Бывает и такое
Сегодня у нас будет пост с небольшим экскурсом в историю кибербеза и знакомство с одним знаменитым человеком из этой сферы.
Думаю, что ни для кого из вас не будет сюрпризом тот факт, что правительство регулярно вербует к себе на службу бывших преступников. Аналогичная ситуация произошла и с Кевином Митником, который в нулевых был одним из самых разыскиваемых хакеров в мире. Тогда он стал примером для подражания и неплохой мотивацией для развивающегося направления кибербезопасности.
До того, как его поймали, он успел много чего поломать (не буду расписывать в этом посте, а то его точно не хватит) и заработать все 5 звёзд (штука из GTA, ну ). Но, после того, как он отсидел символический срок в тюрьме, он стал консультантом по кибербезопасности властей США, ну а к 2003 году он успел уже накопить на собственную контору "Mitnick Security Consulting", где всё также продолжал практиковаться.
После всех этих событий он стал достаточно медийной личностью, не стесняясь давать интервью Форбсам, высказываться о Сноудене и так далее.
Примечательно во всей этой истории то, что Кевин (судя по открытым источникам) не нанес вреда ни одной из жертв своих взломов. Более того, он даже не продавал украденные данные.
В общем, красивая история, достойная целого фильма (нормального, а не того, что сняли в нулевых ). Почему же я о нем сегодня пишу, а вы читаете? Дело в том, что на днях он умер, о чем мне напомнил один из подписчиков. Собственно, посвятить пост такому человек не жалко. Всем мир.
А вот эту фотку, наверное, видели многие.
#НовостьДня
Твой Пакет Безопасности
Сегодня у нас будет пост с небольшим экскурсом в историю кибербеза и знакомство с одним знаменитым человеком из этой сферы.
Думаю, что ни для кого из вас не будет сюрпризом тот факт, что правительство регулярно вербует к себе на службу бывших преступников. Аналогичная ситуация произошла и с Кевином Митником, который в нулевых был одним из самых разыскиваемых хакеров в мире. Тогда он стал примером для подражания и неплохой мотивацией для развивающегося направления кибербезопасности.
До того, как его поймали, он успел много чего поломать (не буду расписывать в этом посте, а то его точно не хватит) и заработать все 5 звёзд (
После всех этих событий он стал достаточно медийной личностью, не стесняясь давать интервью Форбсам, высказываться о Сноудене и так далее.
Примечательно во всей этой истории то, что Кевин (судя по открытым источникам) не нанес вреда ни одной из жертв своих взломов. Более того, он даже не продавал украденные данные.
В общем, красивая история, достойная целого фильма (
Твой Пакет Безопасности
❤18🕊9👍7⚡2👏2❤🔥1🔥1🤯1😱1💯1🏆1
Ох уж этот конкурс художников
Тут одна (всем известная) Лаборатория выкатила отчет со статистикой по фишинговым атакам в Телеграме за второй квартал этого года. Из полезного там две вещи – информация о том, что количество атак выросло почти на 39% (а значит, надо быть еще внимательнее к своей кибергигиене). И второе – это новая схема угона ваших аккаунтов, а точнее – апгрейд старой.
Все крутится вокруг нашего любимого художественного конкурса (обсуждали тут), в котором опять надо за кого-то проголосовать. Из изменений – теперь вас достают не в личных сообщениях, а добавляют в канал/чат, созданный от имени вашего знакомого или родственника, где висит пост с голосованием. Приглашает вас в этот чат тот-же человек (для правдоподобности). Дальше – классика. Вы переходите по ссылке и отдаете свой аккаунт. Еще из нового – вам предлагается связаться в личных сообщениях с автором канала/чата, чтобы вы убедились в том, что это не скам.
Ко всему подобному мы с вами и так готовы. Но что делать, если этот канал/чат с голосованием создают от вашего имени, а вы и есть тот самый родственник, который просит проголосовать за ребенка? Собственно, из-за подобной ситуации я и решил написать этот пост. Взломали не меня, а родственника моего друга, поэтому мы с ним пытались спасти почти утерянный аккаунт.
Спойлер – не вышло и аккаунт просто пришлось удалить. После взлома жертву выкинуло из учетной записи, а после долгих попыток входа удалось увидеть только экран бесконечной загрузки диалогов и войти в настройки профиля. Удалить чужие сессии также не получилось, поэтому человек просто решил удалить свой аккаунт, чтобы не подвергать остальных людей дополнительным рискам. К слову, поддержка Телеграма так и не отреагировала на этот инцидент.
О том, что делать в таких ситуациях и как их не допустить, я уже писал в нескольких постах (тут, тут и тут), так что информация остается актуальной. Берегите себя и своих близких. Всем мир.
#Кибергигиена
Твой Пакет Безопасности
Тут одна (всем известная) Лаборатория выкатила отчет со статистикой по фишинговым атакам в Телеграме за второй квартал этого года. Из полезного там две вещи – информация о том, что количество атак выросло почти на 39% (а значит, надо быть еще внимательнее к своей кибергигиене). И второе – это новая схема угона ваших аккаунтов, а точнее – апгрейд старой.
Все крутится вокруг нашего любимого художественного конкурса (обсуждали тут), в котором опять надо за кого-то проголосовать. Из изменений – теперь вас достают не в личных сообщениях, а добавляют в канал/чат, созданный от имени вашего знакомого или родственника, где висит пост с голосованием. Приглашает вас в этот чат тот-же человек (для правдоподобности). Дальше – классика. Вы переходите по ссылке и отдаете свой аккаунт. Еще из нового – вам предлагается связаться в личных сообщениях с автором канала/чата, чтобы вы убедились в том, что это не скам.
