Please open Telegram to view this post
VIEW IN TELEGRAM
👍38😁25❤6🫡5🔥3❤🔥2🤯1😍1😨1
Минусы есть?
Не знаю, как вы, но лично я заметил, что за последний год в странах СНГ (да, не только в РФ) начинают всё чаще обсуждать и форсить тему багхантерства, этичного хакинга и Bug Bounty (о том, что это такое, я писал пару лет назад). Ах да, дальше будет душно.
Всё больше людей (особенно молодых) пытается заработать денег на легальном поиске уязвимостей, в чем достаточно часто преуспевают – к ним вопросов нет.
А еще, все больше компаний смотрит в сторону выхода на багбаунти (ББ). Кто-то создаёт свои платформы, кто-то повышает выплаты, кто-то публикует там продукт за продуктом. И вся эта история кажется очень крутой, особенно, если не думать о том, что компании могут гнаться скорее за повышением своей ИБшной репутации, нежели за увеличением уровня безопасности самих ресурсов.
В общем, складывается ощущение, что это просто стало модным, поэтому настало время поговорить не только о бенефитах (они очевидны), но и о рисках выхода на Bug Bounty для компаний.
1. Это банально дорого. Да, мы уже убедили бизнес в том, что безопасность это важно и лучше вложить деньги "до", чем терять их "после", но тут придётся подумать над дополнительными аргументами, ведь раньше мы как-то жили и без ББ, а траты на него могут быть не самыми предсказуемыми.
2. Много операционки. Очень много, причем для многих. Прописать правила программы под каждый продукт, чтобы тебе не сломали ничего лишнего; регулярно и оперативно разбирать новые (порой не самые качественные) отчеты багхантеров; вручную обработать и воспроизвести все найденные уязвимости; донести всё это добро с рекомендациями до тех, кто это будет чинить.
3. Ограничения. Сложно найти такой сервис, опубликованый на багбаунти, который вам будет разрещено тыкать без ограничений. И это нормально, ведь все эти продукты многосоставные, части которых принадлежат разным бизнесам и договориться сразу и со всеми сложно. Соответственно, постоянно натыкаешься на продукт, в котором нельзя трогать авторизацию, какие-то отдельные модули, сторонние платежные виджеты и т.д.
4. Призрачная безопасность и зависимость от багхантеров. Может показаться, что вот она, серебряная пуля, которая избавит нас от всех дыр. Сейчас отработаем все отчеты, всё починим и будет безопасно. Но нет, нормальных отчетов на ББ может вообще не быть, а дыры могут быть шире вашего воображения. Нужно помнить, что компания не контролирует, кто и как ищет уязвимости. Нет никакой гарантии, что исследователи будут активно участвовать в программе.
5. Репутация. Да, сам выход на ББ даёт баллов рейтинга на игровой арене, но если программа организована плохо (задержки выплат или игнорирование отчетов), это может навредить репутации компании. А еще публичные баги могут привлечь излишнее внимание к продукту.
На этом всё, вроде ничего не забыл. Не будем только о грустном и негативном, есть и случаи (и их достаточно), когда всё было сделано правильно и осознанно. Как я вообще решил написать этот пост? Да я просто наткнулся на новость о том, что ребята из Авито повысили максимальные выплаты уже до 500 000 рублей, а это явно говорит о том, что результатом выхода на ББ бизнес доволен.
Надеюсь, что эти мысли помогут тем, кто задумывается о выходе на БагБаунти или уже выходит на него. Всем мир.
#Мнение
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Не знаю, как вы, но лично я заметил, что за последний год в странах СНГ (да, не только в РФ) начинают всё чаще обсуждать и форсить тему багхантерства, этичного хакинга и Bug Bounty (о том, что это такое, я писал пару лет назад). Ах да, дальше будет душно.
Всё больше людей (особенно молодых) пытается заработать денег на легальном поиске уязвимостей, в чем достаточно часто преуспевают – к ним вопросов нет.
А еще, все больше компаний смотрит в сторону выхода на багбаунти (ББ). Кто-то создаёт свои платформы, кто-то повышает выплаты, кто-то публикует там продукт за продуктом. И вся эта история кажется очень крутой, особенно, если не думать о том, что компании могут гнаться скорее за повышением своей ИБшной репутации, нежели за увеличением уровня безопасности самих ресурсов.
В общем, складывается ощущение, что это просто стало модным, поэтому настало время поговорить не только о бенефитах (они очевидны), но и о рисках выхода на Bug Bounty для компаний.
1. Это банально дорого. Да, мы уже убедили бизнес в том, что безопасность это важно и лучше вложить деньги "до", чем терять их "после", но тут придётся подумать над дополнительными аргументами, ведь раньше мы как-то жили и без ББ, а траты на него могут быть не самыми предсказуемыми.
2. Много операционки. Очень много, причем для многих. Прописать правила программы под каждый продукт, чтобы тебе не сломали ничего лишнего; регулярно и оперативно разбирать новые (порой не самые качественные) отчеты багхантеров; вручную обработать и воспроизвести все найденные уязвимости; донести всё это добро с рекомендациями до тех, кто это будет чинить.
