Когда действительно надо привлекать аутсорс в ИБ (спойлер: почти всегда, если вы небольшая компания)
Тут РБК выкатили прикольную статью, где пишут (со ссылкой на консалтеров из бывших "Янгов") о том, что только каждая третья российская компания прибегает к аутсорсу. Понятно, что речь там идет в основном про сотрудников вокруг "основного вида деятельности" — для заводов это рабочие, для стройки это строители, и так далее.
Но мы поговорим про наше любимое ИБ. И вот в статье пишут, что главная причина, по которой бизнес в России не любит аутсорс — это как раз боязнь утечек. Правильно ли это? Да, но нет, и по нашему опыту бояться аутсорса это примерно как бояться летать. Условно, если вам и дома норм или вас зовут Ким Чен Ир, то проблемы (у вас) нет. Иначе эту собаку надо учиться готовить.
Первый и главный момент — выбор аутсорс vs найм вообще не зависит от критичности функции. То есть идея "на критичные должности только нанимаем" для больших компаний имеет смысл, но для МСП+ может быть глубоко порочной. Во-первых, нишевые аутсорсинговые компании обычно умеют митигировать такие риски. Во-вторых, если вы не Газпромбанк, то красть ваши данные аутсорсеру ... просто не выгодно.
Второй — для небольшой компании обычно разумнее дополнять IT-функцию, а не строить отдельную ИБ-вертикаль. Свое IT+vCISO+минимальный набор продуктов+разовые сторонние услуги это здоровая модель. Брать в штат условного пентестера — это не здоровая модель, они умирают от скуки даже в компаниях с выручкой в сотни миллиардов. Так что повторимся, если вы не Газпромбанк, то аутсорс ваш выбор.
И третье. Что действительно нужно и важно делать по нашему опыту — это растить в IT базовые ИБ-компетенции. Разработчик не заменит полноценного DevSecOps, но наличие у него базовых ИБ-навыков существенно упростит вам жизнь. С сисадмином, который отключит софт для удаленного подключения, сменит дефолтные пароли и настроит гостевой вайфай — похожая история.
В общем, аутсорс в ИБ — это вполне нормальный выбор. Просто его, как и любой другой инструмент, надо уметь готовить. Чем мы, собственно, и занимаемся.
Тут РБК выкатили прикольную статью, где пишут (со ссылкой на консалтеров из бывших "Янгов") о том, что только каждая третья российская компания прибегает к аутсорсу. Понятно, что речь там идет в основном про сотрудников вокруг "основного вида деятельности" — для заводов это рабочие, для стройки это строители, и так далее.
Но мы поговорим про наше любимое ИБ. И вот в статье пишут, что главная причина, по которой бизнес в России не любит аутсорс — это как раз боязнь утечек. Правильно ли это? Да, но нет, и по нашему опыту бояться аутсорса это примерно как бояться летать. Условно, если вам и дома норм или вас зовут Ким Чен Ир, то проблемы (у вас) нет. Иначе эту собаку надо учиться готовить.
Первый и главный момент — выбор аутсорс vs найм вообще не зависит от критичности функции. То есть идея "на критичные должности только нанимаем" для больших компаний имеет смысл, но для МСП+ может быть глубоко порочной. Во-первых, нишевые аутсорсинговые компании обычно умеют митигировать такие риски. Во-вторых, если вы не Газпромбанк, то красть ваши данные аутсорсеру ... просто не выгодно.
Второй — для небольшой компании обычно разумнее дополнять IT-функцию, а не строить отдельную ИБ-вертикаль. Свое IT+vCISO+минимальный набор продуктов+разовые сторонние услуги это здоровая модель. Брать в штат условного пентестера — это не здоровая модель, они умирают от скуки даже в компаниях с выручкой в сотни миллиардов. Так что повторимся, если вы не Газпромбанк, то аутсорс ваш выбор.
И третье. Что действительно нужно и важно делать по нашему опыту — это растить в IT базовые ИБ-компетенции. Разработчик не заменит полноценного DevSecOps, но наличие у него базовых ИБ-навыков существенно упростит вам жизнь. С сисадмином, который отключит софт для удаленного подключения, сменит дефолтные пароли и настроит гостевой вайфай — похожая история.
В общем, аутсорс в ИБ — это вполне нормальный выбор. Просто его, как и любой другой инструмент, надо уметь готовить. Чем мы, собственно, и занимаемся.
🔥17👍7❤3
2025 — год партнерств
Мы тут периодически пишем, как у нас идут дела с бизнесом. Так вот — с 3side все хорошо, выручка за первый квартал в разы больше прошлогодней (но там поток клиентов пошел в конце года, закрывали проекты уже в 2025 с постоплатой). 4security зарегистрирован, релиз вероятно в середине-конце мая, планово.
Вообще говоря, ИБ всегда продается "через людей" — подрядчика в интернете ищут обычно те, кому некому дать совет. Такие клиенты у нас тоже есть, но основной эффект дают рекомендации — или от действующих клиентов (т.е. виралка), или от наших друзей.
То, что значительный кусок наших будущих продаж — это бизнес-сообщества и региональные интеграторы, мы осознавали и раньше. Теперь мы наконец готовы нормально с ними работать, и 4sec будет изрядно этому способствовать. Как минимум, это возможность "завести" клиента в конкретный интерфейс и дальше взаимодействовать с ним там.
В общем. Если у вас есть пул клиентов/партнеров, если части из них нужно ИБ и у нас может возникнуть синергия — пишите. Мы понимаем, как это готовить.