Ко всему подобному мы с вами и так готовы. Но что делать, если этот канал/чат с голосованием создают от вашего имени, а вы и есть тот самый родственник, который просит проголосовать за ребенка? Собственно, из-за подобной ситуации я и решил написать этот пост. Взломали не меня, а родственника моего друга, поэтому мы с ним пытались спасти почти утерянный аккаунт.
Спойлер – не вышло и аккаунт просто пришлось удалить. После взлома жертву выкинуло из учетной записи, а после долгих попыток входа удалось увидеть только экран бесконечной загрузки диалогов и войти в настройки профиля. Удалить чужие сессии также не получилось, поэтому человек просто решил удалить свой аккаунт, чтобы не подвергать остальных людей дополнительным рискам. К слову, поддержка Телеграма так и не отреагировала на этот инцидент.
О том, что делать в таких ситуациях и как их не допустить, я уже писал в нескольких постах (тут, тут и тут), так что информация остается актуальной. Берегите себя и своих близких. Всем мир.
#Кибергигиена
Твой Пакет Безопасности
👍17❤6⚡3😱2👏1🕊1🐳1💯1🤝1
Вот и настал очередной халявный день, когда мне не надо писать какой-то крутой контент (да, я таким его и считаю) и искать мемы, поэтому погнали, посмотрим, что там было интересного за эту неделю в канале.
⚡️ Легкий мем на всеми любимую тему (как тебя все подслушивают) – ссылка
⚡️ Что такое цифровой отпечаток, как его не спутать с цифровым следом и зачем он вообще нужен – ссылка
⚡️ Какие киберугрозы преследуют средний и малый бизнес – ссылка
⚡️ Пара ненавязчивых мини-игр для тренировки вашей кибергигиены – ссылка
⚡️ Пост про то, что не все герои носят плащи – ссылка
⚡️ Очередной конкурс художников, который оказался ближе, чем хотелось бы – ссылка
Твой Пакет Безопасности
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤4⚡3👏2🤯1🕊1🏆1🤓1👨💻1🗿1🦄1
This media is not supported in your browser
VIEW IN TELEGRAM
⏯ Подкаст про безопасность в облаке, DevSecOps, пентесты и не только
Облачная платформа Yandex Cloud запустила подкаст «Безопасно говоря». Ведущие и приглашенные эксперты из финтеха, ритейла, промышленности, ИБ и ИТ учатся говорить на одном языке и вместе выстраивать безопасную работу в облаке: запускать DevSecOps-процессы, защищать приложения и многое другое.
Спикерами первого выпуска стали Павел Арланов, директор по безопасности Сравни.ру и Роберт Сабирянов, CTO «Бланка». Они обсудили, как безопасно настроить разработку для финтеха, запустить банк в облаке с нуля и вовлечь команды ИТ и бизнеса в принятие решений по безопасности.
Подкаст можно смотреть 👀 на YouTube и слушать 🎧 на всех популярных платформах.
#Реклама
Облачная платформа Yandex Cloud запустила подкаст «Безопасно говоря». Ведущие и приглашенные эксперты из финтеха, ритейла, промышленности, ИБ и ИТ учатся говорить на одном языке и вместе выстраивать безопасную работу в облаке: запускать DevSecOps-процессы, защищать приложения и многое другое.
Спикерами первого выпуска стали Павел Арланов, директор по безопасности Сравни.ру и Роберт Сабирянов, CTO «Бланка». Они обсудили, как безопасно настроить разработку для финтеха, запустить банк в облаке с нуля и вовлечь команды ИТ и бизнеса в принятие решений по безопасности.
Подкаст можно смотреть 👀 на YouTube и слушать 🎧 на всех популярных платформах.
#Реклама
❤13👍6⚡4
Наш любимый мессенджер
Как говорится, "один энтузиаст" обнаружил забавную недоуязвимость в нашем любимом мессенджере (да, я про Вотсап). Про это уже многие слышали, но я хочу предупредить остальных.
Если коротко (как мы и любим), то мир узнал о легкой возможности заблокировать любого пользователя WhatsApp и деактивировать его аккаунт. Изначально функция была придумана для тех людей, которые потеряли доступ к своей симке/устройству и т.д. Теряешь симку – пишешь на почту поддержки с просьбой заблокировать твой аккаунт, и через 30 дней он автоматически деактивируется (если никто не попытался его восстановить).
Нюанс в том, что никто не проверяет – твоя эта симка, по которой ты пишешь в поддержку, или нет. Поэтому любой человек может деактивировать аккаунт любого другого человека, если последний вовремя это не заметит и не додумается обратиться в поддержку сервиса. Теперь вы о таком знаете и точно додумаетесь написать, куда надо, в случае чего.
История достаточно активно разлетелась по англоязычным интернетам, поэтому, думаю, что эту недоработку скоро прикроют (но это не точно).
#Полезное
Твой Пакет Безопасности
Как говорится, "один энтузиаст" обнаружил забавную недоуязвимость в нашем любимом мессенджере (да, я про Вотсап). Про это уже многие слышали, но я хочу предупредить остальных.
Если коротко (как мы и любим), то мир узнал о легкой возможности заблокировать любого пользователя WhatsApp и деактивировать его аккаунт. Изначально функция была придумана для тех людей, которые потеряли доступ к своей симке/устройству и т.д. Теряешь симку – пишешь на почту поддержки с просьбой заблокировать твой аккаунт, и через 30 дней он автоматически деактивируется (если никто не попытался его восстановить).
