Наш любимый мессенджер
Как говорится, "один энтузиаст" обнаружил забавную недоуязвимость в нашем любимом мессенджере (да, я про Вотсап). Про это уже многие слышали, но я хочу предупредить остальных.
Если коротко (как мы и любим), то мир узнал о легкой возможности заблокировать любого пользователя WhatsApp и деактивировать его аккаунт. Изначально функция была придумана для тех людей, которые потеряли доступ к своей симке/устройству и т.д. Теряешь симку – пишешь на почту поддержки с просьбой заблокировать твой аккаунт, и через 30 дней он автоматически деактивируется (если никто не попытался его восстановить).
Нюанс в том, что никто не проверяет – твоя эта симка, по которой ты пишешь в поддержку, или нет. Поэтому любой человек может деактивировать аккаунт любого другого человека, если последний вовремя это не заметит и не додумается обратиться в поддержку сервиса. Теперь вы о таком знаете и точно додумаетесь написать, куда надо, в случае чего.
История достаточно активно разлетелась по англоязычным интернетам, поэтому, думаю, что эту недоработку скоро прикроют (но это не точно).
#Полезное
Твой Пакет Безопасности
Как говорится, "один энтузиаст" обнаружил забавную недоуязвимость в нашем любимом мессенджере (да, я про Вотсап). Про это уже многие слышали, но я хочу предупредить остальных.
Если коротко (как мы и любим), то мир узнал о легкой возможности заблокировать любого пользователя WhatsApp и деактивировать его аккаунт. Изначально функция была придумана для тех людей, которые потеряли доступ к своей симке/устройству и т.д. Теряешь симку – пишешь на почту поддержки с просьбой заблокировать твой аккаунт, и через 30 дней он автоматически деактивируется (если никто не попытался его восстановить).
Нюанс в том, что никто не проверяет – твоя эта симка, по которой ты пишешь в поддержку, или нет. Поэтому любой человек может деактивировать аккаунт любого другого человека, если последний вовремя это не заметит и не додумается обратиться в поддержку сервиса. Теперь вы о таком знаете и точно додумаетесь написать, куда надо, в случае чего.
История достаточно активно разлетелась по англоязычным интернетам, поэтому, думаю, что эту недоработку скоро прикроют (но это не точно).
#Полезное
Твой Пакет Безопасности
❤13👍7⚡5🦄2✍1❤🔥1🔥1👏1😁1🤯1🕊1
Ты должен был бороться со злом
Пока все переживают из-за очередной утечки очередного отечественного МедТеха (который еще и не признает свою вину), тут происходят события поинтереснее.
Как на зло, как только я начал восхвалять труды Майкрософта (вот тут) в области кибербеза, он тут же начал массово сыпаться под наплывом инцидентов. Из самых ярких – взлом аккаунта министра МинТорга Госдепа США через облачную уязвимость сервисов Microsoft. Сделали это, по традиции, китайские хакеры.
Дальше произошел почти рецидив. Другая китайская группировка получила доступ к access-токенам сервиса Outlook и подломала (с последующим распространением содержимого) корпоративные почтовые ящики двух десятков компаний. Если я все правильно понял, то эксплуатируется это через уязвимость в Azure AD.
В общем, как оказалось, облака – это не так уж и безопасно :)
Все еще верю в эту компанию и надеюсь, что она еще успеет восстановить свою репутацию, пока эпоха не ушла.
#НовостьДня
Твой Пакет Безопасности
Пока все переживают из-за очередной утечки очередного отечественного МедТеха (который еще и не признает свою вину), тут происходят события поинтереснее.
Как на зло, как только я начал восхвалять труды Майкрософта (вот тут) в области кибербеза, он тут же начал массово сыпаться под наплывом инцидентов. Из самых ярких – взлом аккаунта министра МинТорга Госдепа США через облачную уязвимость сервисов Microsoft. Сделали это, по традиции, китайские хакеры.
Дальше произошел почти рецидив. Другая китайская группировка получила доступ к access-токенам сервиса Outlook и подломала (с последующим распространением содержимого) корпоративные почтовые ящики двух десятков компаний. Если я все правильно понял, то эксплуатируется это через уязвимость в Azure AD.
В общем, как оказалось, облака – это не так уж и безопасно :)
Все еще верю в эту компанию и надеюсь, что она еще успеет восстановить свою репутацию, пока эпоха не ушла.
#НовостьДня
Твой Пакет Безопасности
👍10👏6❤4🔥3⚡1😁1🕊1👨💻1
Нейросетевые новости нужно?
Во-первых, Минцифры РФ пытается урегулировать всё, что связано с большими данными и ИИ. Причем сразу по всем фронтам. И в части обработки данных, и в части их обезличивания при помощи нейросетей, и в части доступа к датасетам (это уже обработанные данные). Судя по всему, они хотят создать какую-то единую систему, куда будет сливаться обезличенная информация от всех операторов данных, чтобы на этом всём потом обучать свою ИИ.
Во-вторых, у нас тут появился хакерский чат-бот WormGPT, который все сравнивают с ChatGPT (кхе-кхе). Его изюминка в том, что в него просто не завезли ограничений (моральных, этических и кибербезопасных). Если я все правильно понял, то доступ к нему можно купить только на просторах дарксторов, еще и недешево. Этот чат-бот сейчас все пытаются использовать для генерации фишинговых рассылок (и разработки новых тактик) и вредоносного ПО (т.е. кода для него). По сути, это можно было заставить делать и ChatGPT, нужно было только потратить чуть больше времени.