Мы тут периодически пишем, как у нас идут дела с бизнесом. Так вот — с 3side все хорошо, выручка за первый квартал в разы больше прошлогодней (но там поток клиентов пошел в конце года, закрывали проекты уже в 2025 с постоплатой). 4security зарегистрирован, релиз вероятно в середине-конце мая, планово.
Вообще говоря, ИБ всегда продается "через людей" — подрядчика в интернете ищут обычно те, кому некому дать совет. Такие клиенты у нас тоже есть, но основной эффект дают рекомендации — или от действующих клиентов (т.е. виралка), или от наших друзей.
То, что значительный кусок наших будущих продаж — это бизнес-сообщества и региональные интеграторы, мы осознавали и раньше. Теперь мы наконец готовы нормально с ними работать, и 4sec будет изрядно этому способствовать. Как минимум, это возможность "завести" клиента в конкретный интерфейс и дальше взаимодействовать с ним там.
В общем. Если у вас есть пул клиентов/партнеров, если части из них нужно ИБ и у нас может возникнуть синергия — пишите. Мы понимаем, как это готовить.
🔥17👍4👏1
Приходите на КодИБ СПБ
Мы там будем, Антон поучаствует в вводной дискуссии и выступит с докладом. Одно из лучших мест для нетворкинга, будем рады пообщаться!
Мы там будем, Антон поучаствует в вводной дискуссии и выступит с докладом. Одно из лучших мест для нетворкинга, будем рады пообщаться!
👍9🔥3❤1
Forwarded from КОД ИБ: информационная безопасность
Уже скоро увидимся на конференции Код ИБ в Санкт-Петербурге!
🗓 24 апреля | старт в 9:30
📍 Freedom. Казанская, 7
В программе:
▪️ Открытая дискуссия с CISO крупных компаний: про ключевые тренды, новые угрозы и практики защиты в 2025 году.
▪️ Два потока трека "Технологии": свежие решения от 3side, ARinteg, ИТ-Экспертиза, Кортэл, SkyDNS, Киберпротект, SearchInform, Конфидент, Secure-T, UserGate, Кауч, RTCloud и других.
▪️ Прямой диалог с Роскомнадзором и ФСТЭК.
▪️ Реальные кейсы: изучим опыт коллег из компаний СберТех, ЭТМ, Группа ЛСР, ГК ОКЕЙ, Conflex, Кортэл.
▪️ Штабные киберучения: испытаем навыки в защите цифровых активов компании на практике.
▪️ Закрытый ужин для ИТ-директоров от GlobalCIO: нетворкинг, актуальные кейсы➡️ для участия требуется отдельная регистрация.
▪️ Яркая дополнительная программа: after-party, круглый стол со студентами, экскурсия по дата-центру от Selectel.
Полная программа — на сайте Код ИБ.
Регистрируйтесь уже сейчас! Количество мест ограничено.
🗓 24 апреля | старт в 9:30
📍 Freedom. Казанская, 7
В программе:
▪️ Открытая дискуссия с CISO крупных компаний: про ключевые тренды, новые угрозы и практики защиты в 2025 году.
▪️ Два потока трека "Технологии": свежие решения от 3side, ARinteg, ИТ-Экспертиза, Кортэл, SkyDNS, Киберпротект, SearchInform, Конфидент, Secure-T, UserGate, Кауч, RTCloud и других.
▪️ Прямой диалог с Роскомнадзором и ФСТЭК.
▪️ Реальные кейсы: изучим опыт коллег из компаний СберТех, ЭТМ, Группа ЛСР, ГК ОКЕЙ, Conflex, Кортэл.
▪️ Штабные киберучения: испытаем навыки в защите цифровых активов компании на практике.
▪️ Закрытый ужин для ИТ-директоров от GlobalCIO: нетворкинг, актуальные кейсы
▪️ Яркая дополнительная программа: after-party, круглый стол со студентами, экскурсия по дата-центру от Selectel.
Полная программа — на сайте Код ИБ.
Регистрируйтесь уже сейчас! Количество мест ограничено.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍2❤1
Никогда не было и вот опять: китайцы работали на американские госконтракты. А вы точно знаете своих подрядчиков?
Тут пару дней произошла анекдотическая история. Некий гражданин США по имени Минь Фыонг Нгок Вонг (Minh Phuong Ngoc Vong, т.е. явно вьетнамские корни) была нанят на работу IT-специалистом на работу по контракту с FAA (агентство по гражданской авиации). Гражданин имел к IT весьма опосредованное отношение, но все собеседования прошел и работу получил (!).
Рабочие задачи он "перенаправлял" своему партнеру по онлайн-игре, проживающему в Китае. Более того, китаец даже участвовал в встречах с заказчиком — обойдемся без расистских шуток, но тот не заметил разницы. Понятно, что FAA это не Локхид-Мартин, но сам факт фрода совершенно вопиющий.
Позже уже на этапе расследования выяснилось, что по подобной схеме мистер Вонг с 2021 по 2024 год проработал руками китайцев в 13 компаниях! Суммарно получив около 1 миллиона долларов зарплаты, но главное передал доступы к конфиденциальным данным всех 13 компаний подрядчикам из Китая.
Впрочем, было и круче — пол-года назад в США взяли парней, которые по похожей схеме предоставляли работу ... северным корейцам! Правда, там речь шла в первую очередь о нарушении санкционного режима против Пхеньяна.
А мораль здесь простая. Во-первых, описанная схема вполне типична для российского рынка ИБ. Ну, то есть монгола или киргиза вам вряд-ли подсунут, а вот студента с nmap вместо специалиста по пентесту — легко. По этой причине мы всегда даем прямую связь с заказчиком для конечного исполнителя. А во-вторых, капитализм и желание заработать побеждает все границы, режимы и политические ограничения.