3. Ограничения. Сложно найти такой сервис, опубликованый на багбаунти, который вам будет разрещено тыкать без ограничений. И это нормально, ведь все эти продукты многосоставные, части которых принадлежат разным бизнесам и договориться сразу и со всеми сложно. Соответственно, постоянно натыкаешься на продукт, в котором нельзя трогать авторизацию, какие-то отдельные модули, сторонние платежные виджеты и т.д.
4. Призрачная безопасность и зависимость от багхантеров. Может показаться, что вот она, серебряная пуля, которая избавит нас от всех дыр. Сейчас отработаем все отчеты, всё починим и будет безопасно. Но нет, нормальных отчетов на ББ может вообще не быть, а дыры могут быть шире вашего воображения. Нужно помнить, что компания не контролирует, кто и как ищет уязвимости. Нет никакой гарантии, что исследователи будут активно участвовать в программе.
5. Репутация. Да, сам выход на ББ даёт баллов рейтинга на игровой арене, но если программа организована плохо (задержки выплат или игнорирование отчетов), это может навредить репутации компании. А еще публичные баги могут привлечь излишнее внимание к продукту.
На этом всё, вроде ничего не забыл. Не будем только о грустном и негативном, есть и случаи (и их достаточно), когда всё было сделано правильно и осознанно. Как я вообще решил написать этот пост? Да я просто наткнулся на новость о том, что ребята из Авито повысили максимальные выплаты уже до 500 000 рублей, а это явно говорит о том, что результатом выхода на ББ бизнес доволен.
Надеюсь, что эти мысли помогут тем, кто задумывается о выходе на БагБаунти или уже выходит на него. Всем мир.
#Мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍30❤8🔥6😍3⚡2🗿2🥴1
Так, я не понял, что это они себе позволяют? 🤬
Студия ZA/UM представила сумку, которая представляет собой копию пакета, в который собирал бутылки главный герой Disco Elysium. Продажи уже стартовали, цена — 159 евро (~16 600 рублей).
Please open Telegram to view this post
VIEW IN TELEGRAM
4🤣49❤9😱6🗿5👍2🤬1😭1💘1
Запись стрима
Несмотря на то, что мой ноутбук начал неистово нагреваться и подтормаживать где-то на середине стрима, с записью в этот раз всё отлично, что можно считать успехом.
А вот и ссылки:
-📹 Youtube
-📺 VK Video
-📺 Rutube
Всем еще раз спасибо за то, что зашли поболтать, за вашу обратную связь и доверие.
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Несмотря на то, что мой ноутбук начал неистово нагреваться и подтормаживать где-то на середине стрима, с записью в этот раз всё отлично, что можно считать успехом.
А вот и ссылки:
-
-
-
Всем еще раз спасибо за то, что зашли поболтать, за вашу обратную связь и доверие.
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Стрим | Пакет Безопасности | Про менторство в ИБ, телеграм, видеоконтент и кибербезопасность в целом
Запись стрима в телеграм-канале Пакет Безопасности
Вопросы и темы со стрима можно найти в комментариях к этому посту – https://www.tg-me.com/package_security/987
Подписаться на авторский канал, где всё полезное из мира IT и ИБ, а также мнение автора сквозь призму…
Вопросы и темы со стрима можно найти в комментариях к этому посту – https://www.tg-me.com/package_security/987
Подписаться на авторский канал, где всё полезное из мира IT и ИБ, а также мнение автора сквозь призму…
❤19👍11🔥7⚡4❤🔥1
Мошенники-работодатели
Сегодня будет достаточно лёгкий, но от этого не менее полезный пост. Да, будет много очевидных и простых вещей, но иногда и основы надо повторять.
Завязка заключается в том, что, платформы по поиску работы снова стали одним из мест обитания мошенников, на них злоумышленники привлекают соискателей вакансиями с очень уж сладкими условиями: высокая зарплата, удалёнка, гибкий график, а затем попросту обманывают их и взламывают.
Как это происходит?
Человеку, желающему найти работу, предлагают пройти короткое обучение с помощью специального приложения. Но, как бы это очевидно не звучало, приложение оказывается заражённым. Через него мошенники получают доступ к вашим персональным данным (конечно же, есть версия как под Андроид, так и для ПК🙄 ), включая мессенджеры и банковские приложения.
Ну и что теперь? Работу не искать?
Конечно нет, достаточно соблюдать следующие рекомендации:
▫ Тщательно проверяйте работодателя.
Используйте официальные сайты компаний и надежные платформы для поиска работы (про все из них вы уже наверняка знаете).
▫ Обращайте внимание на почтовый адрес.
Помните, что корпоративные адреса отличаются от личных, и если с вами связываются с личной почты, то это уже повод задуматься.
▫ Не платите за трудоустройство.
Любые «вступительные взносы» — это явный признак того, что вас пытаются обмануть.
▫ Не устанавливайте подозрительные приложения.
Если работодатель настаивает на загрузке программного обеспечения, уточните, зачем это нужно, проверьте отзывы о компании в интернете, проверьте сами файлы на наличие вирусов.
▫ Будьте осторожны с личными данными.