Проблема этого WormGPT в том, что обучающая выборка у него намного скуднее, чем у ChatGPT, а для того, чтобы писать качественный и рабочий код понадобится база, как у GitHub Copilot. Ни того, ни другого у него нет, поэтому можно спать спокойно.
#НовостьДня
Твой Пакет Безопасности
Во-первых, Минцифры РФ пытается урегулировать всё, что связано с большими данными и ИИ. Причем сразу по всем фронтам. И в части обработки данных, и в части их обезличивания при помощи нейросетей, и в части доступа к датасетам (это уже обработанные данные). Судя по всему, они хотят создать какую-то единую систему, куда будет сливаться обезличенная информация от всех операторов данных, чтобы на этом всём потом обучать свою ИИ.
Во-вторых, у нас тут появился хакерский чат-бот WormGPT, который все сравнивают с ChatGPT (кхе-кхе). Его изюминка в том, что в него просто не завезли ограничений (моральных, этических и кибербезопасных). Если я все правильно понял, то доступ к нему можно купить только на просторах дарксторов, еще и недешево. Этот чат-бот сейчас все пытаются использовать для генерации фишинговых рассылок (и разработки новых тактик) и вредоносного ПО (т.е. кода для него). По сути, это можно было заставить делать и ChatGPT, нужно было только потратить чуть больше времени.
Проблема этого WormGPT в том, что обучающая выборка у него намного скуднее, чем у ChatGPT, а для того, чтобы писать качественный и рабочий код понадобится база, как у GitHub Copilot. Ни того, ни другого у него нет, поэтому можно спать спокойно.
#НовостьДня
Твой Пакет Безопасности
⚡10👍4❤3🔥2👏1🤔1🕊1🏆1🦄1
Безопасный бизнес
Ну что, о том, какие у малого и среднего бизнеса есть угрозы безопасности мы уже узнали в одном из прошлых постов, поэтому теперь настало время разобраться с тем, как от них защищаться. Пойдем по-порядку.
Во-первых, ничего эффективнее здоровой кибергигиены против фишинга и социальной инженерии пока не изобрели. Сюда же добавляем здравую логику, которая также тренируется у ваших сотрудников. Вообще, в домене безопасности для этого даже есть специальное название – security awareness (более подробно можно почитать тут, например). Руководству компаний стоит заботиться о повышении осведомленности (в сфере ИБ) своих сотрудников. Для этого уже давно изобрели тренинги, профилактику и даже учения.
Во-вторых, у нас был пункт про DDoS-атаки. Тут придется немного раскошелиться или нанять инженера (и тоже раскошелиться) с хорошим знанием сетевых технологий и готовностью работать с опенсорсом. Но порой проще заказать сервис АнтиДДоСа, как услугу у своего же интернет-провайдера, например.
В-третьих, шифровальщики. В некоторых случаях можно обойтись первым пунктом с кибергигиеной, но иногда придется позаботиться еще и об установке антивирусного ПО на все сервера и рабочие устройства. Также нужно санитизировать (то есть проверять) все файлы, которые загружаются в вашу инфраструктуру.
В-четвертых, чтобы избежать утечек чувствительных данных, нужно будет запастись DLP-решениями. Тут также пригодится кибергигиена и настроенные парольные политики и многофакторная аутентификация для входа в рабочие учетные записи сотрудников. Антивирус тот также не будет лишним, так.
По итогу получаем достаточно бюджетный, нетрудозатратный и безопасный коктейль из антивирусов, AntiDDoS, политик безопасности, DLP и регулярного повышения осведомленности ваших сотрудников. Поздравляю вас, теперь вам практически ничего не страшно, если, конечно же, вы не стали однозначной целью одной из хакерских группировок. Но если это так, то тут понадобится целый отдел ИБ, чтобы выстроить полноценную эшелонированную защиту ваших ресурсов, сотрудников и компании, в целом.
#Полезное
Твой Пакет Безопасности
Ну что, о том, какие у малого и среднего бизнеса есть угрозы безопасности мы уже узнали в одном из прошлых постов, поэтому теперь настало время разобраться с тем, как от них защищаться. Пойдем по-порядку.
Во-первых, ничего эффективнее здоровой кибергигиены против фишинга и социальной инженерии пока не изобрели. Сюда же добавляем здравую логику, которая также тренируется у ваших сотрудников. Вообще, в домене безопасности для этого даже есть специальное название – security awareness (более подробно можно почитать тут, например). Руководству компаний стоит заботиться о повышении осведомленности (в сфере ИБ) своих сотрудников. Для этого уже давно изобрели тренинги, профилактику и даже учения.
Во-вторых, у нас был пункт про DDoS-атаки. Тут придется немного раскошелиться или нанять инженера (и тоже раскошелиться) с хорошим знанием сетевых технологий и готовностью работать с опенсорсом. Но порой проще заказать сервис АнтиДДоСа, как услугу у своего же интернет-провайдера, например.
В-третьих, шифровальщики. В некоторых случаях можно обойтись первым пунктом с кибергигиеной, но иногда придется позаботиться еще и об установке антивирусного ПО на все сервера и рабочие устройства. Также нужно санитизировать (то есть проверять) все файлы, которые загружаются в вашу инфраструктуру.
В-четвертых, чтобы избежать утечек чувствительных данных, нужно будет запастись DLP-решениями. Тут также пригодится кибергигиена и настроенные парольные политики и многофакторная аутентификация для входа в рабочие учетные записи сотрудников. Антивирус тот также не будет лишним, так.