Нюанс в том, что никто не проверяет – твоя эта симка, по которой ты пишешь в поддержку, или нет. Поэтому любой человек может деактивировать аккаунт любого другого человека, если последний вовремя это не заметит и не додумается обратиться в поддержку сервиса. Теперь вы о таком знаете и точно додумаетесь написать, куда надо, в случае чего.
История достаточно активно разлетелась по англоязычным интернетам, поэтому, думаю, что эту недоработку скоро прикроют (но это не точно).
#Полезное
Твой Пакет Безопасности
❤13👍7⚡5🦄2✍1❤🔥1🔥1👏1😁1🤯1🕊1
Ты должен был бороться со злом
Пока все переживают из-за очередной утечки очередного отечественного МедТеха (который еще и не признает свою вину), тут происходят события поинтереснее.
Как на зло, как только я начал восхвалять труды Майкрософта (вот тут) в области кибербеза, он тут же начал массово сыпаться под наплывом инцидентов. Из самых ярких – взлом аккаунта министра МинТорга Госдепа США через облачную уязвимость сервисов Microsoft. Сделали это, по традиции, китайские хакеры.
Дальше произошел почти рецидив. Другая китайская группировка получила доступ к access-токенам сервиса Outlook и подломала (с последующим распространением содержимого) корпоративные почтовые ящики двух десятков компаний. Если я все правильно понял, то эксплуатируется это через уязвимость в Azure AD.
В общем, как оказалось, облака – это не так уж и безопасно :)
Все еще верю в эту компанию и надеюсь, что она еще успеет восстановить свою репутацию, пока эпоха не ушла.
#НовостьДня
Твой Пакет Безопасности
Пока все переживают из-за очередной утечки очередного отечественного МедТеха (который еще и не признает свою вину), тут происходят события поинтереснее.
Как на зло, как только я начал восхвалять труды Майкрософта (вот тут) в области кибербеза, он тут же начал массово сыпаться под наплывом инцидентов. Из самых ярких – взлом аккаунта министра МинТорга Госдепа США через облачную уязвимость сервисов Microsoft. Сделали это, по традиции, китайские хакеры.
Дальше произошел почти рецидив. Другая китайская группировка получила доступ к access-токенам сервиса Outlook и подломала (с последующим распространением содержимого) корпоративные почтовые ящики двух десятков компаний. Если я все правильно понял, то эксплуатируется это через уязвимость в Azure AD.
В общем, как оказалось, облака – это не так уж и безопасно :)
Все еще верю в эту компанию и надеюсь, что она еще успеет восстановить свою репутацию, пока эпоха не ушла.
#НовостьДня
Твой Пакет Безопасности
👍10👏6❤4🔥3⚡1😁1🕊1👨💻1
Нейросетевые новости нужно?
Во-первых, Минцифры РФ пытается урегулировать всё, что связано с большими данными и ИИ. Причем сразу по всем фронтам. И в части обработки данных, и в части их обезличивания при помощи нейросетей, и в части доступа к датасетам (это уже обработанные данные). Судя по всему, они хотят создать какую-то единую систему, куда будет сливаться обезличенная информация от всех операторов данных, чтобы на этом всём потом обучать свою ИИ.
Во-вторых, у нас тут появился хакерский чат-бот WormGPT, который все сравнивают с ChatGPT (кхе-кхе). Его изюминка в том, что в него просто не завезли ограничений (моральных, этических и кибербезопасных). Если я все правильно понял, то доступ к нему можно купить только на просторах дарксторов, еще и недешево. Этот чат-бот сейчас все пытаются использовать для генерации фишинговых рассылок (и разработки новых тактик) и вредоносного ПО (т.е. кода для него). По сути, это можно было заставить делать и ChatGPT, нужно было только потратить чуть больше времени.
Проблема этого WormGPT в том, что обучающая выборка у него намного скуднее, чем у ChatGPT, а для того, чтобы писать качественный и рабочий код понадобится база, как у GitHub Copilot. Ни того, ни другого у него нет, поэтому можно спать спокойно.
#НовостьДня
Твой Пакет Безопасности
Во-первых, Минцифры РФ пытается урегулировать всё, что связано с большими данными и ИИ. Причем сразу по всем фронтам. И в части обработки данных, и в части их обезличивания при помощи нейросетей, и в части доступа к датасетам (это уже обработанные данные). Судя по всему, они хотят создать какую-то единую систему, куда будет сливаться обезличенная информация от всех операторов данных, чтобы на этом всём потом обучать свою ИИ.
Во-вторых, у нас тут появился хакерский чат-бот WormGPT, который все сравнивают с ChatGPT (кхе-кхе). Его изюминка в том, что в него просто не завезли ограничений (моральных, этических и кибербезопасных). Если я все правильно понял, то доступ к нему можно купить только на просторах дарксторов, еще и недешево. Этот чат-бот сейчас все пытаются использовать для генерации фишинговых рассылок (и разработки новых тактик) и вредоносного ПО (т.е. кода для него). По сути, это можно было заставить делать и ChatGPT, нужно было только потратить чуть больше времени.
Проблема этого WormGPT в том, что обучающая выборка у него намного скуднее, чем у ChatGPT, а для того, чтобы писать качественный и рабочий код понадобится база, как у GitHub Copilot. Ни того, ни другого у него нет, поэтому можно спать спокойно.
#НовостьДня
Твой Пакет Безопасности
⚡10👍4❤3🔥2👏1🤔1🕊1🏆1🦄1
Безопасный бизнес
Ну что, о том, какие у малого и среднего бизнеса есть угрозы безопасности мы уже узнали в одном из прошлых постов, поэтому теперь настало время разобраться с тем, как от них защищаться. Пойдем по-порядку.