Тут пару дней произошла анекдотическая история. Некий гражданин США по имени Минь Фыонг Нгок Вонг (Minh Phuong Ngoc Vong, т.е. явно вьетнамские корни) была нанят на работу IT-специалистом на работу по контракту с FAA (агентство по гражданской авиации). Гражданин имел к IT весьма опосредованное отношение, но все собеседования прошел и работу получил (!).
Рабочие задачи он "перенаправлял" своему партнеру по онлайн-игре, проживающему в Китае. Более того, китаец даже участвовал в встречах с заказчиком — обойдемся без расистских шуток, но тот не заметил разницы. Понятно, что FAA это не Локхид-Мартин, но сам факт фрода совершенно вопиющий.
Позже уже на этапе расследования выяснилось, что по подобной схеме мистер Вонг с 2021 по 2024 год проработал руками китайцев в 13 компаниях! Суммарно получив около 1 миллиона долларов зарплаты, но главное передал доступы к конфиденциальным данным всех 13 компаний подрядчикам из Китая.
Впрочем, было и круче — пол-года назад в США взяли парней, которые по похожей схеме предоставляли работу ... северным корейцам! Правда, там речь шла в первую очередь о нарушении санкционного режима против Пхеньяна.
А мораль здесь простая. Во-первых, описанная схема вполне типична для российского рынка ИБ. Ну, то есть монгола или киргиза вам вряд-ли подсунут, а вот студента с nmap вместо специалиста по пентесту — легко. По этой причине мы всегда даем прямую связь с заказчиком для конечного исполнителя. А во-вторых, капитализм и желание заработать побеждает все границы, режимы и политические ограничения.
www.justice.gov
Maryland Man Pleads Guilty to Conspiracy to Commit Wire Fraud
Minh Phuong Ngoc Vong, 40, of Bowie, Maryland, pleaded guilty today to conspiracy to commit wire fraud in connection with a scheme whereby he conspired with unknown individuals, including John Doe, also known as William James, a foreign national living in…
😁32🔥12🤣6❤2👍2
Взлом через Zoom-конференцию
Иногда ПО может делать что-то очень неожиданное для пользователя, и этим пользуются злоумышленники при атаках с помощью социальной инженерии.
1. Вас приглашают на собеседование/конференцию в Zoom — обычная ситуация.
2. Вас просят что-то показать у себя на экране — тоже не редкость и не несет угрозы, если вы не покажете чего-то лишнего.
3. Говорят, что покажут вам что-то у вас на экране, и приходит запрос на «удаленное управление экраном» — это уже атака.
На данном этапе достаточно нажатия кнопки «разрешить» для передачи управления вашим компьютером злоумышленникам. Они могут запустить любое ПО, закрепиться на вашем ПК с вашими правами.
И это не уязвимость в Zoom, это стандартная и по умолчанию включенная функция!
Название которой не вполне передает смысл того, что именно вы позволяете.
Скорее всего, вы никогда не будете этой функцией пользоваться, и для защиты себя от ошибки в ходе какой-либо конференции отключите функцию удаленного управления.
Для этого:
1. Войдите на Zoom Web Portal.
2. В меню навигации щелкните «Настройки».
3. Щелкните вкладку «Конференция».
4. В разделе «На конференции (базовые)» щелкните переключатель «Дистанционное управление», чтобы отключить его.
Примечание. Если параметр отображается серым цветом, значит, он заблокирован на уровне учетной записи или группы, и администратор учетной записи должен изменить его на этом уровне.
Подобные техники для внедрения бэкдоров используют APT-группировки при атаках крупных компаний. Похожие техники, например, использует северокорейские Lazarus, недавно взломавшие ByBit.
Иногда ПО может делать что-то очень неожиданное для пользователя, и этим пользуются злоумышленники при атаках с помощью социальной инженерии.
1. Вас приглашают на собеседование/конференцию в Zoom — обычная ситуация.
2. Вас просят что-то показать у себя на экране — тоже не редкость и не несет угрозы, если вы не покажете чего-то лишнего.
3. Говорят, что покажут вам что-то у вас на экране, и приходит запрос на «удаленное управление экраном» — это уже атака.
На данном этапе достаточно нажатия кнопки «разрешить» для передачи управления вашим компьютером злоумышленникам. Они могут запустить любое ПО, закрепиться на вашем ПК с вашими правами.
И это не уязвимость в Zoom, это стандартная и по умолчанию включенная функция!
Название которой не вполне передает смысл того, что именно вы позволяете.
Скорее всего, вы никогда не будете этой функцией пользоваться, и для защиты себя от ошибки в ходе какой-либо конференции отключите функцию удаленного управления.
Для этого:
1. Войдите на Zoom Web Portal.
2. В меню навигации щелкните «Настройки».
3. Щелкните вкладку «Конференция».
4. В разделе «На конференции (базовые)» щелкните переключатель «Дистанционное управление», чтобы отключить его.
Примечание. Если параметр отображается серым цветом, значит, он заблокирован на уровне учетной записи или группы, и администратор учетной записи должен изменить его на этом уровне.
Подобные техники для внедрения бэкдоров используют APT-группировки при атаках крупных компаний. Похожие техники, например, использует северокорейские Lazarus, недавно взломавшие ByBit.
👍26🤯12🔥6
🔐 Как защитить базу данных, если хакеры уже внутри?
И можно ли избежать расхождений между фактическими и заявленными конфигурациями? Ответы – на вебинаре «Защита баз данных» от Softline и «ЭВРИТЕГ».
