Пакет Безопасности

29 Sep 2024 17:55

​Даёшь больше выступлений и инфопартнёрств

Чувствую, что воскресенье скоро станет не днем дайджестов, а днем анонсов. В общем, информации будет много, до конца дойдут не все, но я в вас верю:

Во-первых, на днях будем болтать с двумя крутыми безопасниками (сдаю первого и второго) про Архитекторов Безопасности на подкасте от SafeCode. Само собой, ссылкой поделюсь сразу же, как только выложим это добро в сеть.

Во-вторых, меня тут пригласили поучаствовать в дискуссии на конференции SecurityTech 2024 (24 октября), а кто я такой, чтобы отказываться. Ну и, само собой, наш с вами канал стал инфопартнером этого мероприятия ☝️

Во-третьих, 14 ноября (да, не скоро, но я еще напомню) буду рассказывать что-то интересно на конференции CIRF (Corporate Incident Response and Forensics) от МКО Системы. Обещают, что будет много неформального общения и крутой атмосферы. И да, тут мы тоже инфопартнёры ☝️

В-четвертых (казалось бы, ну хватит, да?), наш канал попал в топ лучших авторских каналов про информационную безопасность, уступив только глыбе индустрии. Горжусь.

Вот теперь всё, всем плодотворной грядущей недели 💪

Твой Пакет Безопасности

Пакет Безопасности

26 Sep 2024 15:55

​Дышим глубоко

Как насчет того, чтобы смягчить закон, который еще не вступил в силу? Если вы еще помните про то, как я распинался в канале (например, тут или тут) на тему долгожданного закона об оборотных штрафах за утечки наших с вами персональных данных, то вот вам новость на эту тему – этот закон хотят смягчить 😡

Согласно поправкам, для протёкших провинившихся компаний будут предусмотрены поблажки в случае, если пострадавшим клиентам будет выплачена компенсация, и если компания вложится деньгами в какие-то мероприятия по обеспечению кибербезопасности (какие – пока не понятно). Судя по всему, речь про обучение для сотрудников по кибергигиене, внешние аудиты безопасности и вот это вот всё.

И да, закон все еще планируют запустить и привести к исполнению в этом году. В общем ладно, видимо надо просто выдохнуть, дождаться, когда этот момент уже настанет и посмотреть, что из этого получится.

Ну и в эту же тему – я тут наткнулся на интересный пост про влияние утечек на бренд компаний и опрос об отношении пользователей к сливам своих данных. Интересно посмотреть, какие результаты будут у ИБ-коммьюнити, поэтому ниже ловите сам опрос (само собой, анонимный) 👇

Твой Пакет Безопасности

Пакет Безопасности

24 Sep 2024 17:55

​Громкий заголовок для привлечения вашего внимания

На прошлой неделе была очень большая шумиха на тему того, что "хакеры взломали Госуслуги", "все данные призывников слили в сеть", "Минцифры не признаётся в том, что их взломали" и прочие громкие заголовки для привлечения вашего внимания. У меня аж чуть не дёрнулась рука и глаз, чтобы не написать сразу на эту тему пост, но я решил чуть подождать и дать пыли осесть, чтобы понять, что произошло.

Собственно, разбираемся. Недавно (а точнее, где-то 18-го сентября) был запущен в тестовом режиме сайт реестрповесток.рф. Зачем он нужен мы сейчас обсуждать не будем, об этом вы сможете прочитать и в СМИ. В общем, в первый же день энтузиасты наткнулись на одну особенность, допущенную при проектировании/создании этого сайта – это его странное API.

Что такое API можно почитать тут, но если в двух словах, то это такой интернет-сервис, в который можно подать какие-то входные данные, а в ответ получить что-то взамен (какие-то другие данные, свзяанные с входными). Так вот, в случае с нашим новоиспеченным сайтом, это API можно было использовать (после авторизации) для того, чтобы без ограничений выгружать данные людей (ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения или паспорта). Для этого нужно было просто в это API подавать на вход ID аккаунтов этих людей на Госуслугах – это легко делается перебором.