На начальных этапах трудоустройства не требуется предоставление паспорта, ИНН и других документов.
Если для вас это очевидные вещи, которые грешно даже вслух произносить, то поверьте, не все такие смышлёные. Так что советую переслать это вашим друзьям и близким.
Ну а самые крутые вакансии для кибербезопасников вы сами знаете, где можно найти😎
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Сегодня будет достаточно лёгкий, но от этого не менее полезный пост. Да, будет много очевидных и простых вещей, но иногда и основы надо повторять.
Завязка заключается в том, что, платформы по поиску работы снова стали одним из мест обитания мошенников, на них злоумышленники привлекают соискателей вакансиями с очень уж сладкими условиями: высокая зарплата, удалёнка, гибкий график, а затем попросту обманывают их и взламывают.
Как это происходит?
Человеку, желающему найти работу, предлагают пройти короткое обучение с помощью специального приложения. Но, как бы это очевидно не звучало, приложение оказывается заражённым. Через него мошенники получают доступ к вашим персональным данным (конечно же, есть версия как под Андроид, так и для ПК
Ну и что теперь? Работу не искать?
Конечно нет, достаточно соблюдать следующие рекомендации:
Используйте официальные сайты компаний и надежные платформы для поиска работы (про все из них вы уже наверняка знаете).
Помните, что корпоративные адреса отличаются от личных, и если с вами связываются с личной почты, то это уже повод задуматься.
Любые «вступительные взносы» — это явный признак того, что вас пытаются обмануть.
Если работодатель настаивает на загрузке программного обеспечения, уточните, зачем это нужно, проверьте отзывы о компании в интернете, проверьте сами файлы на наличие вирусов.
На начальных этапах трудоустройства не требуется предоставление паспорта, ИНН и других документов.
Если для вас это очевидные вещи, которые грешно даже вслух произносить, то поверьте, не все такие смышлёные. Так что советую переслать это вашим друзьям и близким.
Ну а самые крутые вакансии для кибербезопасников вы сами знаете, где можно найти
Please open Telegram to view this post
VIEW IN TELEGRAM
👍39🔥8🦄7❤6🐳4🍌1
Опять эти ваши ДипСики
Кажется, что уже во всех чатах, каналах и даже личках сегодня завирусился пост Эксплойта про то, что НУЖНО СРОЧНО УДАЛИТЬ DEEPSEEK С ВАШЕГО АЙФОНА.
Пост, судя по всему, основан на вот этой новости от The Hack News (может есть и другие аналоги, но не суть), где описываются результаты аудита того самого мобильного приложения DeepSeek компанией NowSecure. Эти ребята обнаружили, что все запросы, включая данные, которые вводит пользователь в этот чатбот, передаются по сети в незашифрованном виде.
Трагедия? Сомневаюсь. Да, кто-то, если постарается, может получить доступ к вашим запросам, но напомню – всё, что вы пишете в интернет, практически всегда становится общедоступным. Да, теперь кто-то узнает о том, что вы задавали ДипСику вопросы о том, как избавиться от головной боли, какой кофе самый крепкий или увидит то самое поздравление с днем рождения, которое вы решили не придумать сами, а сгенерировать нейросетью.
Ну а если вы вводили туда свои персональные данные (те, что уже слиты скорее всего), данные вашей карты (серьёзно?) или вообще отправляли ему свои фотографии, то у меня вопросы уже больше к вам, чем к тем, кто забыл про безопасность, когда делал приложение ДипСика.
В общем, этот пост Эксплойта выглядит скорее как дешевая реклама в странных Телеграм-каналах, нежели как содержательное предостережение. Если бы мне такое не пересылали, я бы даже внимания не обратил из-за баннерной слепоты на рекламные посты. И есть у меня теория, что так и есть.
Пока читал статью, кстати, заметил одну забавную особенность – данные отправляются с устройств на облачные сервера компании Volcano Engine, которая принадлежит ByteDance, которая владеет ТикТок-ом🙄
В общем, ничего такого не произошло, живём свою жизнь дальше. Всем мир и хороших выходных.
#НовостьДня
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Кажется, что уже во всех чатах, каналах и даже личках сегодня завирусился пост Эксплойта про то, что НУЖНО СРОЧНО УДАЛИТЬ DEEPSEEK С ВАШЕГО АЙФОНА.
Пост, судя по всему, основан на вот этой новости от The Hack News (может есть и другие аналоги, но не суть), где описываются результаты аудита того самого мобильного приложения DeepSeek компанией NowSecure. Эти ребята обнаружили, что все запросы, включая данные, которые вводит пользователь в этот чатбот, передаются по сети в незашифрованном виде.
Трагедия? Сомневаюсь. Да, кто-то, если постарается, может получить доступ к вашим запросам, но напомню – всё, что вы пишете в интернет, практически всегда становится общедоступным. Да, теперь кто-то узнает о том, что вы задавали ДипСику вопросы о том, как избавиться от головной боли, какой кофе самый крепкий или увидит то самое поздравление с днем рождения, которое вы решили не придумать сами, а сгенерировать нейросетью.