📅 29 апреля
🕚 11:00–12:30 (МСК)
📍 Онлайн
Владелец продукта Артем Гарусев расскажет о «Платформе безопасности данных» – инновационном решении «ЭВРИТЕГ», которое позволяет эффективно защищать чувствительную информацию от внешних атак и внутренних угроз. А также объяснит, что представляет собой комплексный подход к безопасности и как реализовать концепцию Zero Trust на практике.
📎 Зарегистрироваться можно по ссылке
И можно ли избежать расхождений между фактическими и заявленными конфигурациями? Ответы – на вебинаре «Защита баз данных» от Softline и «ЭВРИТЕГ».
📅 29 апреля
🕚 11:00–12:30 (МСК)
📍 Онлайн
Владелец продукта Артем Гарусев расскажет о «Платформе безопасности данных» – инновационном решении «ЭВРИТЕГ», которое позволяет эффективно защищать чувствительную информацию от внешних атак и внутренних угроз. А также объяснит, что представляет собой комплексный подход к безопасности и как реализовать концепцию Zero Trust на практике.
📎 Зарегистрироваться можно по ссылке
👍5🔥2
Конспирология кибербезопасности
Если вам кажется, что в кибербезопасности все профессионалы сплошь и рядом дружат с критическим мышлением — вам действительно кажется. Как и в остальных сферах, таких людей вряд ли большинство.
Наша сфера в целом толкает человека следовать критическому мышлению с одной стороны, но постоянные развития технологий и сильное пересечение со сферой работ спецслужб всех стран мира наоборот толкают к тому, чтобы скатиться в какую-нибудь конспирологию.
Вот примеры подобных заявлений, которые я слышал неоднократно:
- Об универсальных закладках во всё популярное ПО.
- Манипуляции Центрами сертификации и массовых подменах сертификатах.
- Давно взломанных современных стандартов шифрования.
- Распространении вирусов силами антивирусных компаний.
И знаете, распространение многих мифов очень на руку спецслужбам! Это напускает страху на их противников, заставляет отходить от действительно стойких методов безопасного общения в сторону «кастомщины», то есть чего-то самопального и, как правило, в разы менее защищенного. «Мы видим всё, следим за всеми вами».
И вот недавно популярный ТГ-блоггер Александр Картавых видимо оказался под влиянием такого акта «устрашения».
Скептики же в таких случаях цитируют одну из вариаций стандарта Сагала — «Экстраординарные утверждения требуют экстраординарных доказательств».
Давайте обсудим как раз чтение переписок в Телеграм. Это возможно?
- При доступе к устройству? Без сомнения, да. Тут достаточно скопировать папку tdata, все ваши переписки, скачанные на устройство, именно там.
- Доступе к аккаунту? Конечно, достаточно сделать экспорт нужных чатов. Что не касается секретных чатов, само собой.
- Через запрос силовых структур по официальным каналам? Нет, даже если запрос будет удовлетворен, будут разглашены только ваши метаданные. А именно:
- Телефон
- IP-адреса вашего входа
- Устройства, которыми вы пользовались для входа
И иные метаданные.
Откуда это известно? И по заявлениям самого мессенджера, и от моих коллег, которые активно участвуют в расследованиях вместе с силовыми структурами и по расследованиям журналистов.
- Через взлом MTProto-шифрования Телеграма? Нет.
Вот это уже чистая конспирология, и никаких даже минимальных доказательств этому нет. А нужны под это заявления уже совсем экстраординарные доказательства. Протокол мессенджера проектировался на стандартах современного шифрования, вобрав в себя все лучшие современные разработки криптографии, и избежал излишней «кастомщины». Его неоднократно проверяли, ведь логика его работы опубликована и открыта, как и исходный код клиентов мессенджера.
На данный момент протокол MTProto 2.0 не взломан. С современным шифрованием универсального взлома добиться крайне сложно. Даже официально не стойкие протоколы SSLv3, TLSv1.0, TLSv1.1 крайне сложно взломать на практике. Но припугнуть и разрушить их веру в ТГ гораздо проще с помощью дезинформации) Например, продемонстрировав полученные иным способом данные как «перехват Телеграма».
Скептицизм - полезная штука в кибербезе, помните про доказательства.
Если вам кажется, что в кибербезопасности все профессионалы сплошь и рядом дружат с критическим мышлением — вам действительно кажется. Как и в остальных сферах, таких людей вряд ли большинство.
Наша сфера в целом толкает человека следовать критическому мышлению с одной стороны, но постоянные развития технологий и сильное пересечение со сферой работ спецслужб всех стран мира наоборот толкают к тому, чтобы скатиться в какую-нибудь конспирологию.
Вот примеры подобных заявлений, которые я слышал неоднократно:
- Об универсальных закладках во всё популярное ПО.
- Манипуляции Центрами сертификации и массовых подменах сертификатах.
- Давно взломанных современных стандартов шифрования.
- Распространении вирусов силами антивирусных компаний.
И знаете, распространение многих мифов очень на руку спецслужбам! Это напускает страху на их противников, заставляет отходить от действительно стойких методов безопасного общения в сторону «кастомщины», то есть чего-то самопального и, как правило, в разы менее защищенного. «Мы видим всё, следим за всеми вами».
И вот недавно популярный ТГ-блоггер Александр Картавых видимо оказался под влиянием такого акта «устрашения».
Скептики же в таких случаях цитируют одну из вариаций стандарта Сагала — «Экстраординарные утверждения требуют экстраординарных доказательств».
Давайте обсудим как раз чтение переписок в Телеграм. Это возможно?