По итогу получаем достаточно бюджетный, нетрудозатратный и безопасный коктейль из антивирусов, AntiDDoS, политик безопасности, DLP и регулярного повышения осведомленности ваших сотрудников. Поздравляю вас, теперь вам практически ничего не страшно, если, конечно же, вы не стали однозначной целью одной из хакерских группировок. Но если это так, то тут понадобится целый отдел ИБ, чтобы выстроить полноценную эшелонированную защиту ваших ресурсов, сотрудников и компании, в целом.
#Полезное
Твой Пакет Безопасности
👍22❤5🔥3⚡1❤🔥1🤩1🙏1🕊1🫡1🦄1
Всем привет 👋
Как я и обещал, у меня получилось добыть для своих любимых подписчиков пару билетов на предстоящий OFFZONE 2023 (тут можно почитать про конфу, а тут про их крутое баг-баунти)🥳
Само собой, интересно это будет далеко не всем, но для безопасников и айтишников, желающих получить эти билеты, я придумал небольшой (и очень простой) квест. Нужно просто ответить на вопрос – "кем я (админ канала) был до того, как ушел в кибербез?"🤔
Ответом должны быть все направления в IT, в которых я работал. Тому, кто первым напишет в комментариях правильную (и максимально полную) версию – достанутся заветные 2 билета на конференцию. Рекомендую не гадать, а провести мини-расследование, пасхалок я оставил за все время уже достаточно😉
Ах да, наш канал теперь является официальным комьюнити-партнером этой международной конференции по практической кибербезопасности. О том, почему это круто, я уже писал тут.
Всем удачи в конкурсе, и да пребудет с вами сила!
Твой Пакет Безопасности
Как я и обещал, у меня получилось добыть для своих любимых подписчиков пару билетов на предстоящий OFFZONE 2023 (тут можно почитать про конфу, а тут про их крутое баг-баунти)
Само собой, интересно это будет далеко не всем, но для безопасников и айтишников, желающих получить эти билеты, я придумал небольшой (и очень простой) квест. Нужно просто ответить на вопрос – "кем я (админ канала) был до того, как ушел в кибербез?"
Ответом должны быть все направления в IT, в которых я работал. Тому, кто первым напишет в комментариях правильную (и максимально полную) версию – достанутся заветные 2 билета на конференцию. Рекомендую не гадать, а провести мини-расследование, пасхалок я оставил за все время уже достаточно
Ах да, наш канал теперь является официальным комьюнити-партнером этой международной конференции по практической кибербезопасности. О том, почему это круто, я уже писал тут.
Всем удачи в конкурсе, и да пребудет с вами сила!
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤7🤩4🏆3🕊2⚡1✍1🔥1🌚1
Что там нового у РКН?
Во-первых, они решили проаудировать и сертифицировать все компании, которые обрабатывают наши с вами персональные данные. Раньше подобными вещами занималась большая аудиторская четверка или локальные регуляторы (в ФинТехе это был ЦБ, например). Теперь же всё хотят унифицировать и причесать. Идея крутая, но меня смущает тут две вещи.
Первая – где они возьмут столько кадров для того, чтобы регулярно эти аудиты и сертификации проводить – вообще не понятно. Напомню, у нас тут дикий дефицит на рынке труда, а людей нужно крайне много. Вторая – все эти аудиты обычно проводятся максимально халатно, без особого погружения и скорее для галочки. Изменится ли что-то, когда в игру войдет РКН – не понятно. Но если они разработают нормальную методологию, то какие-то шансы есть. К слову, позже РКН внес ремарку в эту новость, сказав, что это касается только тех компаний, которые обрабатывают более 1 млн записей о пользователях (таких тоже хватает).
Второй инфоповод, который нам не так давно подарил Роскомнадзор – это его намерение начать блокировать все ресурсы, которые учат людей эти самые блокировки обходить. В целом, смотрится вполне органично в рамках текущей политики РКН и закрытости интернетов. Но мы с вами уже знаем примеры того, как блокирующие органы проигрывали в кошки-мышки интернет-ресурсам, да и в тех же мессенджерах инструкций хватает.
#Мнение
Твой Пакет Безопасности
Во-первых, они решили проаудировать и сертифицировать все компании, которые обрабатывают наши с вами персональные данные. Раньше подобными вещами занималась большая аудиторская четверка или локальные регуляторы (в ФинТехе это был ЦБ, например). Теперь же всё хотят унифицировать и причесать. Идея крутая, но меня смущает тут две вещи.
Первая – где они возьмут столько кадров для того, чтобы регулярно эти аудиты и сертификации проводить – вообще не понятно. Напомню, у нас тут дикий дефицит на рынке труда, а людей нужно крайне много. Вторая – все эти аудиты обычно проводятся максимально халатно, без особого погружения и скорее для галочки. Изменится ли что-то, когда в игру войдет РКН – не понятно. Но если они разработают нормальную методологию, то какие-то шансы есть. К слову, позже РКН внес ремарку в эту новость, сказав, что это касается только тех компаний, которые обрабатывают более 1 млн записей о пользователях (таких тоже хватает).
Второй инфоповод, который нам не так давно подарил Роскомнадзор – это его намерение начать блокировать все ресурсы, которые учат людей эти самые блокировки обходить. В целом, смотрится вполне органично в рамках текущей политики РКН и закрытости интернетов. Но мы с вами уже знаем примеры того, как блокирующие органы проигрывали в кошки-мышки интернет-ресурсам, да и в тех же мессенджерах инструкций хватает.
#Мнение
Твой Пакет Безопасности
🤣30⚡6❤5👍2🤩2❤🔥1👎1🔥1😁1🕊1
Сегодня пропустим недельный дайджест и лучше подведем итоги розыгрыша двух билетов на конференцию. Итак, победителями нашего мини-конкурса становятся сразу 2 человека – Dev Kirill (технически, он выполнил условия конкурса) и некий axel, ник которого скрыт 🥳
Победители, можете написать мне в личку (вот сюда) и забрать два своих билета на OFFZONE, который пройдет 24-25 августа.