Ну а если вы вводили туда свои персональные данные (те, что уже слиты скорее всего), данные вашей карты (серьёзно?) или вообще отправляли ему свои фотографии, то у меня вопросы уже больше к вам, чем к тем, кто забыл про безопасность, когда делал приложение ДипСика.
В общем, этот пост Эксплойта выглядит скорее как дешевая реклама в странных Телеграм-каналах, нежели как содержательное предостережение. Если бы мне такое не пересылали, я бы даже внимания не обратил из-за баннерной слепоты на рекламные посты. И есть у меня теория, что так и есть.
Пока читал статью, кстати, заметил одну забавную особенность – данные отправляются с устройств на облачные сервера компании Volcano Engine, которая принадлежит ByteDance, которая владеет ТикТок-ом
В общем, ничего такого не произошло, живём свою жизнь дальше. Всем мир и хороших выходных.
#НовостьДня
Please open Telegram to view this post
VIEW IN TELEGRAM
2🤣36👍27❤9🔥4🙏3💘3
Воскресный дайджест
Да, без подводки. Удивлены? Я тоже ⌨️
⚡ Кибермем по мотивам одного из лучших сериалов в галактике – ссылка
⚡ Душеизлияние на тему минусов и рисков выхода на БагБаунти – ссылка
⚡ Возрастающая конкуренция в мире пакетов – ссылка
⚡ Запись нашего стрима – ссылка
⚡ Как мошенники работодателями прикидывались – ссылка
⚡ Очередная шумиха вокруг ДипСика – ссылка
❤ В новом канале по менторству в ИБ нас уже почти 300 человек 😌
❤ В Пакете Знаний вышел очередной пост про API – ссылка
❤ В Пакете Мероприятий вышла целая пачка новых анонсов – ссылка
❤ А еще до меня тут дошли новогодние подарки от крутых ребят из Лаборатории Касперского, поэтому делюсь фотографией
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Please open Telegram to view this post
VIEW IN TELEGRAM
❤21👍8🎉7🔥4⚡3❤🔥1
Я тебя найду и позвоню
Знаете ли вы, насколько дёшево стоят наши персональные данные? Очень дешево, а порой и бесплатно. И я сейчас говорю не про те данные, которые после утечек продаются в теневой части интернетов, а про те, что мы отдаём добровольно.
Информацию про абсолютно любое ваше действие можно отследить и купить. И одной из причин возникновения этой проблемы является таргет и существование рекламы в целом.
Если вы сёрфите по интернету, используя мобильные данные, то ваш оператор сотовой связи получает всю историю посещения сайтов и прочие интересные данные, которыми вы обмениваетесь с всемирной паутиной. В свою очередь, эту информацию они продают маркетологам. К слову, обычные интернет-провайдеры делают с вашими данными тоже самое.
Казалось бы, ну продают они эту информацию (причем с нашего согласия), и продают. Но, помимо маркетологов, продажников и рекламных агентов, этой информацией могут воспользоваться и мошенники.
Да, именно так злоумышленники могут узнать, когда вы были в вашем любимом отеле, покупали автомобиль или зашли в какую-то конкретную гео-зону. А нужно это им для того, чтобы как можно эффективнее надавить на вас психологически, докрутить свою легенду и забрать у вас остатки приватной информации или деньги.
Что же с этим делать? Глобально – ничего. Да, можно звонить только через мессенджеры, менять номера или пользоваться только Wi-Fi для уменьшения набора собираемых данных о вас, но это всё не панацея. Кажется, что тут либо нужно принять реальность, либо отказаться от технологий и уехать в жить в лес.
И да, это не я такой умный, просто у меня наконец-то дошли руки до одной из самых хайповых статей на хабре за прошлый год, где всё это подробно разжевано. Так что, если интересно, то советую ее почитать. Авторам – уважение.
Так и живем.
#Кибергигиена
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Знаете ли вы, насколько дёшево стоят наши персональные данные? Очень дешево, а порой и бесплатно. И я сейчас говорю не про те данные, которые после утечек продаются в теневой части интернетов, а про те, что мы отдаём добровольно.
Информацию про абсолютно любое ваше действие можно отследить и купить. И одной из причин возникновения этой проблемы является таргет и существование рекламы в целом.
Если вы сёрфите по интернету, используя мобильные данные, то ваш оператор сотовой связи получает всю историю посещения сайтов и прочие интересные данные, которыми вы обмениваетесь с всемирной паутиной. В свою очередь, эту информацию они продают маркетологам. К слову, обычные интернет-провайдеры делают с вашими данными тоже самое.
Казалось бы, ну продают они эту информацию (причем с нашего согласия), и продают. Но, помимо маркетологов, продажников и рекламных агентов, этой информацией могут воспользоваться и мошенники.
Да, именно так злоумышленники могут узнать, когда вы были в вашем любимом отеле, покупали автомобиль или зашли в какую-то конкретную гео-зону. А нужно это им для того, чтобы как можно эффективнее надавить на вас психологически, докрутить свою легенду и забрать у вас остатки приватной информации или деньги.
Что же с этим делать? Глобально – ничего. Да, можно звонить только через мессенджеры, менять номера или пользоваться только Wi-Fi для уменьшения набора собираемых данных о вас, но это всё не панацея. Кажется, что тут либо нужно принять реальность, либо отказаться от технологий и уехать в жить в лес.