- При доступе к устройству? Без сомнения, да. Тут достаточно скопировать папку tdata, все ваши переписки, скачанные на устройство, именно там.
- Доступе к аккаунту? Конечно, достаточно сделать экспорт нужных чатов. Что не касается секретных чатов, само собой.
- Через запрос силовых структур по официальным каналам? Нет, даже если запрос будет удовлетворен, будут разглашены только ваши метаданные. А именно:
- Телефон
- IP-адреса вашего входа
- Устройства, которыми вы пользовались для входа
И иные метаданные.
Откуда это известно? И по заявлениям самого мессенджера, и от моих коллег, которые активно участвуют в расследованиях вместе с силовыми структурами и по расследованиям журналистов.
- Через взлом MTProto-шифрования Телеграма? Нет.
Вот это уже чистая конспирология, и никаких даже минимальных доказательств этому нет. А нужны под это заявления уже совсем экстраординарные доказательства. Протокол мессенджера проектировался на стандартах современного шифрования, вобрав в себя все лучшие современные разработки криптографии, и избежал излишней «кастомщины». Его неоднократно проверяли, ведь логика его работы опубликована и открыта, как и исходный код клиентов мессенджера.
На данный момент протокол MTProto 2.0 не взломан. С современным шифрованием универсального взлома добиться крайне сложно. Даже официально не стойкие протоколы SSLv3, TLSv1.0, TLSv1.1 крайне сложно взломать на практике. Но припугнуть и разрушить их веру в ТГ гораздо проще с помощью дезинформации) Например, продемонстрировав полученные иным способом данные как «перехват Телеграма».
Скептицизм - полезная штука в кибербезе, помните про доказательства.
Telegram
Картавых Александр
Ну, нам-то не пизди, Павел. Секретные чаты рили не ломают, плюс очень тяжело слушать звонки. Голосовухи чуть легче, но тоже тяжело. А все переписки после некоторого шаманства парсятся и утекают спокойно в полном объеме. А уж чаты вообще в принципе дырявые.…
👍31🔥9👏4🤔2
«Опасная» уязвимость Telegram Widget
Из-за массового репоста хайповых заголовков у многих сложилось впечатление, что нашли опасный баг, позволяющий угнать любой аккаунт ТГ через открытие какой-то ссылки.
Кратко: это не так, переживать не стоит.
Более подробно: этот баг может дать преимущества атакующему только в случае, если устройство находится у него (атакующего) в руках и разблокировано. Но, кажется, это уже и так само по себе дает такой набор возможностей атакующему, что и говорить нечего.
Для технарей: этот баг не увеличивает поверхность атаки без наличия каких-либо уязвимостей на ресурсе веб-версии «Телеграма».
Коллегам по каналам про кибербез рекомендую читать дальше первого абзаца после заголовка, писать в рамках своих компетенций и не рерайтить то, в чем не разобрались. Пугаете не технарей на пустом месте!
Из-за массового репоста хайповых заголовков у многих сложилось впечатление, что нашли опасный баг, позволяющий угнать любой аккаунт ТГ через открытие какой-то ссылки.
Кратко: это не так, переживать не стоит.
Более подробно: этот баг может дать преимущества атакующему только в случае, если устройство находится у него (атакующего) в руках и разблокировано. Но, кажется, это уже и так само по себе дает такой набор возможностей атакующему, что и говорить нечего.
Для технарей: этот баг не увеличивает поверхность атаки без наличия каких-либо уязвимостей на ресурсе веб-версии «Телеграма».
Коллегам по каналам про кибербез рекомендую читать дальше первого абзаца после заголовка, писать в рамках своих компетенций и не рерайтить то, в чем не разобрались. Пугаете не технарей на пустом месте!
🔥29👍14😁5
This media is not supported in your browser
VIEW IN TELEGRAM
SEQuest — и снова социальный redteam фестиваля PHDays!
В этом году мы снова проведем наш конкурс по социальной инженерии на PHDays. Как и в прошлом году, участникам конкурса нужно будет примерить на себя роль Кевина Митника и проверить защиту фестиваля на прочность без использования каких-либо технических средств. Но в этом году SEQuest будет отличаться от предыдущего, ведь мы учли опыт прошлого года и постарались сделать конкурс еще более веселым, масштабным и более управляемым)
В чем же отличия?
- Заданий гораздо больше — 12. Только несколько из них с прошлого года, основная масса — новые!
- Упор на скрытность, если в этом году вас заметит охрана и зарепортит нам, участие в конкурсе приостанавливается на этот игровой день.
- Конкурс 18+.
- Будет задание на телефонный фишинг.
- Будет карта «красных зон» фестиваля, заходить куда строжайше запрещено, ведь они и не нужны для выполнения заданий. Это упростит участникам поиск нужных мест.
- Будет босс-задание, поверьте, оно будет для настоящих профи)
Покупайте билет на фестиваль, приходите в зону конкурсов и принимайте участие в SEQuest!
Более подробную информацию о заданиях, правилах и наградах напишем в следующем анонсе нашего конкурса.
В этом году мы снова проведем наш конкурс по социальной инженерии на PHDays. Как и в прошлом году, участникам конкурса нужно будет примерить на себя роль Кевина Митника и проверить защиту фестиваля на прочность без использования каких-либо технических средств. Но в этом году SEQuest будет отличаться от предыдущего, ведь мы учли опыт прошлого года и постарались сделать конкурс еще более веселым, масштабным и более управляемым)
В чем же отличия?
- Заданий гораздо больше — 12. Только несколько из них с прошлого года, основная масса — новые!