Да, ситуация неприятная. Да, это не нормально с точки зрения безопасности. Да, таким образом, рано или поздно можно перебрать данные всех пользователей. Можно ли назвать это утечкой? – не совсем. Прошла почти неделя, но никто так и не выложил в сеть данные этих пользователей, про объявления об их продаже я тоже ничего не слышал.

На всякий случай зафиксирую несколько умозаключений, которые можно сделать на основе всех материалов из СМИ:
- сайт был запущен в тестовом режиме и на ограниченное количество регионов
- никто не проверял эти данные на подлинность и полноту (по крайней мере, я не смог найти этому достоверное подтверждение)
- эту дыру прикрыли достаточно быстро (по моим подсчетам, меньше, чем за час после начала шумихи)
- пользоваться этой дыркой могли только авторизованные пользователи
- и да, я уже вижу, как вы будете подтягивать меня за все эти слова

Минцифры действительно отрицает всякий взлом или утечки, так как ни того, ни другого по факту не было. По сути, это просто использование слабости сервиса, допущенной при его проектировании.

Наверное, надо подвести какие-то итоги.

Во-первых, то, что была поднята шумиха – хорошо, так как возможно именно она и привлекла внимание разработчиков, которые оперативно закрыли дыру. Другой вопрос – как она была поднята. Одно дело использовать комичные заголовки в авторских телеграм-каналах, и совсем другое – делать кричащие псевдо-правдивые заголовки в официальных СМИ, вводя в заблуждение читателей, нагнетая напряжение и вводя людей в панику.

Ну и во-вторых, ваши данные с Госуслуг страдают не впервые, и нужно понимать, что всё то, что вы когда-то отдали интернету, может перемещаться внутри него максимально бесконтрольно и хаотично. Да, есть законы, которые призывают компании к ответственности, обязывают выполнять определенные требования по хранению этих данных, даже штрафуют их за неисполнение, но мир всё еще не розовый, люди всё еще смертны, а интернет всё еще дикий.

В общем, так и живём, всем мир.

Твой Пакет Безопасности

Пакет Безопасности

23 Sep 2024 17:55

Порой нужно быть осторожным со своими желаниями.

#КиберМем

Твой Пакет Безопасности

Пакет Безопасности

22 Sep 2024 17:55

Всем привет!

Сегодня без дайджеста (крепитесь, надо в него верить), так как новостей хватает.

Во-первых, нас уже больше 15 000 человек! Растем, развиваемся, дальше больше и вот это вот всё.

Во-вторых, я тут на прошлой неделе впервые попытался донести до восьмиклассников суть и ценность кибербезопасности – было очень сложно, необычно и интересно (есть даже фото-подтверждение).

В-третьих, вышла очередная статейка на тему того, как мы с одним человеком строили Secure by Design в одной компании – ссылка. Наверняка будет интересно всем тем, кто видит несовершенства в ИБ-подходах, у кого чешутся от этого руки, и тем, кто не боится внедрять какие-то практики, собирая грабли по-дороге.

Вроде ничего не забыл. Всем отличного завершения выходных 👍

Твой Пакет Безопасности

Пакет Безопасности

19 Sep 2024 17:55

​Привет всем, как новоприбывшим, так и тем, кто со мной в этом канале уже давно 👋

Для новеньких – вот тут, тут, тут и тут можно подробнее почитать об этом канале, вот здесь можно поподробнее почитать обо мне. Ну а вот здесь можно узнать про менторство в мире кибербеза, если вдруг оно вам интересно (если нет, то я не обижусь, честно).

Всем остальным хочется в очередной раз сказать большое спасибо за доверие и время, которые вы тратите на прочтение этих длинных (ну не прям длинных, скорее средних) постов 🤥

Напоминаю, что у нас теперь не один канал, а сразу несколько, и под разные задачи – вакансии, мероприятия, знания, ну и конечно же мемы.

Впереди нас ждёт еще масса всего полезного и интересного из мира безопасности, в том числе конкурсы, призы и авторские разборы разной годноты.

Ну вот и всё, я выговорился, всем мир!

Твой Пакет Безопасности

Пакет Безопасности

18 Sep 2024 17:55

​Нет, ну вы это видели?

В общем, сегодня без кибербезного контента, поэтому можете расслабиться и выдохнуть. Просто короткий пост по двум инфоповодам:

Во-первых, какой-то герой поставил платную рекакцию под предыдущий пост!!!!!