Во-первых, ничего эффективнее здоровой кибергигиены против фишинга и социальной инженерии пока не изобрели. Сюда же добавляем здравую логику, которая также тренируется у ваших сотрудников. Вообще, в домене безопасности для этого даже есть специальное название – security awareness (более подробно можно почитать тут, например). Руководству компаний стоит заботиться о повышении осведомленности (в сфере ИБ) своих сотрудников. Для этого уже давно изобрели тренинги, профилактику и даже учения.
Во-вторых, у нас был пункт про DDoS-атаки. Тут придется немного раскошелиться или нанять инженера (и тоже раскошелиться) с хорошим знанием сетевых технологий и готовностью работать с опенсорсом. Но порой проще заказать сервис АнтиДДоСа, как услугу у своего же интернет-провайдера, например.
В-третьих, шифровальщики. В некоторых случаях можно обойтись первым пунктом с кибергигиеной, но иногда придется позаботиться еще и об установке антивирусного ПО на все сервера и рабочие устройства. Также нужно санитизировать (то есть проверять) все файлы, которые загружаются в вашу инфраструктуру.
В-четвертых, чтобы избежать утечек чувствительных данных, нужно будет запастись DLP-решениями. Тут также пригодится кибергигиена и настроенные парольные политики и многофакторная аутентификация для входа в рабочие учетные записи сотрудников. Антивирус тот также не будет лишним, так.
По итогу получаем достаточно бюджетный, нетрудозатратный и безопасный коктейль из антивирусов, AntiDDoS, политик безопасности, DLP и регулярного повышения осведомленности ваших сотрудников. Поздравляю вас, теперь вам практически ничего не страшно, если, конечно же, вы не стали однозначной целью одной из хакерских группировок. Но если это так, то тут понадобится целый отдел ИБ, чтобы выстроить полноценную эшелонированную защиту ваших ресурсов, сотрудников и компании, в целом.
#Полезное
Твой Пакет Безопасности
Ну что, о том, какие у малого и среднего бизнеса есть угрозы безопасности мы уже узнали в одном из прошлых постов, поэтому теперь настало время разобраться с тем, как от них защищаться. Пойдем по-порядку.
Во-первых, ничего эффективнее здоровой кибергигиены против фишинга и социальной инженерии пока не изобрели. Сюда же добавляем здравую логику, которая также тренируется у ваших сотрудников. Вообще, в домене безопасности для этого даже есть специальное название – security awareness (более подробно можно почитать тут, например). Руководству компаний стоит заботиться о повышении осведомленности (в сфере ИБ) своих сотрудников. Для этого уже давно изобрели тренинги, профилактику и даже учения.
Во-вторых, у нас был пункт про DDoS-атаки. Тут придется немного раскошелиться или нанять инженера (и тоже раскошелиться) с хорошим знанием сетевых технологий и готовностью работать с опенсорсом. Но порой проще заказать сервис АнтиДДоСа, как услугу у своего же интернет-провайдера, например.
В-третьих, шифровальщики. В некоторых случаях можно обойтись первым пунктом с кибергигиеной, но иногда придется позаботиться еще и об установке антивирусного ПО на все сервера и рабочие устройства. Также нужно санитизировать (то есть проверять) все файлы, которые загружаются в вашу инфраструктуру.
В-четвертых, чтобы избежать утечек чувствительных данных, нужно будет запастись DLP-решениями. Тут также пригодится кибергигиена и настроенные парольные политики и многофакторная аутентификация для входа в рабочие учетные записи сотрудников. Антивирус тот также не будет лишним, так.
По итогу получаем достаточно бюджетный, нетрудозатратный и безопасный коктейль из антивирусов, AntiDDoS, политик безопасности, DLP и регулярного повышения осведомленности ваших сотрудников. Поздравляю вас, теперь вам практически ничего не страшно, если, конечно же, вы не стали однозначной целью одной из хакерских группировок. Но если это так, то тут понадобится целый отдел ИБ, чтобы выстроить полноценную эшелонированную защиту ваших ресурсов, сотрудников и компании, в целом.
#Полезное
Твой Пакет Безопасности
👍22❤5🔥3⚡1❤🔥1🤩1🙏1🕊1🫡1🦄1
Всем привет 👋
Как я и обещал, у меня получилось добыть для своих любимых подписчиков пару билетов на предстоящий OFFZONE 2023 (тут можно почитать про конфу, а тут про их крутое баг-баунти)🥳
Само собой, интересно это будет далеко не всем, но для безопасников и айтишников, желающих получить эти билеты, я придумал небольшой (и очень простой) квест. Нужно просто ответить на вопрос – "кем я (админ канала) был до того, как ушел в кибербез?"🤔
Ответом должны быть все направления в IT, в которых я работал. Тому, кто первым напишет в комментариях правильную (и максимально полную) версию – достанутся заветные 2 билета на конференцию. Рекомендую не гадать, а провести мини-расследование, пасхалок я оставил за все время уже достаточно😉
Ах да, наш канал теперь является официальным комьюнити-партнером этой международной конференции по практической кибербезопасности. О том, почему это круто, я уже писал тут.
Всем удачи в конкурсе, и да пребудет с вами сила!
Твой Пакет Безопасности
Как я и обещал, у меня получилось добыть для своих любимых подписчиков пару билетов на предстоящий OFFZONE 2023 (тут можно почитать про конфу, а тут про их крутое баг-баунти)
Само собой, интересно это будет далеко не всем, но для безопасников и айтишников, желающих получить эти билеты, я придумал небольшой (и очень простой) квест. Нужно просто ответить на вопрос – "кем я (админ канала) был до того, как ушел в кибербез?"