- Упор на скрытность, если в этом году вас заметит охрана и зарепортит нам, участие в конкурсе приостанавливается на этот игровой день.
- Конкурс 18+.
- Будет задание на телефонный фишинг.
- Будет карта «красных зон» фестиваля, заходить куда строжайше запрещено, ведь они и не нужны для выполнения заданий. Это упростит участникам поиск нужных мест.
- Будет босс-задание, поверьте, оно будет для настоящих профи)
Покупайте билет на фестиваль, приходите в зону конкурсов и принимайте участие в SEQuest!
Более подробную информацию о заданиях, правилах и наградах напишем в следующем анонсе нашего конкурса.
👍13🔥9❤2
Без паролей безопаснее
Пароли — атавизм кибербеза, придуманные когда-то от необходимости хоть как-то аутентифицировать пользователя, они стали стандартом безопасности. О том, почему это проблема, мы подробно писали тут.
И вот Microsoft сделали вход без пароля стандартом для новых учётных записей! Они предлагают только альтернативные методы аутентификации, более устойчивые к фишингу.
Пользователи могут войти с помощью одноразовых кодов, биометрии или ключей доступа (FIDO-ключей), а существующие пользователи могут и вовсе удалить пароль в настройках. Теперь это необязательный способ аутентификации.
А какие методы аутентификации предлагаются?
- Одноразовые коды – при входе система автоматически предлагает код вместо пароля. Коды, генерируемые специальными генераторами, наиболее устойчивы.
- Биометрия – распознавание лица или отпечаток пальца.
- FIDO-ключи – криптографическая аутентификация с открытым/закрытым ключом. Про них расскажем чуть подробнее:
— При регистрации устройство генерирует пару ключей.
— Закрытый ключ хранится локально, открытый – у сервиса.
— Вход подтверждается биометрией или PIN-кодом, без передачи чувствительных данных.
Все крупные IT-компании (Google, Apple, Amazon и пр.) также переходят на беспарольные методы. FIDO Alliance работает над улучшением совместимости ключей между платформами. Уже более 15 млрд аккаунтов поддерживают вход через FIDO.
Будущее приближается. Умрет ли фишинг? Классический — да, но он трансформируется в иные атаки на человека.
Пароли — атавизм кибербеза, придуманные когда-то от необходимости хоть как-то аутентифицировать пользователя, они стали стандартом безопасности. О том, почему это проблема, мы подробно писали тут.
И вот Microsoft сделали вход без пароля стандартом для новых учётных записей! Они предлагают только альтернативные методы аутентификации, более устойчивые к фишингу.
Пользователи могут войти с помощью одноразовых кодов, биометрии или ключей доступа (FIDO-ключей), а существующие пользователи могут и вовсе удалить пароль в настройках. Теперь это необязательный способ аутентификации.
А какие методы аутентификации предлагаются?
- Одноразовые коды – при входе система автоматически предлагает код вместо пароля. Коды, генерируемые специальными генераторами, наиболее устойчивы.
- Биометрия – распознавание лица или отпечаток пальца.
- FIDO-ключи – криптографическая аутентификация с открытым/закрытым ключом. Про них расскажем чуть подробнее:
— При регистрации устройство генерирует пару ключей.
— Закрытый ключ хранится локально, открытый – у сервиса.
— Вход подтверждается биометрией или PIN-кодом, без передачи чувствительных данных.
Все крупные IT-компании (Google, Apple, Amazon и пр.) также переходят на беспарольные методы. FIDO Alliance работает над улучшением совместимости ключей между платформами. Уже более 15 млрд аккаунтов поддерживают вход через FIDO.
Будущее приближается. Умрет ли фишинг? Классический — да, но он трансформируется в иные атаки на человека.
🔥25❤9🤔8👍3👎3
Научпоп про криптографию Второй Мировой Войны
5 лет назад я написал две статьи, где попытался максимально просто разобрать не самые известные моменты криптофронта Второй Мировой.
Получилось найти уникальные материалы на немецком языке, которые пару лет назад удивили даже специалиста музея Криптографии в Москве. Публикую их тут в неизменном виде по ссылкам в ВК.
P.S. Это максимально популярные статьи, для специалистов они могут показаться крайне упрощены, но как еще популяризовать такую тему?
Статья 1.
Еще одна статья про взлом Энигмы?! Конечно нет, мы поговорим обо ВСЕХ шифровальных машинах, активно использовавшихся во Второй Мировой Войне, и, конечно же, поговорим о том, как их пытались взломать.
Радиоперехват стал известен с Первой мировой войны, поэтому ко второй мировой все страны-участники подготовились основательно, поэтому и бои на криптофронте были не менее ожесточенными.
Япония, СССР, Великобритания, США и Германия, в этой статье рассмотрим атаку и защиту каждой страны, ответим и на нестандартные вопросы:
- Почему шифровальщики носили с собой взрывчатку?
- Почему в армии США ценили коренных американцев?
- Как сводки погоды, минные поля и нацистские приветствия помогали союзникам?
- Почему СССР даже не пытался взломать шифровальные машины Германии?
- И почему математически идеальный шифр все равно расшифровывали?
Статья 2.
Думаете, что и так знаете про успехи США, Германии и особенно Великобритании в области криптографии?
“Я же смотрел “Игру в имитацию”!” - распространенный комментарий, распространенное заблуждение. Все было не так, как показали в кино. Британцы были не самые умные, Алан Тьюринг не был самым успешным в дешифровальной службе, а США не полагались только на своих союзников. Ну и британский компьютер, который вы видите ниже на картинке, НИКАК не связан с Тьюрингом.
