке РФ в сфере страхования. Если вы где-то оформляете страховку, то, скорее всего, это просто прокладка между вами и Альфой. Так вот, их вскрыли и слили. В сеть сразу были выложены уникальные данные порядка миллиона клиентов, включая их телефоны, почты, ФИО, хэши паролей и т.д. Сами NLB (хакерская группировка, которая и опубликовала данные) утверждают, что они получили данные 14 млн клиентов компании, но пока они не были опубликованы. Так что, либо они блефуют, либо Альфа Страхование пошли на сделку.
Также был взломан ИТ-интегратор "Первый Бит" и все его дочерние компании, из которых суммарно было слито порядка 250 000 номеров телефонов, а также другие персональные данные клиентов.
Еще один инфоповод в сфере утечек посвящен самой Минцифре. Там предложили компенсировать пострадавшим (от утечек) гражданам их страдания. Для этого предлагается оставлять свои заявки на Госуслугах. Правда ответственность за подсчет размера компенсации возлагается на самого оператора ПДн. Но, если компания, потерявшая ваши данные, удовлетворит более 60% полученных жалоб, то к ней предлагается применять смягчающие тарифы по оборотному штрафу (который мы обсуждали тут).
Кажется, что мы немного не успеваем вводить штрафы для компаний, потому что очень скоро они смогут просто оправдываться тем, что данные их клиентов и так уже были слиты в сеть.
#Мнение
Твой Пакет Безопасности
👏15👍7😁6❤4🤔2
Плохие приложения
В одном из прошлых постов мы с вами уже обсуждали то, насколько развит рынок вредоносного ПО в Google Play. И пока исследованием этого маркетплейса занимаются ведущие ИБ компании во всем мире, Гугл решил выкатить свой отчет по "плохим приложениям" в своём же сервисе.
Судя по аналитике (за 2022 год), модераторы платформы забанили 173 000 аккаунтов, распространяющих вредоносные приложения. Самих приложений, при этом, было заблокировано порядка 1 500 000, и это до публикации в каталоге. В общем, в аналитике есть еще несколько интересных цифр, так что вэлкам. Сам отчет вышел небольшой, поэтому много времени его изучение не займет.
Радует то, что Гугл не только в курсе того, что его маркетплейс не без греха, но и то, что он даже пытается анализировать всю эту ситуацию. Осталось только вынести весь мусор из своего же дома.
Ах да, недавно вышел еще отчет от McAfee, согласно которому в Google Play обнаружены десятки копий игры Minecraft, которые сразу же заражают ваш смартфон вредоносным рекламным ПО – HiddenAds. Но не переживайте, Майнкрафт всё равно запустится.
#НовостьДня
Твой Пакет Безопасности
В одном из прошлых постов мы с вами уже обсуждали то, насколько развит рынок вредоносного ПО в Google Play. И пока исследованием этого маркетплейса занимаются ведущие ИБ компании во всем мире, Гугл решил выкатить свой отчет по "плохим приложениям" в своём же сервисе.
Судя по аналитике (за 2022 год), модераторы платформы забанили 173 000 аккаунтов, распространяющих вредоносные приложения. Самих приложений, при этом, было заблокировано порядка 1 500 000, и это до публикации в каталоге. В общем, в аналитике есть еще несколько интересных цифр, так что вэлкам. Сам отчет вышел небольшой, поэтому много времени его изучение не займет.
Радует то, что Гугл не только в курсе того, что его маркетплейс не без греха, но и то, что он даже пытается анализировать всю эту ситуацию. Осталось только вынести весь мусор из своего же дома.
Ах да, недавно вышел еще отчет от McAfee, согласно которому в Google Play обнаружены десятки копий игры Minecraft, которые сразу же заражают ваш смартфон вредоносным рекламным ПО – HiddenAds. Но не переживайте, Майнкрафт всё равно запустится.
#НовостьДня
Твой Пакет Безопасности
👍24😁10⚡2❤🔥1
Альянсы и отчеты
Продолжаем тему нейросетей и ИИ в кибербезе. Да-да, сейчас это модно, поэтому придется еще немного потерпеть (ну или много ). Так вот, есть такая организация – Cloud Security Alliance. По сути, это такой же источник пользы в мире кибербезопасности, как и знаменитый OWASP. Они тоже любят выпускать различные ТОПы уязвимостей в безопасности и публиковать полезные исследования.