Ответом должны быть все направления в IT, в которых я работал. Тому, кто первым напишет в комментариях правильную (и максимально полную) версию – достанутся заветные 2 билета на конференцию. Рекомендую не гадать, а провести мини-расследование, пасхалок я оставил за все время уже достаточно
Ах да, наш канал теперь является официальным комьюнити-партнером этой международной конференции по практической кибербезопасности. О том, почему это круто, я уже писал тут.
Всем удачи в конкурсе, и да пребудет с вами сила!
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤7🤩4🏆3🕊2⚡1✍1🔥1🌚1
Что там нового у РКН?
Во-первых, они решили проаудировать и сертифицировать все компании, которые обрабатывают наши с вами персональные данные. Раньше подобными вещами занималась большая аудиторская четверка или локальные регуляторы (в ФинТехе это был ЦБ, например). Теперь же всё хотят унифицировать и причесать. Идея крутая, но меня смущает тут две вещи.
Первая – где они возьмут столько кадров для того, чтобы регулярно эти аудиты и сертификации проводить – вообще не понятно. Напомню, у нас тут дикий дефицит на рынке труда, а людей нужно крайне много. Вторая – все эти аудиты обычно проводятся максимально халатно, без особого погружения и скорее для галочки. Изменится ли что-то, когда в игру войдет РКН – не понятно. Но если они разработают нормальную методологию, то какие-то шансы есть. К слову, позже РКН внес ремарку в эту новость, сказав, что это касается только тех компаний, которые обрабатывают более 1 млн записей о пользователях (таких тоже хватает).
Второй инфоповод, который нам не так давно подарил Роскомнадзор – это его намерение начать блокировать все ресурсы, которые учат людей эти самые блокировки обходить. В целом, смотрится вполне органично в рамках текущей политики РКН и закрытости интернетов. Но мы с вами уже знаем примеры того, как блокирующие органы проигрывали в кошки-мышки интернет-ресурсам, да и в тех же мессенджерах инструкций хватает.
#Мнение
Твой Пакет Безопасности
Во-первых, они решили проаудировать и сертифицировать все компании, которые обрабатывают наши с вами персональные данные. Раньше подобными вещами занималась большая аудиторская четверка или локальные регуляторы (в ФинТехе это был ЦБ, например). Теперь же всё хотят унифицировать и причесать. Идея крутая, но меня смущает тут две вещи.
Первая – где они возьмут столько кадров для того, чтобы регулярно эти аудиты и сертификации проводить – вообще не понятно. Напомню, у нас тут дикий дефицит на рынке труда, а людей нужно крайне много. Вторая – все эти аудиты обычно проводятся максимально халатно, без особого погружения и скорее для галочки. Изменится ли что-то, когда в игру войдет РКН – не понятно. Но если они разработают нормальную методологию, то какие-то шансы есть. К слову, позже РКН внес ремарку в эту новость, сказав, что это касается только тех компаний, которые обрабатывают более 1 млн записей о пользователях (таких тоже хватает).
Второй инфоповод, который нам не так давно подарил Роскомнадзор – это его намерение начать блокировать все ресурсы, которые учат людей эти самые блокировки обходить. В целом, смотрится вполне органично в рамках текущей политики РКН и закрытости интернетов. Но мы с вами уже знаем примеры того, как блокирующие органы проигрывали в кошки-мышки интернет-ресурсам, да и в тех же мессенджерах инструкций хватает.
#Мнение
Твой Пакет Безопасности
🤣30⚡6❤5👍2🤩2❤🔥1👎1🔥1😁1🕊1
Сегодня пропустим недельный дайджест и лучше подведем итоги розыгрыша двух билетов на конференцию. Итак, победителями нашего мини-конкурса становятся сразу 2 человека – Dev Kirill (технически, он выполнил условия конкурса) и некий axel, ник которого скрыт 🥳
Победители, можете написать мне в личку (вот сюда) и забрать два своих билета на OFFZONE, который пройдет 24-25 августа.
Судя по небольшому количеству ответов под постом с конкурсом, у меня сложилось впечатление, что тут собралось не так уж и много кибербезопасников. Поэтому, давайте проведем небольшую перекличку в следующем голосовании (само собой, оно анонимное). Мне просто хочется понять, доставать ли для вас еще билеты на подобные мероприятия из мира ИБ.
Победителей еще раз поздравляю!
Твой Пакет Безопасности
Победители, можете написать мне в личку (вот сюда) и забрать два своих билета на OFFZONE, который пройдет 24-25 августа.
Судя по небольшому количеству ответов под постом с конкурсом, у меня сложилось впечатление, что тут собралось не так уж и много кибербезопасников. Поэтому, давайте проведем небольшую перекличку в следующем голосовании (само собой, оно анонимное). Мне просто хочется понять, доставать ли для вас еще билеты на подобные мероприятия из мира ИБ.
Победителей еще раз поздравляю!
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
🏆5👍3❤2⚡2❤🔥1👏1🙏1🕊1
Ты кибербезопасник?
Anonymous Poll
15%
Да (Blue Team)
9%
Да (Red Team)
13%
Да, но я в черной шляпе
64%
Нет
👍10⚡4🔥4❤2🤔2🌭2🕊1🏆1🦄1
Подписка, лайк и колокольчик
Что-то я давно не делился с вами полезными подкастами и ютуб-каналами. Решил собрать парочку каналов на разные около-ИБшные темы (пост не рекламный, честно).
Наверное, самый известный новостник в мире отечественного ИБ – канал SecLab. Можно посмотреть их дайджесты новостей за завтраком, чтобы не выпадать из инфополя ИБ.