Судя по небольшому количеству ответов под постом с конкурсом, у меня сложилось впечатление, что тут собралось не так уж и много кибербезопасников. Поэтому, давайте проведем небольшую перекличку в следующем голосовании (само собой, оно анонимное). Мне просто хочется понять, доставать ли для вас еще билеты на подобные мероприятия из мира ИБ.
Победителей еще раз поздравляю!
Твой Пакет Безопасности
Победители, можете написать мне в личку (вот сюда) и забрать два своих билета на OFFZONE, который пройдет 24-25 августа.
Судя по небольшому количеству ответов под постом с конкурсом, у меня сложилось впечатление, что тут собралось не так уж и много кибербезопасников. Поэтому, давайте проведем небольшую перекличку в следующем голосовании (само собой, оно анонимное). Мне просто хочется понять, доставать ли для вас еще билеты на подобные мероприятия из мира ИБ.
Победителей еще раз поздравляю!
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
🏆5👍3❤2⚡2❤🔥1👏1🙏1🕊1
Ты кибербезопасник?
Anonymous Poll
15%
Да (Blue Team)
9%
Да (Red Team)
13%
Да, но я в черной шляпе
64%
Нет
👍10⚡4🔥4❤2🤔2🌭2🕊1🏆1🦄1
Подписка, лайк и колокольчик
Что-то я давно не делился с вами полезными подкастами и ютуб-каналами. Решил собрать парочку каналов на разные около-ИБшные темы (пост не рекламный, честно).
Наверное, самый известный новостник в мире отечественного ИБ – канал SecLab. Можно посмотреть их дайджесты новостей за завтраком, чтобы не выпадать из инфополя ИБ.
Следом поделюсь каналом, который понадобится уже для того, чтобы не выпадать из инфополя IT. Тут есть не только дайджесты новостей, но и разборы полухайповых тем в АйТи.
А вот этот канал пару раз выручал меня быстрым и понятным ликбезом по каким-то узким темам, которые нужно было оперативно освоить.
Ну и на десерт – ловите крутую лекцию по безопасной архитектуре, ссылкой на которую поделился со мной один менти. Спикер пробежался (хоть и по верхам) по основным болевым точкам безопасных паттернов, так что для всех интересующихся – мастхэв.
#Полезное
Твой Пакет Безопасности
Что-то я давно не делился с вами полезными подкастами и ютуб-каналами. Решил собрать парочку каналов на разные около-ИБшные темы (пост не рекламный, честно).
Наверное, самый известный новостник в мире отечественного ИБ – канал SecLab. Можно посмотреть их дайджесты новостей за завтраком, чтобы не выпадать из инфополя ИБ.
Следом поделюсь каналом, который понадобится уже для того, чтобы не выпадать из инфополя IT. Тут есть не только дайджесты новостей, но и разборы полухайповых тем в АйТи.
А вот этот канал пару раз выручал меня быстрым и понятным ликбезом по каким-то узким темам, которые нужно было оперативно освоить.
Ну и на десерт – ловите крутую лекцию по безопасной архитектуре, ссылкой на которую поделился со мной один менти. Спикер пробежался (хоть и по верхам) по основным болевым точкам безопасных паттернов, так что для всех интересующихся – мастхэв.
#Полезное
Твой Пакет Безопасности
🔥9👍5⚡3👨💻3❤2✍1👏1💯1
Закрыть ворота
В Госдуме тут придумали и внесли новую поправку, согласно которой нам скоро могут запретить регистрироваться на отечественных ресурсах при помощи иностранных почтовых ящиков. Думаю, что эта инициатива идет от Минцифры. Ну а у меня к этому есть парочка комментариев.
Первый касается того, что я понимаю, откуда растут ноги – наши регуляторы хотят контролировать безопасность данных пользователей (то есть своих граждан), и это правильно. В случае чего, почтовые сервисы в РФ можно будет штрафовать за утечки или нарушение доступа. С того же гугла или майкрософта уже мало что можно потребовать. Плюс к этому, сервера находятся на нашей территории, что тоже важно.
Второй – в целом, у наших почтовых провайдеров достаточно высокий уровень зрелости айти, и сервисами можно удобно и комфортно пользоваться. В крайнем случае, можно настроить прямую переадресацию на свой ящик джимейла или аутлука.
Ну и третий – думаю, что скоро будет введено еще и ограничение, касающееся номеров телефонов только РФ-операторов связи. А еще, всё потихоньку сводится к тому, чтобы точно идентифицировать тех, кто пользуется какими-либо услугами и сервисами на территории РФ. Скорее всего, скоро все перейдут на авторизацию только через ID-сервисы (такие уже делает Тинькофф, Яндекс и прочие) или Госуслуги. Это значит, что регуляторы будут видеть действия пользователей в сети и иметь четкую привязку этих действий к своим гражданам.
Ну и, само собой, грустно то, что нас потихоньку продолжают отрезать от внешнего мира, чего очень не хочется.
#Мнение
Твой Пакет Безопасности
В Госдуме тут придумали и внесли новую поправку, согласно которой нам скоро могут запретить регистрироваться на отечественных ресурсах при помощи иностранных почтовых ящиков. Думаю, что эта инициатива идет от Минцифры. Ну а у меня к этому есть парочка комментариев.