В состав этого альянса входят лидеры IT индустрии на уровне Google и Intel, а еще эти ребята делают упор на безопасность облаков (наверное, вы догадались по названию ), что достаточно актуально в наше время. Так что рекомендую присмотреться к их деятельности, если хотите быть в курсе того, что происходит в мире кибербеза прямо сейчас.
Ну всё, альянс похвалили, теперь можно и к теме поста. CSA тут выкатили отчет по исследованию вреда, который может нанести компаниям тот самый ChatGPT. К слову, исследование справедливо не только для детища OpenAI, но и для других нейросетевых чат-ботов.
В отчете также разобрано, как можно попробовать взять под контроль использование нейросетевых сервисов сотрудниками компаний. Какого-то открытия ребята не совершили, но, по крайней мере, собрали в одном месте и в структурированном виде всё то, что можно наложить на обеспечение безопасности в части использования ChatGPT на работе.
С учетом того, что ИИ-сервисы начинают все чаще использовать для решения рутинных рабочих задач, отчет весьма актуален.
#Полезное
Твой Пакет Безопасности
Продолжаем тему нейросетей и ИИ в кибербезе. Да-да, сейчас это модно, поэтому придется еще немного потерпеть (
В состав этого альянса входят лидеры IT индустрии на уровне Google и Intel, а еще эти ребята делают упор на безопасность облаков (
Ну всё, альянс похвалили, теперь можно и к теме поста. CSA тут выкатили отчет по исследованию вреда, который может нанести компаниям тот самый ChatGPT. К слову, исследование справедливо не только для детища OpenAI, но и для других нейросетевых чат-ботов.
В отчете также разобрано, как можно попробовать взять под контроль использование нейросетевых сервисов сотрудниками компаний. Какого-то открытия ребята не совершили, но, по крайней мере, собрали в одном месте и в структурированном виде всё то, что можно наложить на обеспечение безопасности в части использования ChatGPT на работе.
С учетом того, что ИИ-сервисы начинают все чаще использовать для решения рутинных рабочих задач, отчет весьма актуален.
#Полезное
Твой Пакет Безопасности
👍16❤7👏5😢1🙏1
Сериальный стек
Тут Netflix поделился своим технологическим стеком, причем в достаточно удобочитаемом виде, с разбивкой на стандартномый SDLC.
У компании достаточно высокий уровень зрелости айтишки, так что скорее забирайте в свою копилку полезных схем и смело применяйте на практике.
Жаль только, что они не поделились какими-то инсайдами и удобным софтом для этапа планирования, ограничившись только стандартными Джирой и Конфлюенсом. Ждём теперь от них расписанный Secure SDLC.
#Полезное
Твой Пакет Безопасности
Тут Netflix поделился своим технологическим стеком, причем в достаточно удобочитаемом виде, с разбивкой на стандартномый SDLC.
У компании достаточно высокий уровень зрелости айтишки, так что скорее забирайте в свою копилку полезных схем и смело применяйте на практике.
Жаль только, что они не поделились какими-то инсайдами и удобным софтом для этапа планирования, ограничившись только стандартными Джирой и Конфлюенсом. Ждём теперь от них расписанный Secure SDLC.
#Полезное
Твой Пакет Безопасности
👍21❤5⚡2🔥1🤓1
Лучший тренажёр
ЦБ (это тот, который Центральный Банк и Банк России) запустил тут свой онлайн-тренажер-приманку. Звучит сложно, но это не так. В общем, теперь в интернетах есть такой сайт – Рублерост. С первого взгляда – обычный лендинг, каких миллионы. Но, если вчитаться в яркие заголовки, то становится понятно, в чём дело.
По сути, это образовательный проект от ЦБ, запущенный с целью проведения профилактики попадания на крючки мошенников, пирамид и прочих плохих людей. Судя по инструкции, на сайте спрятаны 7 уловок, которые чаще всего можно встретить на мошеннических сайтах.