Следом поделюсь каналом, который понадобится уже для того, чтобы не выпадать из инфополя IT. Тут есть не только дайджесты новостей, но и разборы полухайповых тем в АйТи.
А вот этот канал пару раз выручал меня быстрым и понятным ликбезом по каким-то узким темам, которые нужно было оперативно освоить.
Ну и на десерт – ловите крутую лекцию по безопасной архитектуре, ссылкой на которую поделился со мной один менти. Спикер пробежался (хоть и по верхам) по основным болевым точкам безопасных паттернов, так что для всех интересующихся – мастхэв.
#Полезное
Твой Пакет Безопасности
Что-то я давно не делился с вами полезными подкастами и ютуб-каналами. Решил собрать парочку каналов на разные около-ИБшные темы (пост не рекламный, честно).
Наверное, самый известный новостник в мире отечественного ИБ – канал SecLab. Можно посмотреть их дайджесты новостей за завтраком, чтобы не выпадать из инфополя ИБ.
Следом поделюсь каналом, который понадобится уже для того, чтобы не выпадать из инфополя IT. Тут есть не только дайджесты новостей, но и разборы полухайповых тем в АйТи.
А вот этот канал пару раз выручал меня быстрым и понятным ликбезом по каким-то узким темам, которые нужно было оперативно освоить.
Ну и на десерт – ловите крутую лекцию по безопасной архитектуре, ссылкой на которую поделился со мной один менти. Спикер пробежался (хоть и по верхам) по основным болевым точкам безопасных паттернов, так что для всех интересующихся – мастхэв.
#Полезное
Твой Пакет Безопасности
🔥9👍5⚡3👨💻3❤2✍1👏1💯1
Закрыть ворота
В Госдуме тут придумали и внесли новую поправку, согласно которой нам скоро могут запретить регистрироваться на отечественных ресурсах при помощи иностранных почтовых ящиков. Думаю, что эта инициатива идет от Минцифры. Ну а у меня к этому есть парочка комментариев.
Первый касается того, что я понимаю, откуда растут ноги – наши регуляторы хотят контролировать безопасность данных пользователей (то есть своих граждан), и это правильно. В случае чего, почтовые сервисы в РФ можно будет штрафовать за утечки или нарушение доступа. С того же гугла или майкрософта уже мало что можно потребовать. Плюс к этому, сервера находятся на нашей территории, что тоже важно.
Второй – в целом, у наших почтовых провайдеров достаточно высокий уровень зрелости айти, и сервисами можно удобно и комфортно пользоваться. В крайнем случае, можно настроить прямую переадресацию на свой ящик джимейла или аутлука.
Ну и третий – думаю, что скоро будет введено еще и ограничение, касающееся номеров телефонов только РФ-операторов связи. А еще, всё потихоньку сводится к тому, чтобы точно идентифицировать тех, кто пользуется какими-либо услугами и сервисами на территории РФ. Скорее всего, скоро все перейдут на авторизацию только через ID-сервисы (такие уже делает Тинькофф, Яндекс и прочие) или Госуслуги. Это значит, что регуляторы будут видеть действия пользователей в сети и иметь четкую привязку этих действий к своим гражданам.
Ну и, само собой, грустно то, что нас потихоньку продолжают отрезать от внешнего мира, чего очень не хочется.
#Мнение
Твой Пакет Безопасности
В Госдуме тут придумали и внесли новую поправку, согласно которой нам скоро могут запретить регистрироваться на отечественных ресурсах при помощи иностранных почтовых ящиков. Думаю, что эта инициатива идет от Минцифры. Ну а у меня к этому есть парочка комментариев.
Первый касается того, что я понимаю, откуда растут ноги – наши регуляторы хотят контролировать безопасность данных пользователей (то есть своих граждан), и это правильно. В случае чего, почтовые сервисы в РФ можно будет штрафовать за утечки или нарушение доступа. С того же гугла или майкрософта уже мало что можно потребовать. Плюс к этому, сервера находятся на нашей территории, что тоже важно.
Второй – в целом, у наших почтовых провайдеров достаточно высокий уровень зрелости айти, и сервисами можно удобно и комфортно пользоваться. В крайнем случае, можно настроить прямую переадресацию на свой ящик джимейла или аутлука.
Ну и третий – думаю, что скоро будет введено еще и ограничение, касающееся номеров телефонов только РФ-операторов связи. А еще, всё потихоньку сводится к тому, чтобы точно идентифицировать тех, кто пользуется какими-либо услугами и сервисами на территории РФ. Скорее всего, скоро все перейдут на авторизацию только через ID-сервисы (такие уже делает Тинькофф, Яндекс и прочие) или Госуслуги. Это значит, что регуляторы будут видеть действия пользователей в сети и иметь четкую привязку этих действий к своим гражданам.
Ну и, само собой, грустно то, что нас потихоньку продолжают отрезать от внешнего мира, чего очень не хочется.
#Мнение
Твой Пакет Безопасности
🤬40😢14👍5❤3😁3🔥2🤓2⚡1🕊1😍1
Ну вот и внедрили
Судя по всему, все начальные тесты с прогонами завершены, и цифровой рубль выкатывают в полу-продакшен. Уже подписаны все законы о внедрении новой валюты и создании платформы для него. У нас в стране теперь официально есть три вида национальной валюты – цифровая, наличная и безналичная. Судя по всему, курс будет синхронизироваться между всеми ними (надеюсь, что не как с USDT).
Проблему я вижу одну и очень важную – система будет не децентрализованной, а все цифровые рубли будут храниться в одном месте – в ЦБ, то есть, в одной копилке. Хорошая новость заключается в том, что доступ к этой копилке будет организован только через сервисы банков, а не напрямую. Хотя, лично мне кажется, что так будет недолго, и спустя какое-то время доступ получат и другие организации.