И да, это не я такой умный, просто у меня наконец-то дошли руки до одной из самых хайповых статей на хабре за прошлый год, где всё это подробно разжевано. Так что, если интересно, то советую ее почитать. Авторам – уважение.
Так и живем.
#Кибергигиена
Please open Telegram to view this post
VIEW IN TELEGRAM
👍38❤8🔥7😱4💘3😁2
Браузеры
Много раз уже поднималась тема безопасных браузеров в нашем канале. И всем хочется получить ответ на вопрос "А каким браузером пользоваться? Какой из них безопасен". При этом, никто так и не может сформулировать критерии этой безопасности или то самое, что в этом браузере должно быть.
Для кого-то это приватность (да, режим инкогнито не всегда ее дает), для кого-то это надёжное встроенное хранилище паролей, а для кого-то – банальная встроенная функция, состоящая из трех букв. А по итогу – все всё равно пользуются хромом (или не дай бог Брейвом), который не соответствует вообще ни одному критерию.
И это не удивительно, потому что разработчики браузеров как будто остановили развитии своих детищ после того момента, как те обрели достаточную популярность. Да, они закрывают периодически всякие уязвимости или допиливают совместимость с новыми устройствами, но не больше (по крайней мере я ничего супер нового не замечаю).
К чему это я вообще завел этот разговор? Появился тот самый браузер? Пока нет, но надежды имеются. По крайней мере, в корпоративном сегменте (для сотрудников компаний). Я тут у одного коллеги по цеху в канале увидел мини-обзор на новую версию корпоративного Яндекс Браузера со встроенным зашифрованным хранилищем для важных файлов.
Для нас с вами в нашем быту эту штуку пока особо не применишь, но для корпораций это просто подарок. Как я понял, эта функция защищает компании от утечек чувствительной информации, так как браузер шифрует на своей стороне все важное, даже дает с ним взаимодействовать (рекдактировать документы, например), но шифрует так, что за его пределами никто этот файл уже открыть не сможет.
И, если верить этому источнику, то там и защита от подмены устройства есть (это когда образ браузера клонируют на устройство злоумышленника). А теперь внимание, эта штука доступна не только на компах, но и на мобильных устройствах. Да, люди всё. чаще работают не то что не с корпоративных ноутов, а просто с телефонов.
В общем, к чему я это все. Очевидно, что для бизнеса эта новая функция не то что будет полезной, она еще и много денег сэкономит на отказе от внедрения других средств защиты от утечек информации. Но как будто можно эту штуку как-то приспособить и к бытовым нуждам (как – пока не придумал). И, если Яндекс это сделает, то есть шанс толкнуть всех остальных конкурентов, чтобы они уже начали шевелиться. Ну а если не сделает, то сам Яндекс Браузер работает на движке Blink, который лежит в основе и Хрома, и Оперы, так что шансы расковырять и скопировать эту штуку есть.
Так и живем.
Уже чувствую, как вы наваливаетесь на меня в комментариях, защищая Хром, Оперу, Брейв и еще десяток ноунейм-браузеров 👍
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Много раз уже поднималась тема безопасных браузеров в нашем канале. И всем хочется получить ответ на вопрос "А каким браузером пользоваться? Какой из них безопасен". При этом, никто так и не может сформулировать критерии этой безопасности или то самое, что в этом браузере должно быть.
Для кого-то это приватность (да, режим инкогнито не всегда ее дает), для кого-то это надёжное встроенное хранилище паролей, а для кого-то – банальная встроенная функция, состоящая из трех букв. А по итогу – все всё равно пользуются хромом (или не дай бог Брейвом), который не соответствует вообще ни одному критерию.
И это не удивительно, потому что разработчики браузеров как будто остановили развитии своих детищ после того момента, как те обрели достаточную популярность. Да, они закрывают периодически всякие уязвимости или допиливают совместимость с новыми устройствами, но не больше (по крайней мере я ничего супер нового не замечаю).
К чему это я вообще завел этот разговор? Появился тот самый браузер? Пока нет, но надежды имеются. По крайней мере, в корпоративном сегменте (для сотрудников компаний). Я тут у одного коллеги по цеху в канале увидел мини-обзор на новую версию корпоративного Яндекс Браузера со встроенным зашифрованным хранилищем для важных файлов.
Для нас с вами в нашем быту эту штуку пока особо не применишь, но для корпораций это просто подарок. Как я понял, эта функция защищает компании от утечек чувствительной информации, так как браузер шифрует на своей стороне все важное, даже дает с ним взаимодействовать (рекдактировать документы, например), но шифрует так, что за его пределами никто этот файл уже открыть не сможет.
И, если верить этому источнику, то там и защита от подмены устройства есть (это когда образ браузера клонируют на устройство злоумышленника). А теперь внимание, эта штука доступна не только на компах, но и на мобильных устройствах. Да, люди всё. чаще работают не то что не с корпоративных ноутов, а просто с телефонов.