Во-вторых, нас тут добавили в папку с другими каналами по кибербезопасности – ссылка (да, с первой новостью конечно же не сравнится, но тоже событие). Не могу сказать, что знаком со всеми из этого списка, но видеть себя там приятно. И кстати, мы с вами там одни из самых больших 💪

В общем, не смею больше всех вас отвлекать, поэтому погнали жить эту жизнь дальше.

Твой Пакет Безопасности

Пакет Безопасности

17 Sep 2024 15:56

Друзья!
24 сентября пройдет 2-я онлайн-конференция «IT. Право. Безопасность», традиционно на стыке 3 больших тем, которая соберет множество ИБэшников, юристов и других специалистов. Красной нитью через все доклады пройдет тема защиты данных и личной безопасности, будь то утечки, цифровые улики, анализ дипфейков или сетевой буллинг.

Спикеры разберут темы:
🔥 Реформа законодательства о персональных данных: первые итоги и снятие моратория — как меняется законодательство и чего ждать от новых требований. Как это повлияет на бизнес и регулирование данных.

🔥 Начальная дипфейкология: как сделать, как распознать (испытано на себе) — погружаемся в мир дипфейков: как они создаются, как их распознать, и почему это важно для вашей компании. Реальные примеры и советы.

🔥 Какие ваши доказательства? Работа с цифровыми уликами: от получения доступа до анализа и верификации.

🔥 Дискуссия. Резкий рост числа киберугроз. Основные векторы текущей криминальной активности в сети. Существующие слабые места в системах безопасности. Меры по их предотвращению.

🔥 Кто может стать жертвой кибербуллинга? Как защитить себя в сети.

Участие бесплатное по ссылке, по предварительной регистрации. Приходите сами и зовите коллег, будет насыщенно!

erid: 2SDnjdHcLFt
Реклама ООО «РТМ ТЕХНОЛОГИИ»

Пакет Безопасности

15 Sep 2024 17:55

Вот и подошла к концу очередная неделя нашей с вами жизни. Дайджеста в этот раз не будет, но про пару вещей упомянуть нужно.

Во-первых, тут ребята из Авиликса выложили ролик с награждения своего замечательного Pentest Award – ссылка.

Во-вторых, в эту пятницу я выступил с докладом на одной международной конференции по безопасности. Был рад повидаться со знакомыми лицами, познакомиться с новыми людьми и пообсуждать насущные темы. Словил на месте сразу 3 приглашения на разные мероприятия в роли спикера (было очень приятно). Поэтому и вы не стесняйтесь звать меня ведущим на свои корпоративы.

В-третьих, мы тут с одним хорошим человеком решили сделать исследование зарплат в мире кибербеза, поэтому, если вы хотите также приложить к этому свою руку (конфиденциальность гарантирую), то вэлкам в личные сообщения.

Ну а мы продолжаем жить эту жизнь дальше. Всем добра.

Твой Пакет Безопасности

Пакет Безопасности

12 Sep 2024 10:00

Как защитить API в 2024 году: лучшие практики

17 сентября в 11:00 расскажем на бесплатном вебинаре о наиболее известных уязвимостях API. Поговорим о том, как устранить их с помощью валидации данных, обеспечить соответствие спецификациям и минимизировать риски атак и утечек данных. Эксперт СберТеха Денис Кириллов поделится опытом и инструментами для улучшения безопасности API, актуальными в условиях возросшего риска киберугроз.

Что обсудим:
· Безопасность API в 2024 году
· Что такое спецификации API, их виды
· Зачем нужна валидация
· Валидация как дополнительный слой безопасности
· И многое другое

Ждем вас на мероприятии!
Зарегистрироваться

Пакет Безопасности

10 Sep 2024 17:56

Ну что, дорогие читатели, у меня к вам просьба 🤨

Я тут понял, что у меня мало чтива, поэтому накидайте, пожалуйста, в комментарии крутые телеграм-каналы, посвященные IT и ИБ 👇

Чем больше, тем лучше 👍

Пакет Безопасности

09 Sep 2024 17:55

#КиберМем

Твой Пакет Безопасности

Пакет Безопасности

06 Sep 2024 16:56

Как защитить сервер от кибератак? Что такое протоколы безопасности и как их правильно применить? Как не стать жертвой хакера? На эти и другие вопросы ответим на мини-курсе Skillbox по кибербезопасности и защите серверов.