Если серьезно, то очень радует, когда такие структуры пытаются заботиться о кибергигиене своих граждан и клиентов. Скорее отправляйте вашим доверчивым родственникам, пусть тренируются и будут бдительны. И да, раздражающие всплывающие окна включены в комплектацию.
#Кибергигиена
Твой Пакет Безопасности
ЦБ (это тот, который Центральный Банк и Банк России) запустил тут свой онлайн-тренажер-приманку. Звучит сложно, но это не так. В общем, теперь в интернетах есть такой сайт – Рублерост. С первого взгляда – обычный лендинг, каких миллионы. Но, если вчитаться в яркие заголовки, то становится понятно, в чём дело.
По сути, это образовательный проект от ЦБ, запущенный с целью проведения профилактики попадания на крючки мошенников, пирамид и прочих плохих людей. Судя по инструкции, на сайте спрятаны 7 уловок, которые чаще всего можно встретить на мошеннических сайтах.
Если серьезно, то очень радует, когда такие структуры пытаются заботиться о кибергигиене своих граждан и клиентов. Скорее отправляйте вашим доверчивым родственникам, пусть тренируются и будут бдительны. И да, раздражающие всплывающие окна включены в комплектацию.
#Кибергигиена
Твой Пакет Безопасности
❤17👍9⚡5🔥3
Ну всё, в этот раз я собрался с силами и воскресный дайджест выходит вовремя. Так что смотрите, сколько всего интересного мы с вами разобрали за эту неделю:
⚡ Утечка в Альфа Страховании и Первом Бите, а также новая инициатива от Минцифры с кэшбэками и скидками на все товары с данными пользователей – ссылка
⚡ Подробный отчет от самого Гугла на тему того, как небезопасно нынче в Google Play + бонус в виде отчета от McAfee по поводу зараженного Майнкрафта – ссылка
⚡ Как безопасно использовать нейросети в своей работе и что за безопасный облачный альянс – ссылка
⚡ Какие технологии используют в Netflix и как они строят свои крутые сервисы – ссылка
⚡ Тренажёр от ЦБ, который мы заслужили – ссылка
#КиберДайджест
#КиберДайджест
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16❤5⚡4❤🔥3
Фишинговая повестка
Злоумышленники тут придумали новый способ распространения вредоносного ПО. Да, через повестки и мобилизационные предписания. Они приходят жертвам на электронную почту, где во вложениях лежит троян под видом оригинала электронной повестки или подписи к ней.
Если распаковать этот архив из вложений (а этого делать не надо), то злоумышленник сможет получить к вашему устройству удаленный доступ при помощи DarkWatchman RAT (достаточно попсовый вредонос).
Рассылка идет с поддельной электронной почты Военного Комиссариата РФ. Письма рассылают как обычным гражданам, так и сотрудникам HR-отделов больших компаний под соусом призыва их сотрудников. Я уверен, что это не последняя волна фишинговых рассылок, так что будьте бдительны и предупредите родных.
#Кибергигиена
Твой Пакет Безопасности
Злоумышленники тут придумали новый способ распространения вредоносного ПО. Да, через повестки и мобилизационные предписания. Они приходят жертвам на электронную почту, где во вложениях лежит троян под видом оригинала электронной повестки или подписи к ней.
Если распаковать этот архив из вложений (а этого делать не надо), то злоумышленник сможет получить к вашему устройству удаленный доступ при помощи DarkWatchman RAT (достаточно попсовый вредонос).
Рассылка идет с поддельной электронной почты Военного Комиссариата РФ. Письма рассылают как обычным гражданам, так и сотрудникам HR-отделов больших компаний под соусом призыва их сотрудников. Я уверен, что это не последняя волна фишинговых рассылок, так что будьте бдительны и предупредите родных.
#Кибергигиена
Твой Пакет Безопасности
❤14⚡5👍4🎉3🔥2👏1
Тёмная сторона интернетов
Не очень понятно, почему только сейчас, но в Госдуме предложили признать незаконным использование даркнета.
Что именно подразумевает под даркнетом депутат, предложивший данную инициативу – не раскрывается. Под раздачу, судя по всему, попадут вообще все ресурсы на теневой стороне интернета, а не только нелегальные маркетплейсы и форумы.
