☄Установите облачный пароль в Телеграм!
Расскажите своим друзьям и родственникам!

🙏Прошу всех защититься от угона Телеграм - установить облачный пароль и никому его не рассказывать - это описано на отметке 03:56.

У Телеграм есть еще код-пароль - его тоже рекомендую. Он тоже спасает! У меня включены оба способа защиты.

Найдите 8 минут на видеоролик!👌
00:19 Доступ в Телеграм вы отдаете сами
02:28 А вообще-то защититься - просто!
02:58 Угон через фейковый Wildberries
03:32 Угон под видом покупки канала
03:56 Как установить облачный пароль
04:12 Почему важно делать пароль уникальным
04:35 Что делать, если канал уже украли
05:11 Внимание! Поддельные аккаунты друзей и коллег!
06:06 Расскажите своим друзьям и родственникам!

https://www.youtube.com/watch?v=M84MYJBGXAI

⚡Как писать приложения без уязвимостей?❓

Мой опыт программирования 20+ лет и первые уроки безопасного кода я получил, когда стал писать драйвера файловых систем и COM/DCOM компонент.

Первый пример.

ℹСиний экран на тогда еще Windows 98 - это не то, чему радовались мои заказчики. И да, это приводит к добавлению множества проверок входных данных и через IOCTL и даже при взаимодействии с компонентами ядра Windows. Когда мы отладили наш продукт ShadowUser, стали продавать, то получили через месяц первый crack для взлома проверки серийного номера - я понял, что код получился удачный и его хотят и он не падает! )

Данные стали кодом

ℹПроверять входные данные важно и когда происходит взаимодействие между kernel mode/user mode и когда передаются данные между клиентом и сервером в случае DCOM/RPC. А сейчас по-сути по данные стали кодом, поэтому так популярны команды SQL после кавычки прямо в поле ФАМИЛИЯ. Поэтому модель Белла-Лападулы, которую так любят изучать в институтах и даже в курсе для безопасниковв CISSP, не работает - там это не учтено. 😿

Второй пример.

ℹДоменная система Интернет держится на маленькой программе под названием bind. Если вы посмотрите исходный код, то его половина - это проверка входных данных. Я помню те времена, когда в BIND находили уязвимости чуть ли не каждый день и систему доменных имен DNS потряхивало от этого. И это были 2000 годы.

❓Могут ли программисты писать безопасный код и почему сейчас произошел сдвиг к проверкам прямо в IDE, поговорил в этом видеоролике. 🎤

В компании Positive Technologies вы часто увидите выступления по Application Security у Дениса Кораблева, Ивана Соломатина и Светланы Газизовой.

https://www.youtube.com/watch?v=kif-FXnhaZ0

🎤Топ: Система Станиславского для оратора

Я сам уже 17 лет выступаю и много учусь выступлениям. И считаю, что эти три принципа реально главные. Смотрите это перед каждым своим выступлением!
1. Сверхзадача 🔥 - держите в голове что должны сделать ваши слушатели после выступления.
2. Сценическое действие 💯 - боритесь с возражениями, и лучше предвосхищайте их.
3. Вера в предлагаемые обстоятельства 👍 - любые общие слова, подкрепляйте своей историей.

Топ менеджеров паролей

☄️Существует множество статей про менеджеры паролей. Их легко найти по темам "Топ 6 менеджеров паролей или "Лучшие 10 менеджеров паролей". И среди этих статей тоже должна быть топовая.

😇Я просмотрел для вас несколько статей и считаю, что топовой статьей про топовые менеджеры пароли является статья Катарины Гламослия "10 лучших менеджеров паролей в 2024 году" 👍. Ее легче всего читать и в ней легко понять критерии выбора.

⭐️И лучшим личным выбором Катарины является 1Password. Согласны?

🛡Замечу, если речь про организацию, то лучше применять технологию Single Sign-On (SSO).