Регистрация: https://epic.st/wp-19i?erid=2Vtzqv1Lden

Мини-курс подходит новичкам. Вам не нужно знать код, чтобы вникнуть в основы и понять принципы кибербезопасности.

Вас ждут 4 интенсивных занятия, на которых вы сможете примерить на себя обе роли — хакера и кибербезопасника. А в финале будет прямой эфир с экспертом, где он разберёт практические работы, ответит на вопросы и поделится профессиональными секретами.

Спикер — Сергей Кручинин, проверяющий эксперт в Skillbox. Руководил проектами в Mail.ru Group, работал в WEBINAR.RU, ГК Astra Linux, МИФИ, МГТУ им. Н. Э. Баумана, разрабатывал образовательные проекты по информационной безопасности.

Всех участников ждут бонусы: 5 полезных материалов о приёмах взлома, методах защиты и тестирования серверов, персональная карьерная консультация, сертификат на скидку 10 000 рублей и год бесплатного изучения английского языка.

Реклама. ЧОУ ДПО «Образовательные технологии «Скилбокс (Коробка навыков)», ИНН: 9704088880

Пакет Безопасности

05 Sep 2024 15:55

С каждым годом угроза DDoS-атак становится всё более актуальной для российских компаний. В 2024 году количество и мощность атак значительно возросли, став серьёзным вызовом для бизнеса и госучреждений.

Атаки становятся более масштабными, сложными и подготовленными, что требует комплексного подхода к защите.

На вебинаре эксперты Servicepipe расскажут:

1. Каким атакам сегодня подвергаются корпоративные инфраструктуры.
2. Какие устройства и сервисы находятся под угрозой в первую очередь.
3. Как правильно выстроить защиту на каждом уровне.
4. Опыт Servicepipe в отражении атак 2024 года.
5. Плюсы и минусы существующих решений противодействия DDoS-атакам.

В конце вебинара эксперты Servicepipe проведут демо антиддос-решения DosGate, а также ответят на вопросы.

Регистрируйтесь по ссылке

Пакет Безопасности

03 Sep 2024 17:56

Один хороший человек (с дипломом по криптоанализу) тут поделился ссылкой на шикарный плейлист для изучения того самого криптоанализа и криптографии.

Область знаний эта конечно максимально душная, но, если разобраться, то очень интересная. Я пробежался по верхам и кажется, что такая подача понятна будет многим, поэтому, если вы давно хотели размять свои мозги и не могли найти, чем это сделать, то вэлкам – ссылка

#BaseSecurity

Твой Пакет Знаний | Кибербезопасность

Пакет Безопасности

27 Sep 2024 17:55

Вот это я понимаю схема

Ребята из Sonatype тут решили потратить колоссальное количество времени и сил – они умудрились засунуть в одну схему по DevSecOps всё, что только можно – от классов решений и ролей до самих инструментов и их вендоров. А еще всё это обмазано бесконечным количеством стрелочек и связей.

В общем, очень сложное, но полезное и красивое. Забираем – полезно будет практически всем безопасникам.

#DevSecOps #AppSec #BaseSecurity

Твой Пакет Знаний | Кибербезопасность

Пакет Безопасности

26 Sep 2024 14:55

Открыта регистрация на главный онлайн-кэмп по практической кибербезопасности — CyberCamp 2024! 💙

Главная тема этого года — 🔥Cyber Kill Chain!🔥

Тебе предстоит изучить все аспекты киллчейна, научиться разрывать «убийственную цепочку» 🔗 и останавливать хакеров.

⭐️ 25 докладов от экспертов из компаний BI.ZONЕ, F.A.C.C.T., Positive Technologies, R-Vision, Инфосистемы Джет, Лаборатория Касперского, Код Безопасности и др.