В общем, к чему я это все. Очевидно, что для бизнеса эта новая функция не то что будет полезной, она еще и много денег сэкономит на отказе от внедрения других средств защиты от утечек информации. Но как будто можно эту штуку как-то приспособить и к бытовым нуждам (как – пока не придумал). И, если Яндекс это сделает, то есть шанс толкнуть всех остальных конкурентов, чтобы они уже начали шевелиться. Ну а если не сделает, то сам Яндекс Браузер работает на движке Blink, который лежит в основе и Хрома, и Оперы, так что шансы расковырять и скопировать эту штуку есть.
Так и живем.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25❤13🤔11🤣8⚡2💊1
Пакет Безопасности
Браузеры Много раз уже поднималась тема безопасных браузеров в нашем канале. И всем хочется получить ответ на вопрос "А каким браузером пользоваться? Какой из них безопасен". При этом, никто так и не может сформулировать критерии этой безопасности или то…
Дамы и господа, комменты порваны, спасибо
🤣51❤11💘7🌭6🫡2👍1👻1
Импортозамещаемся
Вот и подошел к концу тот самый юбилейный ТБ Форум, на котором успели засветиться практически все участники рынка кибербезопасности в России и даже повыступать знакомые лица. Ах да, пост будет душноватый, поэтому держимся.
Много кто рассказал про свои наработки и достижения в области (чего? правильно) импортозамещения. Наконец-то рынок чуть адаптировался и сейчас это все делается уже не только ради галочки. Ребята из Базиса вот поделились тем, как обеспечивают безопасность разработки со стороны поиска ошибок и уязвимостей в элементах открытого кода. Да-да, чтобы уберечь нас всех, например, от атак через те самые цепочки поставок.
Так вот, они рассказали о том, как они (угадайте, что? правильно) импортозаместили элементы безопасного конвейера. Нужды SAST у них обсуживает инструмент под названием Svace от ИСП РАН. А вот SCA сканированием занимается небезызвестный CodeScoring с таким же небезызвестным фаундером.
По словам ребят, теперь они не только соответствуют требованиям регуляторов и того самого ГОСТа, но и по безопасности просадок не наблюдается. Само собой, чтобы в этом убедиться, нужно тестировать эти решения именно на своих сервисах и на своём стеке, но выглядит пока уверенно.
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Вот и подошел к концу тот самый юбилейный ТБ Форум, на котором успели засветиться практически все участники рынка кибербезопасности в России и даже повыступать знакомые лица. Ах да, пост будет душноватый, поэтому держимся.
Много кто рассказал про свои наработки и достижения в области (чего? правильно) импортозамещения. Наконец-то рынок чуть адаптировался и сейчас это все делается уже не только ради галочки. Ребята из Базиса вот поделились тем, как обеспечивают безопасность разработки со стороны поиска ошибок и уязвимостей в элементах открытого кода. Да-да, чтобы уберечь нас всех, например, от атак через те самые цепочки поставок.
Так вот, они рассказали о том, как они (угадайте, что? правильно) импортозаместили элементы безопасного конвейера. Нужды SAST у них обсуживает инструмент под названием Svace от ИСП РАН. А вот SCA сканированием занимается небезызвестный CodeScoring с таким же небезызвестным фаундером.
По словам ребят, теперь они не только соответствуют требованиям регуляторов и того самого ГОСТа, но и по безопасности просадок не наблюдается. Само собой, чтобы в этом убедиться, нужно тестировать эти решения именно на своих сервисах и на своём стеке, но выглядит пока уверенно.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16⚡7✍5👍4🐳2
Некибербезопасные вопросы
Давно хочу разобраться для себя в одной теме и всё никак руки не доходят сделать всё правильно и оптимально. Многие из нас уже регулярно используют нейросети, чтобы упростить себе жизнь и рутину, отсюда вопрос👇
Расскажите, как вы пользуетесь ChatGPT (да-да, про DeepSeek слышал и с ним у меня таких вопросов нет)? У меня лично пока всё через костыли, поэтому взываю к вашему опыту.
Если конкретнее, то меня интересуют не столько промты или сценарии, сколько то, через что вы им пользуетесь: приложение, браузер, боты в Телеграм или что-то еще?
Как оплачиваете подписку и оплачиваете ли вы ее вообще?
А может быть у вас вообще есть альтернатива намного удобнее и проще расхайпленного ChatGPT?
Если вам лень всё это расписывать в комментариях, то можете просто скинуть ссылку на то, где это описано. Всем заранее спасибо👍
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Давно хочу разобраться для себя в одной теме и всё никак руки не доходят сделать всё правильно и оптимально. Многие из нас уже регулярно используют нейросети, чтобы упростить себе жизнь и рутину, отсюда вопрос
Расскажите, как вы пользуетесь ChatGPT (да-да, про DeepSeek слышал и с ним у меня таких вопросов нет)? У меня лично пока всё через костыли, поэтому взываю к вашему опыту.
Если конкретнее, то меня интересуют не столько промты или сценарии, сколько то, через что вы им пользуетесь: приложение, браузер, боты в Телеграм или что-то еще?
Как оплачиваете подписку и оплачиваете ли вы ее вообще?
А может быть у вас вообще есть альтернатива намного удобнее и проще расхайпленного ChatGPT?