Если я правильно читаю документы, то альфа-тестирование действительно завершено, а проект переведен в статус более глобального и объемного тестирования. По итогу, мы должны будем получить доступ к новому рублю где-то через 2 года.
Очень надеюсь, что ЦБ успеет подготовиться к этому времени и проработать максимально безопасную систему защиты своей новой копилки. Не ясно только, зачем мы опять начали выпускать купюры по 5 рублей.
#НовостьДня
Твой Пакет Безопасности
Судя по всему, все начальные тесты с прогонами завершены, и цифровой рубль выкатывают в полу-продакшен. Уже подписаны все законы о внедрении новой валюты и создании платформы для него. У нас в стране теперь официально есть три вида национальной валюты – цифровая, наличная и безналичная. Судя по всему, курс будет синхронизироваться между всеми ними (надеюсь, что не как с USDT).
Проблему я вижу одну и очень важную – система будет не децентрализованной, а все цифровые рубли будут храниться в одном месте – в ЦБ, то есть, в одной копилке. Хорошая новость заключается в том, что доступ к этой копилке будет организован только через сервисы банков, а не напрямую. Хотя, лично мне кажется, что так будет недолго, и спустя какое-то время доступ получат и другие организации.
Если я правильно читаю документы, то альфа-тестирование действительно завершено, а проект переведен в статус более глобального и объемного тестирования. По итогу, мы должны будем получить доступ к новому рублю где-то через 2 года.
Очень надеюсь, что ЦБ успеет подготовиться к этому времени и проработать максимально безопасную систему защиты своей новой копилки. Не ясно только, зачем мы опять начали выпускать купюры по 5 рублей.
#НовостьДня
Твой Пакет Безопасности
🤬26🤣17❤9🤔3👍2🔥2👨💻2🕊1
Media is too big
VIEW IN TELEGRAM
🔍 Как мигрировать в облако по-человечески: новый выпуск подкаста «Безопасно говоря»
Во втором эпизоде подкаста «Безопасно говоря» от Yandex Cloud обсудили, какие косты и другие факторы необходимо учитывать компаниям при миграции в облако, что выгоднее в перспективе трех-пяти лет — облако или on-premise — и что из этого в реальности безопаснее.
А еще поговорили с гостями из СДЭК и «Азбуки вкуса» о том, как снизить влияние человеческого фактора при миграции в облако, нужно ли обучать азам ИБ сотрудников крупных ритейл-компаний, почему необходимо побольше автоматизировать и почаще обнимать своих безопасников, и о многом другом.
🎧 Слушайте на Яндекс Музыке
💻 Смотрите на YouTube
#Реклама
Во втором эпизоде подкаста «Безопасно говоря» от Yandex Cloud обсудили, какие косты и другие факторы необходимо учитывать компаниям при миграции в облако, что выгоднее в перспективе трех-пяти лет — облако или on-premise — и что из этого в реальности безопаснее.
А еще поговорили с гостями из СДЭК и «Азбуки вкуса» о том, как снизить влияние человеческого фактора при миграции в облако, нужно ли обучать азам ИБ сотрудников крупных ритейл-компаний, почему необходимо побольше автоматизировать и почаще обнимать своих безопасников, и о многом другом.
🎧 Слушайте на Яндекс Музыке
💻 Смотрите на YouTube
#Реклама
👍13✍3🔥3
IMG_3572.mov
3.5 MB
⚡7👍4🏆3❤2🦄2❤🔥1🔥1👏1
Безопасный пароль нужен?
Я тут узнал (собрал небольшую статистику), что многие используют везде один и тот же пароль по причине того, что просто не могут быстро придумать новый и безопасный, когда им где-то надо зарегистрироваться или обновить старый пароль. По итогу моего мини-исследования оказалось, что у большинства людей есть где-то 2-4 пароля, которыми они ловко жонглируют, меняя их друг на друга на различных сайтах, сервисах и приложениях.
Само собой, 4 пароля лучше, чем 1. Проблема только в том, что эти 4 пароля распределяются на десятки разных сервисов, в которых у людей заведены аккаунты. В итоге, если взломают хоть один из сервисов, то злоумышленники получат доступ сразу к четверти от всех аккаунтов жертвы.
Само собой, я бы мог поделиться с вами тут лайфхаками по тому, как надо генерировать пароль, который лучше запоминается и тяжело взламывается. Но поверьте, при правильном подходе (когда везде используются уникальные пароли), у вас не хватит памяти и сил, чтобы запомнить каждый из них.
Я лично давно не запариваюсь и просто добавил себе в закладки вот такой генератор паролей от ЛастПасса – ссылка (тот самый, которого уже раза 3 ломали). И теперь, каждый раз, когда мне нужно изобрести новый сложный пароль, я просто захожу туда, ставлю нужные мне параметры (16 символов, Easy to read + все галочки справа), несколько раз генерирую пароль и выбираю понравившийся. По итогу мы имеем криптостойкий и уникальный пароль для каждого сервиса. Главное – не забывайте его регулярно менять.
Само собой есть теория, что я делаю что-то не так (я в нее пока не верю) или есть способ генерировать пароли еще эффективнее. Предлагаю обсудить в комментариях, как это делаете вы (сами пароли можете не присылать, ладно ).
#Полезное
Твой Пакет Безопасности
Я тут узнал (собрал небольшую статистику), что многие используют везде один и тот же пароль по причине того, что просто не могут быстро придумать новый и безопасный, когда им где-то надо зарегистрироваться или обновить старый пароль. По итогу моего мини-исследования оказалось, что у большинства людей есть где-то 2-4 пароля, которыми они ловко жонглируют, меняя их друг на друга на различных сайтах, сервисах и приложениях.