⭐️ 600 участников и 15+ сценариев командных киберучений в корпоративной и студенческой лигах

⭐️ 10 000+ зрителей и 30+ интерактивных заданий для всех участников эфира

⭐️ 5 000 000 рублей общего призового фонда для команд и зрителей

Начни свой путь на CyberCamp 2024 прямо сейчас — первые задания и сайбы доступны сразу после регистрации ⚡️

Пакет Безопасности

23 Sep 2024 21:02

​Вот тебя и вычислили по IP

Ну что, везде уже прочитали о том, что Паша/Телеграм публично объявил о том, что готов передавать властям всех стран IP и номера телефонов тех, кто нарушает правила мессенджера?

Полноценный пост на эту тему писать пока не очень хочется, но пока у меня из этой новости появляется больше вопросов, чем ответов:

1. В источнике говорится о передаче данных в случае нарушения не законодательства стран, а именно "правил мессенджера" (who violate our rules). Интересно, для чего такая гибкость в формулировках?

2. Согласно посту, эти условия и политики были обновлены для того, чтобы обеспечить их силу для всех стран мира. Интересно, насколько сильно этот подход раньше различался для разных государств, и с кем такая схема предоставления данных уже была отработана?

3. Есть страны, где Телеграм вообще заблокирован (например, Китай или Иран), хотя очевидно, что им там продолжают пользоваться. Как эти правила будут работать в таких государствах, и как вообще проверить/подтвердить, что все эти политики будут работать одинаково и для всех?

4. В тексте говорится про ИИ, который помогает модераторам делать мессенджер (а точнее поиск в нём) безопаснее. Интересно, что у них там под капотом (надеюсь, что не API ChatGPT, как у Apple)?

Изменилось ли что-то для нас? Не думаю.

Твой Пакет Безопасности

Пакет Безопасности

23 Sep 2024 15:55

Вебинар компании «ЛИНЗА»
24 сентября 11:00

Скрытые угрозы в конфигурациях: как не потерять контроль над ИТ-инфраструктурой?

Всего одна ошибка в настройках любого ИТ-актива может привести к потере контроля над всей инфраструктурой! На вебинаре эксперты лаборатории инновационной защиты «ЛИНЗА» расскажут, как не допустить этого, и представят новое решение собственной разработки – «Контроль конфигураций».

На вебинаре вы узнаете:
• как защититься от атак, связанных с недостатками конфигураций системного, прикладного и встроенного ПО
• с какими сложностями можно столкнуться, внедряя процесс управления конфигурациями
• почему при всем разнообразии ИТ-рынка трудно найти подходящее решение

Вебинар будет интересен тем, кто:
• нуждается в эшелонированной защите от целевых кибератак
• активно проводит импортозамещение в проектах ИТ и АСУ ТП
• использует ИТ-инфраструктуру со множеством типовых сегментов
• ведет активную разработку ПО и хочет контролировать безопасность процесса разработки

Зарегистрироваться

Пакет Безопасности

20 Sep 2024 17:55

​Поперхнулся

ХэдХантер опубликовал у себя на сайте зарплатную статистику по профессии Специалист по информационной безопасности. Я сначала обрадовался тому, что у них дошли руки до кибербезопасников, а потом перешел по ссылке и не обрадовался.

Шок, отрицание, гнев, торг, депрессия и принятие. В общем, чтобы правильно воспринять эту статистику нужно учитывать несколько вещей:
- анализировались только вакансии с самого hh (что логично)
- анализировались только вакансии с указанным уровнем ЗП (что логично)
- анализировались только вакансии, в названии которых было написано "Специалист по информационной безопасности". То есть всякие DevSecOps-ы, Архитекторы ИБ, AppSec-ки не учитывались

Поначалу кажется, что зарплаты удручающие, но, если посмотреть внимательнее (на горизонтальный график со столбцами), то ситуация становится уже больше похожей на правду. Особенно, если учесть, что выборка из-за фильтров, которые я описал выше, очень уж маленькая и только по специалистам.

Нравится, что hh наконец-то добрался и до наших ролей. Надеюсь, что эта история будет развиваться и скоро появятся другие коллеги по цеху.

Твой Пакет Безопасности

Пакет Безопасности

19 Sep 2024 15:55

Вебинар компании «ЛИНЗА»
24 сентября 11:00

Скрытые угрозы в конфигурациях: как не потерять контроль над ИТ-инфраструктурой?