Если вам лень всё это расписывать в комментариях, то можете просто скинуть ссылку на то, где это описано. Всем заранее спасибо
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍11🍓3🙊2⚡1🗿1
This media is not supported in your browser
VIEW IN TELEGRAM
С праздничком всех кстати ❤️
Please open Telegram to view this post
VIEW IN TELEGRAM
😁35🥰14❤8🍓6🕊5❤🔥3🎉3💘3👍2🥴2
Заходят как-то в бар AntiDDoS, Anti-Bot, WAF и NGFW
Сразу предупреждаю – пост будет хоть и коротким, но душноватым, поэтому вдыхаем.
Когда-то давно на одном собеседовании мне задали архитектурный вопрос к которому я абсолютно не было готов. После десятка вопросов по безопасности кода, настройке мониторинга и защите различных ОС, мне под самый конец интервью задают всего один и очень простой вопрос: "Расположи в правильном порядке WAF, AntiDDoS, FW и балансировщик".
Казалось бы, вопрос максимально простой, вывести ответ на который не так уж и сложно, но видимо тогда в моей голове уже образовался абсолютный вакуум. И да. на вопрос я ответил,но какой ценой...
Так вот, я тут наткнулся на статейку, где простым и понятным языком наконец-то разобрали базовую базу того, что происходит на периметре безопасности (и чуть дальше) с внешним трафиком, и как вообще его фильтровать – ссылка
Думаю, что даже смогу пристроить эту статейку к себе в менторсткую программу, чтобы на мои грабли никто больше не наступал. Ну всё-всё, выдыхаем.
#Полезное
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Сразу предупреждаю – пост будет хоть и коротким, но душноватым, поэтому вдыхаем.
Когда-то давно на одном собеседовании мне задали архитектурный вопрос к которому я абсолютно не было готов. После десятка вопросов по безопасности кода, настройке мониторинга и защите различных ОС, мне под самый конец интервью задают всего один и очень простой вопрос: "Расположи в правильном порядке WAF, AntiDDoS, FW и балансировщик".
Казалось бы, вопрос максимально простой, вывести ответ на который не так уж и сложно, но видимо тогда в моей голове уже образовался абсолютный вакуум. И да. на вопрос я ответил,
Так вот, я тут наткнулся на статейку, где простым и понятным языком наконец-то разобрали базовую базу того, что происходит на периметре безопасности (и чуть дальше) с внешним трафиком, и как вообще его фильтровать – ссылка
Думаю, что даже смогу пристроить эту статейку к себе в менторсткую программу, чтобы на мои грабли никто больше не наступал. Ну всё-всё, выдыхаем.
#Полезное
Please open Telegram to view this post
VIEW IN TELEGRAM
👍30🔥16❤10✍4💯3🐳2👾2🍌1🏆1
Постов на этой неделе во всех каналах навалило нехило, поэтому погнали сразу к дайджесту!
⚡ Что? Правильно – кибермем – ссылка
⚡ Сколько стоят ваши персональные данные и как к ним легально получают доступ все, кому не лень – ссылка
⚡ Рассуждения на тему браузеров с последующим разрывом комментариев – ссылка
⚡ Импортозамещение, которое мы заслужили – ссылка
⚡ Вопрос к вам на тему того, как и какими нейросетями вы пользуетесь (советую почитать комментарии) – ссылка
⚡ Празднуем праздник – ссылка
⚡ Полезное чтиво по безопасности периметра – ссылка
❤ В Пакете знаний вас ждут полезные посты на тему безопасности LLM и харденинга всего, чего только можно
❤ В Пакете Вакансий Альфа-банк продолжает искать себе АппСеков
❤ В Пакете Мероприятий вышли анонсы сразу нескольких крутых событий, в том числе одной крутой казахстанской конференции, куда можно податься с докладом
❤ В канале по менторству продолжаю делиться всякими внутряками и мыслями на разные темы, связанные с обучением кибербезу – ссылка
Ну вот и всё, всем мир😚
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Ну вот и всё, всем мир
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19❤9🍓3🦄2💘1
Цифровые похитители
Давно у нас что-то не было ликбезов в мире терминологии ИБ, так что погнали. Сегодня поговорим про штуку под названием "стилер".
Стилеры – одни из самых распространенных и коварных типов вирусов, а еще это один из самых полезных инструментов. в руках злоумышленников. Они используются для того, чтобы вытащить с зараженных устройств жертв как можно больше полезной информации, такой как пароли, заметки, история браузера, адреса и сид-фразы криптокошельков и прочее добро.
Заразиться стилером можно как и любым другим вредоносом: через почтовые вложения, файлы с подозрительных сайтов или ПО из непроверенных источников.
Работает стилер максимально примитивно, что позволяет его сделать практически незаметным дляока Саурона глаза и антивирусного ПО. После попадания на устройство жертвы он начинает неспешно сканировать всё, что попадается ему на пути, пока он путешествует по всей файловой системе.
Когда, с помощью регулярных выражений и своих шаблонов, он находит максимум полезного добра, он всё это шифрует и отправляет на удаленный сервер злоумышленников.