Первый касается того, что я понимаю, откуда растут ноги – наши регуляторы хотят контролировать безопасность данных пользователей (то есть своих граждан), и это правильно. В случае чего, почтовые сервисы в РФ можно будет штрафовать за утечки или нарушение доступа. С того же гугла или майкрософта уже мало что можно потребовать. Плюс к этому, сервера находятся на нашей территории, что тоже важно.
Второй – в целом, у наших почтовых провайдеров достаточно высокий уровень зрелости айти, и сервисами можно удобно и комфортно пользоваться. В крайнем случае, можно настроить прямую переадресацию на свой ящик джимейла или аутлука.
Ну и третий – думаю, что скоро будет введено еще и ограничение, касающееся номеров телефонов только РФ-операторов связи. А еще, всё потихоньку сводится к тому, чтобы точно идентифицировать тех, кто пользуется какими-либо услугами и сервисами на территории РФ. Скорее всего, скоро все перейдут на авторизацию только через ID-сервисы (такие уже делает Тинькофф, Яндекс и прочие) или Госуслуги. Это значит, что регуляторы будут видеть действия пользователей в сети и иметь четкую привязку этих действий к своим гражданам.
Ну и, само собой, грустно то, что нас потихоньку продолжают отрезать от внешнего мира, чего очень не хочется.
#Мнение
Твой Пакет Безопасности
🤬40😢14👍5❤3😁3🔥2🤓2⚡1🕊1😍1
Ну вот и внедрили
Судя по всему, все начальные тесты с прогонами завершены, и цифровой рубль выкатывают в полу-продакшен. Уже подписаны все законы о внедрении новой валюты и создании платформы для него. У нас в стране теперь официально есть три вида национальной валюты – цифровая, наличная и безналичная. Судя по всему, курс будет синхронизироваться между всеми ними (надеюсь, что не как с USDT).
Проблему я вижу одну и очень важную – система будет не децентрализованной, а все цифровые рубли будут храниться в одном месте – в ЦБ, то есть, в одной копилке. Хорошая новость заключается в том, что доступ к этой копилке будет организован только через сервисы банков, а не напрямую. Хотя, лично мне кажется, что так будет недолго, и спустя какое-то время доступ получат и другие организации.
Если я правильно читаю документы, то альфа-тестирование действительно завершено, а проект переведен в статус более глобального и объемного тестирования. По итогу, мы должны будем получить доступ к новому рублю где-то через 2 года.
Очень надеюсь, что ЦБ успеет подготовиться к этому времени и проработать максимально безопасную систему защиты своей новой копилки. Не ясно только, зачем мы опять начали выпускать купюры по 5 рублей.
#НовостьДня
Твой Пакет Безопасности
Судя по всему, все начальные тесты с прогонами завершены, и цифровой рубль выкатывают в полу-продакшен. Уже подписаны все законы о внедрении новой валюты и создании платформы для него. У нас в стране теперь официально есть три вида национальной валюты – цифровая, наличная и безналичная. Судя по всему, курс будет синхронизироваться между всеми ними (надеюсь, что не как с USDT).
Проблему я вижу одну и очень важную – система будет не децентрализованной, а все цифровые рубли будут храниться в одном месте – в ЦБ, то есть, в одной копилке. Хорошая новость заключается в том, что доступ к этой копилке будет организован только через сервисы банков, а не напрямую. Хотя, лично мне кажется, что так будет недолго, и спустя какое-то время доступ получат и другие организации.
Если я правильно читаю документы, то альфа-тестирование действительно завершено, а проект переведен в статус более глобального и объемного тестирования. По итогу, мы должны будем получить доступ к новому рублю где-то через 2 года.
Очень надеюсь, что ЦБ успеет подготовиться к этому времени и проработать максимально безопасную систему защиты своей новой копилки. Не ясно только, зачем мы опять начали выпускать купюры по 5 рублей.
#НовостьДня
Твой Пакет Безопасности
🤬26🤣17❤9🤔3👍2🔥2👨💻2🕊1
Media is too big
VIEW IN TELEGRAM
🔍 Как мигрировать в облако по-человечески: новый выпуск подкаста «Безопасно говоря»
Во втором эпизоде подкаста «Безопасно говоря» от Yandex Cloud обсудили, какие косты и другие факторы необходимо учитывать компаниям при миграции в облако, что выгоднее в перспективе трех-пяти лет — облако или on-premise — и что из этого в реальности безопаснее.
А еще поговорили с гостями из СДЭК и «Азбуки вкуса» о том, как снизить влияние человеческого фактора при миграции в облако, нужно ли обучать азам ИБ сотрудников крупных ритейл-компаний, почему необходимо побольше автоматизировать и почаще обнимать своих безопасников, и о многом другом.
🎧 Слушайте на Яндекс Музыке
💻 Смотрите на YouTube
#Реклама
Во втором эпизоде подкаста «Безопасно говоря» от Yandex Cloud обсудили, какие косты и другие факторы необходимо учитывать компаниям при миграции в облако, что выгоднее в перспективе трех-пяти лет — облако или on-premise — и что из этого в реальности безопаснее.
А еще поговорили с гостями из СДЭК и «Азбуки вкуса» о том, как снизить влияние человеческого фактора при миграции в облако, нужно ли обучать азам ИБ сотрудников крупных ритейл-компаний, почему необходимо побольше автоматизировать и почаще обнимать своих безопасников, и о многом другом.
🎧 Слушайте на Яндекс Музыке
💻 Смотрите на YouTube
#Реклама
👍13✍3🔥3
IMG_3572.mov
3.5 MB
⚡7👍4🏆3❤2🦄2❤🔥1🔥1👏1
Безопасный пароль нужен?