Всего одна ошибка в настройках любого ИТ-актива может привести к потере контроля над всей инфраструктурой! На вебинаре эксперты лаборатории инновационной защиты «ЛИНЗА» расскажут, как не допустить этого, и представят новое решение собственной разработки – «Контроль конфигураций».

На вебинаре вы узнаете:
• как защититься от атак, связанных с недостатками конфигураций системного, прикладного и встроенного ПО
• с какими сложностями можно столкнуться, внедряя процесс управления конфигурациями
• почему при всем разнообразии ИТ-рынка трудно найти подходящее решение

Вебинар будет интересен тем, кто:
• нуждается в эшелонированной защите от целевых кибератак
• активно проводит импортозамещение в проектах ИТ и АСУ ТП
• использует ИТ-инфраструктуру со множеством типовых сегментов
• ведет активную разработку ПО и хочет контролировать безопасность процесса разработки

Зарегистрироваться

Пакет Безопасности

17 Sep 2024 17:55

​А тебе уже писал бывший руководитель?

Наткнулся тут (не сам) на новую схему мошенничества с применением нашей любимой социальной инженерии. Злоумышленники пишут жертвам от имени их бывшего руководства (с поддельных телеграм-аккаунтов, например) с посылом о том, что в компании, где они вместе работали, произошла утечка данных, а произошла она тогда, когда жертва там работала. Дальше начинают упоминать, что сейчас проводится расследование со стороны МВД и ФСБ, и надо быть готовым к разговору с ними. Есть теория, что диалог с жертвами в мессенджерах ведет нейросеть, но это не точно.

Ну а дальше схема превращается в классическую – вам звонит человек с поставленной речью, представляется сотрудником органов и... после этого страдают либо ваши финансы, либо данные.

Как же ищут информацию о ваших местах работы и вашем руководстве? Всё очень просто – даже если не брать во внимание реально утёкшие базы сотрудников достаточно большого количества компаний, то можно просто взять, зайти на LinkedIn и посмотреть, кто, где и когда работал. Ну а еще можно оплатить аккаунт на hh и получить доступ ко всем резюме, где будет написано всё тоже самое, только пользоваться этим уже не так удобно, чтобы искать связи между жертвами и руководством.

В общем, будьте осторожны, особенно с бывшими начальниками.

#Кибергигиена

Твой Пакет Безопасности

Пакет Безопасности

16 Sep 2024 17:56

#IT

Твой Пакет Мемов

Пакет Безопасности

12 Sep 2024 11:00

​Берём ручки, открываем тетрадки и пишем жалобу

Что делать в случае взлома Госуслуг мы с вами уже обсудили (судя по репостам и реакциям, вам очень даже понравилось), так что теперь настало время поговорить о том, кому можно наябедничать пожаловаться на то, что вас пытаются закибербулить обмануть в интернетах. Да, не факт, что это поможет, но шансы есть, и всегда нужно надеяться на лучшее (тем более, что даже идти никуда не надо.)

Ну поехали

- Пожаловаться на фишинг (если вы нашли где-то поддельный сайт) можно на Госуслугах (ссылка) или в Минцифры (ссылка)

- На что-то незаконное или противоправное в сети можно пожаловаться в РКН (ссылка)

- О преступлении можно сообщить в БСТМ МВД (ссылка), ГенПрокуратуру (ссылка) или в Следственный комитет (ссылка)

- Пожаловаться на SMS-спам (например, если у вас есть ощущение, что оператор связи слишком массово продал ваши данные) можно в Антимонопольную Службу (ссылка)

Ну и напоследок – если у вас возникают подозрения насчет того, что вам звонит мошенник, можете смело класть трубку и идти проверять его номер телефона вот тут – ссылка

#Полезное

Твой Пакет Безопасности

Пакет Безопасности

11 Sep 2024 17:55

​Кардшеринг

В общем, пока недовольные пешеходы и автомобилисты из разных разных городов нашей страны продолжают анархично разбрасывать электросамокаты и кричать на их владельцев, мошенники начали популяризировать мошенническую схему, которая построена на похожей концепции.