🔣Топовые выступления среди всех 2605 презентаций RSA 2023 тут.🔥

Выступления RSA 2024 сильно повторяют контент выступлений RSA 2023. Поэтому, на мой взгляд, можно пересмотреть с тем же успехом выступления по AI, AppSec, стратегиям CISO и другой контент 2023 года, чтобы найти новые идеи.

И канал Топ кибербезопасности рекомендует посмотреть топовые!🤕

⚡️Новая атака против любых VPN пользователей в Linux, Windows, iOS и macOS, кроме Android, независимо от используемого протокола VPN (Wireguard, OpenVPN, IPsec) и набора шифров.

Платформа Android атаке не подвержена, так как не обрабатывает опцию 121 протокола DHCP, используемого для атаки.

Идея атаки в подмене маршрута для операционной системы при помощи специального сообщения от поддельного DHCP сервера злоумышленника. В результате операционная система будет отправлять ваши данные, не в локальный интерфейс VPN туннеля, а на внешнее устройство злоумышленника. Злоумышленник должен расположиться в той же локальной сети, что и вы. Например, это возможно в бесплатном WiFi в кафе, аэропорту или отеле.

Для защиты от атаки можно запретить отправку пакетов через другие сетевые интерфейсы, адресованных в локальный VPN-интерфейс, на уровне локального пакетного фильтра; или блокировать входящие в операционную систему DHCP-пакеты с опцией 121; или использовать VPN внутри отдельной виртуальной машины (или контейнера), изолированной от внешней сети, или применять специальные режимы настройки туннелей, использующие пространства имён в Linux (network namespace), разделяющих сети внутри одного устройства. (То есть никак нельзя защититься обычному пользователю.)

Учитывая, что эта опция протокола DHCP изобретена в 2002 году, то эта атака могла быть известна злоумышленникам уже 22 года.

CVE-2024-3661. Подробнее тут

🤕Ваши сотрудники слишком заняты, чтобы думать о безопасности. Не надейтесь на их внимательность!

Наша способность противостоять мошенникам напрямую зависит от состояния нашей психики. Человек в стрессе или в эйфории гораздо более подвержен манипуляциям, ведь критическое мышление и внимательность ослабевают, а импульсивность наоборот возрастает. На уловки попадаются даже сотрудники безопасности.

Мне импонирует вывод Антона Бочкарева, что можно снизить число ошибившихся пользователей только до уровня 7% от всех. Обучение и прочие техники не помогают снижать дальше. Для 7% людей вы всегда применяете выявление, реагирование и борьбу с последствиями.

❓Почему?

Даниэль Канеман в книге "Думай медленно.. решай быстро" выделяет в психике человека две системы:

✅Система 1: срабатывает автоматически и очень быстро, почти не требуя усилий и не давая ощущения намеренного контроля. По-сути человек все время живет в системе 1, потому что это позволяет экономить мыслетопливо, как говорит Максим Дорофеев в своей книге "Джедайские техники". Именно этим пользуются мошенники - что мы сделаем что-то на автомате, не задумываясь. Гурджиев считал, что человек часто находится в состоянии «сна наяву», то есть как машина, управляемая внешними влияниями.

✅✅Система 2: выделяет внимание, необходимое для сознательных умственных усилий, в том числе для сложных вычислений и чтобы включить эту систему - нужны серьезные причины, потому что это затратно для мозга.

🔥 Я в отпуске в Китае. И случайно снял и смонтировал видеоролик по необычной для себя теме: Традиционная медицина в Китае - личный опыт.
👀 Причем так разошелся, что записал интервью у сотрудницы больницы!
😎 Завтра опубликую рассказ о том, что можно вылечить только у врачей в Китае, про иглы-ножи, массаж Гуаша, кетгут-терапию и другое! Мне было интересно узнать.
➡️ Стоит вообще делать видеоролики не по теме? Не сильно отвлекает? )