А материал об успехе дешифровальной службы Германии впервые переведен на русский язык для этой статьи. Пришло время срывать покровы, интересно узнать как оно было на самом деле?
5 лет назад я написал две статьи, где попытался максимально просто разобрать не самые известные моменты криптофронта Второй Мировой.
Получилось найти уникальные материалы на немецком языке, которые пару лет назад удивили даже специалиста музея Криптографии в Москве. Публикую их тут в неизменном виде по ссылкам в ВК.
P.S. Это максимально популярные статьи, для специалистов они могут показаться крайне упрощены, но как еще популяризовать такую тему?
Статья 1.
Еще одна статья про взлом Энигмы?! Конечно нет, мы поговорим обо ВСЕХ шифровальных машинах, активно использовавшихся во Второй Мировой Войне, и, конечно же, поговорим о том, как их пытались взломать.
Радиоперехват стал известен с Первой мировой войны, поэтому ко второй мировой все страны-участники подготовились основательно, поэтому и бои на криптофронте были не менее ожесточенными.
Япония, СССР, Великобритания, США и Германия, в этой статье рассмотрим атаку и защиту каждой страны, ответим и на нестандартные вопросы:
- Почему шифровальщики носили с собой взрывчатку?
- Почему в армии США ценили коренных американцев?
- Как сводки погоды, минные поля и нацистские приветствия помогали союзникам?
- Почему СССР даже не пытался взломать шифровальные машины Германии?
- И почему математически идеальный шифр все равно расшифровывали?
Статья 2.
Думаете, что и так знаете про успехи США, Германии и особенно Великобритании в области криптографии?
“Я же смотрел “Игру в имитацию”!” - распространенный комментарий, распространенное заблуждение. Все было не так, как показали в кино. Британцы были не самые умные, Алан Тьюринг не был самым успешным в дешифровальной службе, а США не полагались только на своих союзников. Ну и британский компьютер, который вы видите ниже на картинке, НИКАК не связан с Тьюрингом.
А материал об успехе дешифровальной службы Германии впервые переведен на русский язык для этой статьи. Пришло время срывать покровы, интересно узнать как оно было на самом деле?
VK
Криптофронт Второй Мировой Войны часть 1
Еще одна статья про взлом Энигмы?! Конечно нет, мы поговорим обо ВСЕХ шифровальных машинах, активно использовавшихся во Второй Мировой Во..
❤30🔥21👍13
Выступаю на ИБ-Стендапе
Приходите на мое первое выступление на ИБ-Стендапе! Я расскажу о том как сложно быть хакером, и почему дело тут совсем не в технике)
Все мои шутки основаны на реальных событиях из жизни пентестера, но совпадения совершенно случайны!
Баги, репорты, атаки... Работа в ИБ — это стресс. А какой лучший способ расслабиться? Хорошо посмеяться, пока ваш лажовый сотрудник не открыл подозрительную ссылку.
ИБ-стендап — вечер, где «не комики», а крутые спецы из ИБ и кибербеза в шутку расскажут, что у них «накипело», а вы посмеетесь, типа это не про вас, ага. Полтора часа погружения в атмосферу стёба от серьёзных безопасников.
Не откладывайте в бэклог и присоединяйтесь к нам!
Когда: 20 мая в 19.00
Где: Кибердом
Промокод на скидку 10%: B10
Приходите, буду рад вашей поддержке!
Приходите на мое первое выступление на ИБ-Стендапе! Я расскажу о том как сложно быть хакером, и почему дело тут совсем не в технике)
Все мои шутки основаны на реальных событиях из жизни пентестера, но совпадения совершенно случайны!
Баги, репорты, атаки... Работа в ИБ — это стресс. А какой лучший способ расслабиться? Хорошо посмеяться, пока ваш лажовый сотрудник не открыл подозрительную ссылку.
ИБ-стендап — вечер, где «не комики», а крутые спецы из ИБ и кибербеза в шутку расскажут, что у них «накипело», а вы посмеетесь, типа это не про вас, ага. Полтора часа погружения в атмосферу стёба от серьёзных безопасников.
Не откладывайте в бэклог и присоединяйтесь к нам!
Когда: 20 мая в 19.00
Где: Кибердом
Промокод на скидку 10%: B10
Приходите, буду рад вашей поддержке!
👍20😁7🔥6
Атаки на топ-менеджеров бывают разными
Топ-менеджеры всегда были и остаются приоритетной целью для целевых атак. Об этом мы уже писали на Хабре.
Но иногда атаки на руководителей, особенно в криптоиндустрии, выходят за рамки информационной безопасности. В ноябре прошлого года в Лас-Вегасе жертвой целевого похищения стал криптоинвестор!
Кто похитил его? Трое подростков! Модель злоумышленника — «школьник», но на этот раз с пистолетом.
Как это произошло? Жертва припарковала машину, её поймали на парковке, усадили на заднее сиденье её же авто и отвезли в пустыню.
Что они хотели? Доступ к криптовалютным счетам, и им это удалось. Подростки завладели активами на сумму около 4 миллионов долларов. Злоумышленники знали, кто их цель, и искали именно её.
Что в итоге? Жертву бросили в пустыне без средств связи, в 10 км от ближайшей заправки. Там она и сообщила об ограблении. Полиция задержала двух подростков, третий покинул страну. О судьбе похищенных средств информации пока нет.
Безопасность топ-менеджеров требует комплексного подхода. Даже если не учитывать грубую силу и шантаж, при целевых атаках могут использоваться различные методы. Например, введение в заблуждение членов семей жертвы.