Раньше (ну и сейчас) мошенники промышляли покупкой доступов к чужим банковским счетам и картам. Делали они это либо для себя, либо для перепродажи другим нехорошим людям, например, "обнальщикам". Если кто не смотрел сериал Озарк (а я советую это сделать), то это вид мошенничества, связанный с незаконным обналичиванием денежных средств (чтобы не платить налоги, например). И да, люди действительно продавали мошенникам доступ к своим банковским сервисам, реально (читать с интонацией).

Так вот, теперь стало модным не выкупать такие доступы, а брать их в аренду. Ох уж этот современный мир по подписке. Логика та же – вы даете другим людям доступ, например, к своей банковской карте, а взамен получаете посуточную оплату на срок аренды. И да, люди действительно дают в аренду свои карты, реально (читать с интонацией).

Что происходит с картой дальше? Правильно – всё самое нелегальное и аморальное, что только придёт вам в голову. Во-первых, новоиспеченный бизнесмен (тот, кто сдал свою карту в аренду) становится дроппером, то есть соучастником всего того, что будет происходить дальше с банковским счетом. Ну а карта будет использоваться для чего-угодно – от сбора средств на несуществующую благотворительность до использования счета для вывода нелегально заработанных денег в крипту.

К сожалению, чаще всего на такое ведутся либо молодые ребята, либо пожилые люди, по одним и тем же причинам. Ну а вы, мои дорогие читатели, не поддавайтесь этим мимолетным искушениям, делитесь этой информацией с теми, кого это может коснуться, и не пытайтесь обмануть эту жизнь, обходя законы. Всем мир.

И да, термин "кардшеринг" из заголовка поста запатентован под другую существующую технологию (да, вы тоже должны об этом знать).

#Кибергигиена

Твой Пакет Безопасности

Пакет Безопасности

10 Sep 2024 13:37

Система Apple Intelligence с функцией “распознавания на экране”, когда пользователь открывает браузер Safari в режиме инкогнито, уменьшает яркость экрана и громкость звука на своем iPhone 16

#IT #ИБ

Твой Пакет Мемов

Пакет Безопасности

06 Sep 2024 17:55

​Даёшь умную прослушку!

Как вы могли заметить по последним новостям, ребята из международного бигтеха (Амазон, Гугл, Bing и еще одна популярная большая синяя компания) просчитались но где и допустили оплошность. В сеть утекла информация (а точнее целая презентация) о том, что они сотрудничают с компанией CMG, которая предоставляет услуги по, внимание, Active Listening (активному подслушанию).

Эта технология основана на искусственном интеллекте, а нацелена она на то, чтобы улучшать алгоритмы таргетированной рекламы на основе всего, что говорит пользователь рядом с устройством – начиная со смартфонов и телевизоров, заканчивая любыми умными устройствами (в общем со всего, где есть микрофоны).

Ну а пока ребята из Amazon всячески отрицают информацию о том, что пользовались этой технологией, Гугл просто взял и удалил всю информацию, связывающую их с CMG со своих ресурсов. Но интернет помнит всё. При этом, в той самой опубликованной презентации было явно указано, что тот же Гугл сотрудничает с CMG уже более 11 лет.

В общем, так и живём.

Твой Пакет Безопасности

Пакет Безопасности

05 Sep 2024 16:55

​А как часто вы обновляете свои пароли роутеры?

Сейчас попробуем разобрать одну душную новость на человеческом языке (ну хотя бы попробуем). Наверняка все вы знаете и помните роутеры марки D-Link, которые в одно время были чуть ли не монополистами на отечественном рынке, так как продавались буквально везде, стоили дешево, да еще и работали, даруя лучи радиации волны вайфая в каждый дом. Так вот, они еще существуют. Ну а теперь к новости.

На днях во многих СМИ прогремела новость о том, что D-Link отказывается исправлять уязвимости безопасности в своих устройствах. Звучит громко, но сразу за заголовками градус обычно снижается. Что же произошло – энтузиасты из мира кибербезопасности нашли несколько уязвимостей в роутерах компании D-Link и опубликовали об этом информацию в своем (ну конечно же) гитхабе. Более того, сама компания у себя на сайте также разместила информацию об этом. И да, Длинк публично отказался исправлять эти уязвимости в своих устройствах (а дыры там нехилые).