Есть и более прокаченные версии стилеров, которые умеют собирать список установленного ПО, перехватывать сообщения мессенджеров, делать снимки экрана или воровать целые файлы. В общем, на теневых маркетплейсах есть экземпляры под любую задачу и кошелек.
Как же защититься? Как и от любого другого вредоносного ПО – соблюдать кибергигиену, которую мы тут регулярно обсуждаем, и пользоваться антивирусом, потому что "на глаз" вы точно работу стилера выявить не сможете.
Чуть подробнее про этот тип вирусов можете почитать вот тут, ну а для тех, кто уже знал, кто такие эти стилеры, держите интересный факт, чтобы не зря время потратили: В среднем дети смеются около 400 раз в день, взрослые смеются около 15 раз в день.
#Полезное
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Давно у нас что-то не было ликбезов в мире терминологии ИБ, так что погнали. Сегодня поговорим про штуку под названием "стилер".
Стилеры – одни из самых распространенных и коварных типов вирусов, а еще это один из самых полезных инструментов. в руках злоумышленников. Они используются для того, чтобы вытащить с зараженных устройств жертв как можно больше полезной информации, такой как пароли, заметки, история браузера, адреса и сид-фразы криптокошельков и прочее добро.
Заразиться стилером можно как и любым другим вредоносом: через почтовые вложения, файлы с подозрительных сайтов или ПО из непроверенных источников.
Работает стилер максимально примитивно, что позволяет его сделать практически незаметным для
Когда, с помощью регулярных выражений и своих шаблонов, он находит максимум полезного добра, он всё это шифрует и отправляет на удаленный сервер злоумышленников.
Есть и более прокаченные версии стилеров, которые умеют собирать список установленного ПО, перехватывать сообщения мессенджеров, делать снимки экрана или воровать целые файлы. В общем, на теневых маркетплейсах есть экземпляры под любую задачу и кошелек.
Как же защититься? Как и от любого другого вредоносного ПО – соблюдать кибергигиену, которую мы тут регулярно обсуждаем, и пользоваться антивирусом, потому что "на глаз" вы точно работу стилера выявить не сможете.
Чуть подробнее про этот тип вирусов можете почитать вот тут, ну а для тех, кто уже знал, кто такие эти стилеры, держите интересный факт, чтобы не зря время потратили: В среднем дети смеются около 400 раз в день, взрослые смеются около 15 раз в день.
#Полезное
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡19👍13❤8🔥4😍2🤝2✍1
Forwarded from Культ Безопасности
Портрет типичной жертвы мошенников
На основе данных за прошлый год Банк России выпустил ежегодный портрет жертвы мошенника. По данным опроса, в 2024 году жертвами чаще всего становились работающие женщины в возрасте от 25 до 64 лет, со средним уровнем дохода и средним образованием, которые проживают в городе и имеют постоянную занятость.
Основные методы мошенников — телефонные и СМС-уловки, а также взлом аккаунтов на Госуслугах. Большинство жертв теряют до 20 тысяч рублей, а 70% теряют свои сбережения.
Читаем Культ Безопасности, чтобы не попасть в 9%
Join ourclub Cult 👁
На основе данных за прошлый год Банк России выпустил ежегодный портрет жертвы мошенника. По данным опроса, в 2024 году жертвами чаще всего становились работающие женщины в возрасте от 25 до 64 лет, со средним уровнем дохода и средним образованием, которые проживают в городе и имеют постоянную занятость.
Основные методы мошенников — телефонные и СМС-уловки, а также взлом аккаунтов на Госуслугах. Большинство жертв теряют до 20 тысяч рублей, а 70% теряют свои сбережения.
Читаем Культ Безопасности, чтобы не попасть в 9%
Join our
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍10✍5❤4🤝2💘2
Что делать, если вас взломали
Уже не счесть, сколько раз я расписывал тут, что делать при взломе вашего Телеграм-аккаунта, куда идти, что нажимать, как проверять и не допускать (например: раз, два, три, четыре, пять, шесть).
И вот, я наткнулся на сайт, гдепо минутам в подробностях расписано по шагам и конкретным сценариям, как могут угнать ваш аккаунт и что в этих случаях делать. Переписывать всё это бессмысленно, поэтому просто ловите ссылку.
Какой бы крутой ни была навигация в Телеграм – так намного удобнее. Обязательно сохраните у тебя в закладках браузера и поделить со всеми, кого это может коснуться (то есть просто со всеми). Когда настанет время, вы будете себе благодарны.
#Полезное
⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы
Уже не счесть, сколько раз я расписывал тут, что делать при взломе вашего Телеграм-аккаунта, куда идти, что нажимать, как проверять и не допускать (например: раз, два, три, четыре, пять, шесть).
И вот, я наткнулся на сайт, где
Какой бы крутой ни была навигация в Телеграм – так намного удобнее. Обязательно сохраните у тебя в закладках браузера и поделить со всеми, кого это может коснуться (то есть просто со всеми). Когда настанет время, вы будете себе благодарны.
#Полезное
Please open Telegram to view this post
VIEW IN TELEGRAM
65👍38❤10🎉5🔥3🙏2