Само собой, 4 пароля лучше, чем 1. Проблема только в том, что эти 4 пароля распределяются на десятки разных сервисов, в которых у людей заведены аккаунты. В итоге, если взломают хоть один из сервисов, то злоумышленники получат доступ сразу к четверти от всех аккаунтов жертвы.
Само собой, я бы мог поделиться с вами тут лайфхаками по тому, как надо генерировать пароль, который лучше запоминается и тяжело взламывается. Но поверьте, при правильном подходе (когда везде используются уникальные пароли), у вас не хватит памяти и сил, чтобы запомнить каждый из них.
Я лично давно не запариваюсь и просто добавил себе в закладки вот такой генератор паролей от ЛастПасса – ссылка (тот самый, которого уже раза 3 ломали). И теперь, каждый раз, когда мне нужно изобрести новый сложный пароль, я просто захожу туда, ставлю нужные мне параметры (16 символов, Easy to read + все галочки справа), несколько раз генерирую пароль и выбираю понравившийся. По итогу мы имеем криптостойкий и уникальный пароль для каждого сервиса. Главное – не забывайте его регулярно менять.
Само собой есть теория, что я делаю что-то не так (я в нее пока не верю) или есть способ генерировать пароли еще эффективнее. Предлагаю обсудить в комментариях, как это делаете вы (
#Полезное
Твой Пакет Безопасности
❤16👍7🤓5✍2⚡2🔥2❤🔥1👏1🕊1🫡1🦄1
Больше контента
Не так давно я делал подборку по полезным ютуб-каналам, прямо или косвенно связанным с кибербезопаснотью. Судя по статистике, пост достаточно бодро разлетелся по Телеграму, поэтому сегодня продолжим эту историю (да, это всё еще не реклама).
Начнем мы с полезных ютуб-каналов из мира IT (да, без этого никуда), а точнее, с канала SOER-а. Тут и про JWT, и про код-ревью, и даже про правильный менеджмент в айти. В общем, я уверен, что многие найдут для себя тут что-то интересное и полезное.
Второй канал на сегодня – Podlodka. Эти ребята и конференции умеют организовывать, и целое АйТи-коммьюнити выстраивать. Соответственно, контент они снимают тоже качественный и актуальный.
Канал Space307 – перед их дизайнером я до сих пор преклоняю колено. В плане контента на канале, они очень схожи с Подлодкой – ролики максимально лёгкие по подаче, но при этом актуальные и полезные.
Еще есть один забавный канал – Listen IT. По сути, это просто озвучка статей с хабра и медиума, где за 10-15 минут разбирается какая-то одна тема из IT или ИБ. Очень удобно послушать на фоне, пока занимаешься какими-то другими задачами.
Если у вас есть свои любимые ИТ/ИБ-каналы, то буду признателен, если покидаете ссылок в комментариях.
#Полезное
Твой Пакет Безопасности
Не так давно я делал подборку по полезным ютуб-каналам, прямо или косвенно связанным с кибербезопаснотью. Судя по статистике, пост достаточно бодро разлетелся по Телеграму, поэтому сегодня продолжим эту историю (да, это всё еще не реклама).
Начнем мы с полезных ютуб-каналов из мира IT (да, без этого никуда), а точнее, с канала SOER-а. Тут и про JWT, и про код-ревью, и даже про правильный менеджмент в айти. В общем, я уверен, что многие найдут для себя тут что-то интересное и полезное.
Второй канал на сегодня – Podlodka. Эти ребята и конференции умеют организовывать, и целое АйТи-коммьюнити выстраивать. Соответственно, контент они снимают тоже качественный и актуальный.
Канал Space307 – перед их дизайнером я до сих пор преклоняю колено. В плане контента на канале, они очень схожи с Подлодкой – ролики максимально лёгкие по подаче, но при этом актуальные и полезные.
Еще есть один забавный канал – Listen IT. По сути, это просто озвучка статей с хабра и медиума, где за 10-15 минут разбирается какая-то одна тема из IT или ИБ. Очень удобно послушать на фоне, пока занимаешься какими-то другими задачами.
Если у вас есть свои любимые ИТ/ИБ-каналы, то буду признателен, если покидаете ссылок в комментариях.
#Полезное
Твой Пакет Безопасности
👍19⚡6❤4👏3🦄2❤🔥1🤔1🤩1🕊1👨💻1
С заслуженным выходным вас, дорогие подписчики. Ну а у нас по расписанию дайжест интересных постов за эту неделю.
⚡️ Подборка полезных Ютуб-каналов для АйТишников и ИБшников – ссылка
⚡️ Как в России иностранные почтовые ящики запретили и что будет дальше – ссылка
⚡️ Что там с цифровым рублём и чем опасно то, что вся казна будет в одном месте – ссылка
⚡️ Как сделать криптостойкий пароль и не выгореть (рекомендую заглянуть в комментарии) – ссылка
⚡️ Вторая подборка полезных каналов для саморазвития и изучения инфополя – ссылка
Твой Пакет Безопасности
⚡️ Как в России иностранные почтовые ящики запретили и что будет дальше – ссылка
⚡️ Что там с цифровым рублём и чем опасно то, что вся казна будет в одном месте – ссылка
⚡️ Как сделать криптостойкий пароль и не выгореть (рекомендую заглянуть в комментарии) – ссылка
⚡️ Вторая подборка полезных каналов для саморазвития и изучения инфополя – ссылка
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡8❤7👍3🤩2🙏1🕊1💯1🦄1