Я тут узнал (собрал небольшую статистику), что многие используют везде один и тот же пароль по причине того, что просто не могут быстро придумать новый и безопасный, когда им где-то надо зарегистрироваться или обновить старый пароль. По итогу моего мини-исследования оказалось, что у большинства людей есть где-то 2-4 пароля, которыми они ловко жонглируют, меняя их друг на друга на различных сайтах, сервисах и приложениях.
Само собой, 4 пароля лучше, чем 1. Проблема только в том, что эти 4 пароля распределяются на десятки разных сервисов, в которых у людей заведены аккаунты. В итоге, если взломают хоть один из сервисов, то злоумышленники получат доступ сразу к четверти от всех аккаунтов жертвы.
Само собой, я бы мог поделиться с вами тут лайфхаками по тому, как надо генерировать пароль, который лучше запоминается и тяжело взламывается. Но поверьте, при правильном подходе (когда везде используются уникальные пароли), у вас не хватит памяти и сил, чтобы запомнить каждый из них.
Я лично давно не запариваюсь и просто добавил себе в закладки вот такой генератор паролей от ЛастПасса – ссылка (тот самый, которого уже раза 3 ломали). И теперь, каждый раз, когда мне нужно изобрести новый сложный пароль, я просто захожу туда, ставлю нужные мне параметры (16 символов, Easy to read + все галочки справа), несколько раз генерирую пароль и выбираю понравившийся. По итогу мы имеем криптостойкий и уникальный пароль для каждого сервиса. Главное – не забывайте его регулярно менять.
Само собой есть теория, что я делаю что-то не так (я в нее пока не верю) или есть способ генерировать пароли еще эффективнее. Предлагаю обсудить в комментариях, как это делаете вы (сами пароли можете не присылать, ладно ).
#Полезное
Твой Пакет Безопасности
Я тут узнал (собрал небольшую статистику), что многие используют везде один и тот же пароль по причине того, что просто не могут быстро придумать новый и безопасный, когда им где-то надо зарегистрироваться или обновить старый пароль. По итогу моего мини-исследования оказалось, что у большинства людей есть где-то 2-4 пароля, которыми они ловко жонглируют, меняя их друг на друга на различных сайтах, сервисах и приложениях.
Само собой, 4 пароля лучше, чем 1. Проблема только в том, что эти 4 пароля распределяются на десятки разных сервисов, в которых у людей заведены аккаунты. В итоге, если взломают хоть один из сервисов, то злоумышленники получат доступ сразу к четверти от всех аккаунтов жертвы.
Само собой, я бы мог поделиться с вами тут лайфхаками по тому, как надо генерировать пароль, который лучше запоминается и тяжело взламывается. Но поверьте, при правильном подходе (когда везде используются уникальные пароли), у вас не хватит памяти и сил, чтобы запомнить каждый из них.
Я лично давно не запариваюсь и просто добавил себе в закладки вот такой генератор паролей от ЛастПасса – ссылка (тот самый, которого уже раза 3 ломали). И теперь, каждый раз, когда мне нужно изобрести новый сложный пароль, я просто захожу туда, ставлю нужные мне параметры (16 символов, Easy to read + все галочки справа), несколько раз генерирую пароль и выбираю понравившийся. По итогу мы имеем криптостойкий и уникальный пароль для каждого сервиса. Главное – не забывайте его регулярно менять.
Само собой есть теория, что я делаю что-то не так (я в нее пока не верю) или есть способ генерировать пароли еще эффективнее. Предлагаю обсудить в комментариях, как это делаете вы (
#Полезное
Твой Пакет Безопасности
❤16👍7🤓5✍2⚡2🔥2❤🔥1👏1🕊1🫡1🦄1
Больше контента
Не так давно я делал подборку по полезным ютуб-каналам, прямо или косвенно связанным с кибербезопаснотью. Судя по статистике, пост достаточно бодро разлетелся по Телеграму, поэтому сегодня продолжим эту историю (да, это всё еще не реклама).
Начнем мы с полезных ютуб-каналов из мира IT (да, без этого никуда), а точнее, с канала SOER-а. Тут и про JWT, и про код-ревью, и даже про правильный менеджмент в айти. В общем, я уверен, что многие найдут для себя тут что-то интересное и полезное.
Второй канал на сегодня – Podlodka. Эти ребята и конференции умеют организовывать, и целое АйТи-коммьюнити выстраивать. Соответственно, контент они снимают тоже качественный и актуальный.
Канал Space307 – перед их дизайнером я до сих пор преклоняю колено. В плане контента на канале, они очень схожи с Подлодкой – ролики максимально лёгкие по подаче, но при этом актуальные и полезные.
Еще есть один забавный канал – Listen IT. По сути, это просто озвучка статей с хабра и медиума, где за 10-15 минут разбирается какая-то одна тема из IT или ИБ. Очень удобно послушать на фоне, пока занимаешься какими-то другими задачами.
Если у вас есть свои любимые ИТ/ИБ-каналы, то буду признателен, если покидаете ссылок в комментариях.
#Полезное
Твой Пакет Безопасности
Не так давно я делал подборку по полезным ютуб-каналам, прямо или косвенно связанным с кибербезопаснотью. Судя по статистике, пост достаточно бодро разлетелся по Телеграму, поэтому сегодня продолжим эту историю (да, это всё еще не реклама).
Начнем мы с полезных ютуб-каналов из мира IT (да, без этого никуда), а точнее, с канала SOER-а. Тут и про JWT, и про код-ревью, и даже про правильный менеджмент в айти. В общем, я уверен, что многие найдут для себя тут что-то интересное и полезное.