В целом, тех, кто регулярно сидит в даркнете и пользуется им по назначению, и так можно было привлечь сразу по нескольким уголовным статьям, но тут, видимо, решили брать оптом. И да, установка и использование браузера Tor также может стать нелегальным в рамках этой инициативы.
#НовостьДня
Твой Пакет Безопасности
Не очень понятно, почему только сейчас, но в Госдуме предложили признать незаконным использование даркнета.
Что именно подразумевает под даркнетом депутат, предложивший данную инициативу – не раскрывается. Под раздачу, судя по всему, попадут вообще все ресурсы на теневой стороне интернета, а не только нелегальные маркетплейсы и форумы.
В целом, тех, кто регулярно сидит в даркнете и пользуется им по назначению, и так можно было привлечь сразу по нескольким уголовным статьям, но тут, видимо, решили брать оптом. И да, установка и использование браузера Tor также может стать нелегальным в рамках этой инициативы.
#НовостьДня
Твой Пакет Безопасности
👍16👎10🤔4❤🔥3⚡2😁2🤯2👏1
Новая почта каждый день
Помните, как мы с вами говорили о сервисе have i been pwned? Так вот, в рамках подписки Google One вы можете следить за тем, засветились ли ваши личные данные в даркнетовских сливах. Называется эта штука dark web report, и через нее можно пробить такие данные, как имя, адрес, телефон, страховку и адрес электронной почты.
Но Гугл не стоит на месте и теперь функция по отслеживаю сливов вашей электронной почты будет доступна сразу в Gmail. Пока это доступно только пользователям из США, но скоро функцию раскатят на весь мир. На самом деле, очень удобно, особенно если вашу свежую почту еще ни разу не сливали(тут могла быть ваша ирония ).
#НовостьДня
Твой Пакет Безопасности
Помните, как мы с вами говорили о сервисе have i been pwned? Так вот, в рамках подписки Google One вы можете следить за тем, засветились ли ваши личные данные в даркнетовских сливах. Называется эта штука dark web report, и через нее можно пробить такие данные, как имя, адрес, телефон, страховку и адрес электронной почты.
Но Гугл не стоит на месте и теперь функция по отслеживаю сливов вашей электронной почты будет доступна сразу в Gmail. Пока это доступно только пользователям из США, но скоро функцию раскатят на весь мир. На самом деле, очень удобно, особенно если вашу свежую почту еще ни разу не сливали
#НовостьДня
Твой Пакет Безопасности
👍20❤4🔥4😁4⚡2
Лучший мессенджер для открыток
Если вдруг у вас есть паранойя на тему того, что ваш телефон постоянно вас прослушивает, то расслабьтесь, это не телефон, а просто WhatsApp. Один из разработчиков Твиттера тут обнаружил, что Вотсап, установленный на его андроид-смартфон, регулярно запрашивал доступ к микрофону, пока тот спал.
Это далеко не первый случай, когда месенджер так нелепо спалился, но у компании на это есть супер-ответ – "Это ошибка системы Android, а ответственность за это несёт Google". Так и живем. Ну а вы не забывайте следить за разрешениями, которые у вас запрашивают приложения и иногда поглядывать, как они этими разрешениями пользуются.
В общем, заходят как-то Вотсап, Гугл и Твиттер в бар...
#НовостьДня
Твой Пакет Безопасности
Если вдруг у вас есть паранойя на тему того, что ваш телефон постоянно вас прослушивает, то расслабьтесь, это не телефон, а просто WhatsApp. Один из разработчиков Твиттера тут обнаружил, что Вотсап, установленный на его андроид-смартфон, регулярно запрашивал доступ к микрофону, пока тот спал.
Это далеко не первый случай, когда месенджер так нелепо спалился, но у компании на это есть супер-ответ – "Это ошибка системы Android, а ответственность за это несёт Google". Так и живем. Ну а вы не забывайте следить за разрешениями, которые у вас запрашивают приложения и иногда поглядывать, как они этими разрешениями пользуются.
В общем, заходят как-то Вотсап, Гугл и Твиттер в бар...
#НовостьДня
Твой Пакет Безопасности
👍22⚡4❤🔥3👏2🤓2🤬1