Кажется, что ситуация все еще оправдывает эти громкие заголовки, но есть нюансы. Во-первых, эти роутеры настолько старые, что их уже давно перестали выпускать и продавать. Тут ситуация аналогичная Майкрософтам и Эпплу, которые также в какой-то момент времени просто перестают обновлять свои устаревшие устройства и операционные системы. Во-вторых, D-Link уже не первый раз так поступает со своими пользователями и продукцией, а тут еще и аргументы весомые. В-третьих, что интересно, для этих уязвимостей еще никто не опубликовал тот самый PoC (обычно это происходит почти сразу) – некую пошаговую инструкцию, подтверждающую реальность реализации уязвимости, в общем, алгоритм того, как надо ломать.

Вся проблема состоит в том, что мы крайне редко меняем роутеры у себя дома. Ну а про обновление прошивок на роутерах я вообще молчу. Так вот, это действительно проблема, так как взломав роутер можно не только начать бесплатно пользоваться чужим интернетом, но и подвергнуть опасности все устройства, которые к нему подключены. Поэтому, если вы давно не обновлялись, то это хороший повод об этом задуматься.

И да, об этой новости я узнал от одного хорошего подписчика, которому и передаю привет. Всем мир.

#Мнение

Твой Пакет Безопасности

Пакет Безопасности

04 Sep 2024 17:55

​Вот это я понимаю функция

Помню, как во время обучения в университете у нас была пара дисциплин, посвященных прослушкам, шпионажу и вот этому вот всему (ЗИ по УТК, ПЭМИН и прочие душные аббревиатуры) с использованием всего, чего только можно – от вибраций на окнах и стаканах, до скрытых камер и микрофонов.

Лично мне всегда было скучно на этих лекциях и семинарах, так как к тому моменту учеба мне уже поднадоела, но, тем не менее, эта область кибербеза как раз таки очень романтичная и способна вдохновить многих. Но сегодня не об этом.

Сегодня о том, что в ближайшем будущем Xiaomi начнут выпускать смартфоны (а точнее обновление для своей операционной системы), которые смогут выявлять скрытые камеры (посредством сканирования wi-fi сигналов). Для этого существуют специальные приборы, которые на основе целого набора датчиков умеют выявлять скрытые прослушивающие и записывающие устройства, но если эта функция (хоть и не в полном объеме) будет встроена в наши смартфоны, то это же вообще великолепно.

Не то, чтобы я часто сталкивался с прослушкой или шпионажем, но я периодически натыкаюсь на рилсы и мемы о том, как кто-то находит такими приборами скрытые камеры в отелях, хостелах или даже обычных съемных квартирах, что, как минимум, весьма неприятно, а как максимум – опасно, и нарушает права этих добряков людей.

В общем, так и живем.

#НовостьДня

Твой Пакет Безопасности

Пакет Безопасности

03 Sep 2024 15:56

Threat Zone 2024: комплексное исследование ландшафта киберугроз в России и СНГ

За последний год киберпреступники не сдавали позиции, а в России и странах СНГ лишь наращивали потенциал.

Специалисты BI.ZONE проанализировали ладшафт киберугроз, а также собрали данные центра мониторинга и команды реагирования на инциденты. Результат представили в исследовании Threat Zone 2024.

При создании материала авторы хотели охватить все наиболее активные в 2023 году на территории России и СНГ кибергруппировки. Поэтому исследование поможет разобраться в особенностях атак злоумышленников, их техниках и инструментах.

Threat Zone 2024 даст вам актуальную информацию, чтобы управлять рисками, принимать стратегические решения и укреплять защиту.

Материал состоит из четырех частей:

— Текущий ландшафт киберугроз в России.
— Опыт центра мониторинга BI.ZONE в предотвращении инцидентов кибербезопасности.
— Разбор атак, на которые реагировали специалисты компании, и рекомендации по защите.
— Описание того, как взаимодействует платформа киберразведки BI.ZONE Threat Intelligence с другими продуктами и сервисами, чтобы противостоять актуальным угрозам.

Скачайте исследование бесплатно на сайте BI.ZONE.

Реклама, ООО «БИЗон»
ИНН 9701036178