Второй канал на сегодня – Podlodka. Эти ребята и конференции умеют организовывать, и целое АйТи-коммьюнити выстраивать. Соответственно, контент они снимают тоже качественный и актуальный.
Канал Space307 – перед их дизайнером я до сих пор преклоняю колено. В плане контента на канале, они очень схожи с Подлодкой – ролики максимально лёгкие по подаче, но при этом актуальные и полезные.
Еще есть один забавный канал – Listen IT. По сути, это просто озвучка статей с хабра и медиума, где за 10-15 минут разбирается какая-то одна тема из IT или ИБ. Очень удобно послушать на фоне, пока занимаешься какими-то другими задачами.
Если у вас есть свои любимые ИТ/ИБ-каналы, то буду признателен, если покидаете ссылок в комментариях.
#Полезное
Твой Пакет Безопасности
👍19⚡6❤4👏3🦄2❤🔥1🤔1🤩1🕊1👨💻1
С заслуженным выходным вас, дорогие подписчики. Ну а у нас по расписанию дайжест интересных постов за эту неделю.
⚡️ Подборка полезных Ютуб-каналов для АйТишников и ИБшников – ссылка
⚡️ Как в России иностранные почтовые ящики запретили и что будет дальше – ссылка
⚡️ Что там с цифровым рублём и чем опасно то, что вся казна будет в одном месте – ссылка
⚡️ Как сделать криптостойкий пароль и не выгореть (рекомендую заглянуть в комментарии) – ссылка
⚡️ Вторая подборка полезных каналов для саморазвития и изучения инфополя – ссылка
Твой Пакет Безопасности
⚡️ Как в России иностранные почтовые ящики запретили и что будет дальше – ссылка
⚡️ Что там с цифровым рублём и чем опасно то, что вся казна будет в одном месте – ссылка
⚡️ Как сделать криптостойкий пароль и не выгореть (рекомендую заглянуть в комментарии) – ссылка
⚡️ Вторая подборка полезных каналов для саморазвития и изучения инфополя – ссылка
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡8❤7👍3🤩2🙏1🕊1💯1🦄1
This media is not supported in your browser
VIEW IN TELEGRAM
😱37🤣23👍10❤4😎3😁2❤🔥1⚡1👎1🍌1🤗1
Новая рубрика
Судя по тому, как со стороны властей так и сыпятся инфоповоды, скоро у нас может появиться новая рубрика, которая только им и будет посвящена.
Начнем тотальной блокировки OpenVPN и Wireguard на территории РФ. Я пока не нашел официальных подтверждений, но, судя по слухам, у многих начали отваливаться их личные VPN-тоннели, построенные через эти два сервиса. Возможно ли это и похоже ли это на правду – да. Звучит это всё не очень хорошо, но это далеко не единственные доступные технологии для построения безопасного соединения, так что живем дальше.
Второй инфоповод связан с тем, что тут вдруг все начали паниковать из-за появления на Госуслугах их адреса фактического проживания. Туда же начали подтягиваться еще и РЖД-билеты после недавнего обновления системы. С точки зрения пользователя – вполне удобные функции. Думаю, что в ближайшем будущем этот портал будет в себе агрегировать максимальное количество данных о человеке, которые он будет подтягивать от партнеров (например, МВД). С точки зрения параноика – всё плохо, но не очень. Если вы думаете, что раньше никто не знал или не мог узнать место вашего фактического проживания, то вы ошибаетесь. Теперь просто его показывают и вам тоже. Другой вопрос, что скоро взломав госуслуги можно будет получить не только документы всех граждан, но и вообще любую информацию о них.
Ну и последняя новость про то, что ввласти решили создать отдельного сотового оператора для госорганов. Сказать, что я удивлен – не сказать ничего. Во-первых, в сотовых сетях и так есть огромная дыра, которую мы обсуждали ранее. Во-вторых, злоумышленникам теперь даже расследование проводить не надо будет – они сразу будут знать, что и где ломать, чтобы наслушаться интересных вещей. Я конечно верю в то, что там всё будет зашифровано и перешифровано, но пока что слабо себе представляю, как это будет реализовано.
#НовостьДня
Твой Пакет Безопасности
Судя по тому, как со стороны властей так и сыпятся инфоповоды, скоро у нас может появиться новая рубрика, которая только им и будет посвящена.
Начнем тотальной блокировки OpenVPN и Wireguard на территории РФ. Я пока не нашел официальных подтверждений, но, судя по слухам, у многих начали отваливаться их личные VPN-тоннели, построенные через эти два сервиса. Возможно ли это и похоже ли это на правду – да. Звучит это всё не очень хорошо, но это далеко не единственные доступные технологии для построения безопасного соединения, так что живем дальше.
Второй инфоповод связан с тем, что тут вдруг все начали паниковать из-за появления на Госуслугах их адреса фактического проживания. Туда же начали подтягиваться еще и РЖД-билеты после недавнего обновления системы. С точки зрения пользователя – вполне удобные функции. Думаю, что в ближайшем будущем этот портал будет в себе агрегировать максимальное количество данных о человеке, которые он будет подтягивать от партнеров (например, МВД). С точки зрения параноика – всё плохо, но не очень. Если вы думаете, что раньше никто не знал или не мог узнать место вашего фактического проживания, то вы ошибаетесь. Теперь просто его показывают и вам тоже. Другой вопрос, что скоро взломав госуслуги можно будет получить не только документы всех граждан, но и вообще любую информацию о них.
Ну и последняя новость про то, что ввласти решили создать отдельного сотового оператора для госорганов. Сказать, что я удивлен – не сказать ничего. Во-первых, в сотовых сетях и так есть огромная дыра, которую мы обсуждали ранее. Во-вторых, злоумышленникам теперь даже расследование проводить не надо будет – они сразу будут знать, что и где ломать, чтобы наслушаться интересных вещей. Я конечно верю в то, что там всё будет зашифровано и перешифровано, но пока что слабо себе представляю, как это будет реализовано.
#НовостьДня
Твой Пакет Безопасности
🤣37❤12👍9⚡3🔥2🥰2🕊2❤🔥1🙏1🏆1🙈1
Прикладываем безопасный подорожник
После начала блокировки самых популярных VPN-протоколов у многих возникли вопросы и проблемы с выбором замены. С самого начала я топил за то, что нет лучше замены, чем свой ВПН, поэтому погнали.
Я не буду копировать сюда полные мануалы по установке и настройке сервера, изменению конфигураций VPN и так далее. Я просто дам ссылку на алгоритм, по которому я шел, и прокомментирую нюансы, чтобы все эти процедуры не вызвали у вас головную боль и не отняли много времени. На всё про всё у меня ушло порядка получаса (без подготовки).
Я пользуюсь сервисом Outline (о том, почему им, мы обсуждали здесь), поэтому про него и расскажу. Чтобы было удобно и с картинками, можете включить этот ролик и начать по-порядку, а я буду комментировать некоторые шаги. Там всё достаточно подробно описано и я делал по аналогии с ним.
Во-первых, хостинг VPS/VDS – можете выбрать абсолютно любой, который вам понравится или для которого вы сможете найти реферальную ссылку со скидкой.
Во-вторых, для подключения к своему серверу по ssh автор использует MobaXtern, но я воспользовался старым-добрым FileZilla.
В-третьих, если у вас будут возникать какие-то проблемы с установкой Аутлайна на сервере, то просто копируете ошибку и вставляете ее в гугл – там уже всё давно решили. И да, у меня тоже не поставилось всё. с первого раза и без танцев с бубном.
В-четвертых, если у вас возникнут какие-то нерешаемые проблемы с установкой или настройкой – пишите в комменты или личку, попробуем вместе разобраться.
В-пятых, пользуйтесь на здоровье и берегите свои данные.
#Полезное
Твой Пакет Безопасности
После начала блокировки самых популярных VPN-протоколов у многих возникли вопросы и проблемы с выбором замены. С самого начала я топил за то, что нет лучше замены, чем свой ВПН, поэтому погнали.
Я не буду копировать сюда полные мануалы по установке и настройке сервера, изменению конфигураций VPN и так далее. Я просто дам ссылку на алгоритм, по которому я шел, и прокомментирую нюансы, чтобы все эти процедуры не вызвали у вас головную боль и не отняли много времени. На всё про всё у меня ушло порядка получаса (без подготовки).
Я пользуюсь сервисом Outline (о том, почему им, мы обсуждали здесь), поэтому про него и расскажу. Чтобы было удобно и с картинками, можете включить этот ролик и начать по-порядку, а я буду комментировать некоторые шаги. Там всё достаточно подробно описано и я делал по аналогии с ним.
Во-первых, хостинг VPS/VDS – можете выбрать абсолютно любой, который вам понравится или для которого вы сможете найти реферальную ссылку со скидкой.
Во-вторых, для подключения к своему серверу по ssh автор использует MobaXtern, но я воспользовался старым-добрым FileZilla.
В-третьих, если у вас будут возникать какие-то проблемы с установкой Аутлайна на сервере, то просто копируете ошибку и вставляете ее в гугл – там уже всё давно решили. И да, у меня тоже не поставилось всё. с первого раза и без танцев с бубном.
В-четвертых, если у вас возникнут какие-то нерешаемые проблемы с установкой или настройкой – пишите в комменты или личку, попробуем вместе разобраться.
В-пятых, пользуйтесь на здоровье и берегите свои данные.
#Полезное
Твой Пакет Безопасности
❤17👍7👏5⚡3🔥2🤯1🕊1💯1
Прошлая неделя в мире отечественного кибербеза выдалась очень насыщенной и это не может не радовать.
Во-первых, АвитоТех провел свой крутой (и крайне редкий в мире ИБ) митап по кибербезопасности – Avito Security Meetup. Ну а я на нем выступил со своим дебютным докладом про то, как можно и нужно поддерживать себя в кибербезопасной форме и не переставать развиваться. Посмотреть можно тут – ссылка.
Во-вторых, состоялась церемония награждения по итогам завершения первой в России премии для пентестеров (это которые этичные хакеры). Это был крутой опыт, ребятам раздали шикарные призы, которых они точно заслуживают, так как двигают кибербез вперед, активно участвуют в его развитии и популяризации.
В общем, я доволен, ловите фотки🫡
Твой Пакет Безопасности
Во-первых, АвитоТех провел свой крутой (и крайне редкий в мире ИБ) митап по кибербезопасности – Avito Security Meetup. Ну а я на нем выступил со своим дебютным докладом про то, как можно и нужно поддерживать себя в кибербезопасной форме и не переставать развиваться. Посмотреть можно тут – ссылка.
Во-вторых, состоялась церемония награждения по итогам завершения первой в России премии для пентестеров (это которые этичные хакеры). Это был крутой опыт, ребятам раздали шикарные призы, которых они точно заслуживают, так как двигают кибербез вперед, активно участвуют в его развитии и популяризации.
В общем, я доволен, ловите фотки🫡
Твой Пакет Безопасности
👏14🔥6❤3🏆3😁2🤝2🫡2⚡1❤🔥1🕊1🐳1