Обо всех сценариях атак, кроме откровенно силовых, мы рассказываем на нашем курсе по собственной кибербезопасности для топ-менеджеров. Летом стартует второй офлайн-поток в Москве, и, возможно, будет запущен первый онлайн-поток.
Если вам интересно обучение самозащите вне контура компании, свяжитесь с нами по указанным контактам! Особые технические навыки для освоения курса не требуются, он подойдет всем.
Топ-менеджеры всегда были и остаются приоритетной целью для целевых атак. Об этом мы уже писали на Хабре.
Но иногда атаки на руководителей, особенно в криптоиндустрии, выходят за рамки информационной безопасности. В ноябре прошлого года в Лас-Вегасе жертвой целевого похищения стал криптоинвестор!
Кто похитил его? Трое подростков! Модель злоумышленника — «школьник», но на этот раз с пистолетом.
Как это произошло? Жертва припарковала машину, её поймали на парковке, усадили на заднее сиденье её же авто и отвезли в пустыню.
Что они хотели? Доступ к криптовалютным счетам, и им это удалось. Подростки завладели активами на сумму около 4 миллионов долларов. Злоумышленники знали, кто их цель, и искали именно её.
Что в итоге? Жертву бросили в пустыне без средств связи, в 10 км от ближайшей заправки. Там она и сообщила об ограблении. Полиция задержала двух подростков, третий покинул страну. О судьбе похищенных средств информации пока нет.
Безопасность топ-менеджеров требует комплексного подхода. Даже если не учитывать грубую силу и шантаж, при целевых атаках могут использоваться различные методы. Например, введение в заблуждение членов семей жертвы.
Обо всех сценариях атак, кроме откровенно силовых, мы рассказываем на нашем курсе по собственной кибербезопасности для топ-менеджеров. Летом стартует второй офлайн-поток в Москве, и, возможно, будет запущен первый онлайн-поток.
Если вам интересно обучение самозащите вне контура компании, свяжитесь с нами по указанным контактам! Особые технические навыки для освоения курса не требуются, он подойдет всем.
Хабр
Чем выше ТОП, тем короче пароль: как защититься от угроз?
Компании стремятся обеспечить свою безопасность. Они следят за периметром, фильтруют почту и сообщения, контролируют рабочие станции. Для этого используются разнообразные инструменты для...
🔥18🤯7🤔6
Инсайдеры в Coinbase
Криптовалютная биржа отчиталась об успешном проведении расследования, в результате которого была вскрыта группа инсайдеров. Инсайд, как правило, встречается значительно реже внешних злоумышленников. Ведь сотрудника проще обнаружить и гораздо проще привлечь к ответственности. Но тем не менее и в классических финансовых структурах, и в криптовалютных трудится масса низкоквалифицированного и не очень сознательного персонала. Тут использовали именно такую «человеческую уязвимость».
Что же произошло? Злоумышленники получили выгрузки данных об активах и аккаунтах ряда клиентов биржи. И попробовали сначала шантажировать саму биржу их раскрытием, неудачно. А потом использовали эти данные для социальных атак на самих владельцев аккаунтов! Представлялись сотрудниками биржи и пытались получить доступ к активам.
Как они это сделали? Подкупили менеджеров клиентов, причем многих, но из одного региона, славящегося дешевой рабочей силой — индийского.
Ценили ли мошенники своих информаторов? Точно нет, шантаж этими данными самой биржи сразу поставил их под угрозу.
Какие данные были проданы?
- Имя, адрес, телефон и электронная почта.
- Последние 4 цифры номера соцстрахования.
- Замаскированные номера банковских счетов.
- Фотографии паспорта или прав.
- Данные о балансе жертв и переводах.
Что в результате? Были задеты лишь около 1% пользователей биржи, инсайдеры уволены. Об уголовных делах против них — ни слова. А жаль.
Выводы? Человек был, есть и будет оставляться важной и уязвимой составляющей большинства систем.
Криптовалютная биржа отчиталась об успешном проведении расследования, в результате которого была вскрыта группа инсайдеров. Инсайд, как правило, встречается значительно реже внешних злоумышленников. Ведь сотрудника проще обнаружить и гораздо проще привлечь к ответственности. Но тем не менее и в классических финансовых структурах, и в криптовалютных трудится масса низкоквалифицированного и не очень сознательного персонала. Тут использовали именно такую «человеческую уязвимость».
Что же произошло? Злоумышленники получили выгрузки данных об активах и аккаунтах ряда клиентов биржи. И попробовали сначала шантажировать саму биржу их раскрытием, неудачно. А потом использовали эти данные для социальных атак на самих владельцев аккаунтов! Представлялись сотрудниками биржи и пытались получить доступ к активам.
Как они это сделали? Подкупили менеджеров клиентов, причем многих, но из одного региона, славящегося дешевой рабочей силой — индийского.
Ценили ли мошенники своих информаторов? Точно нет, шантаж этими данными самой биржи сразу поставил их под угрозу.
Какие данные были проданы?
- Имя, адрес, телефон и электронная почта.
- Последние 4 цифры номера соцстрахования.
- Замаскированные номера банковских счетов.
- Фотографии паспорта или прав.
- Данные о балансе жертв и переводах.
Что в результате? Были задеты лишь около 1% пользователей биржи, инсайдеры уволены. Об уголовных делах против них — ни слова. А жаль.
Выводы? Человек был, есть и будет оставляться важной и уязвимой составляющей большинства систем.
🔥19🤔9👍5
Forwarded from SPB Founders, те самые
DiveIn: SaaS — практики, которые работают
📍 21 мая в Москве увидим, какие SaaS-продукты сейчас реально запускаются, растут и выходят на рынок.
🎙 В числе спикеров — основатель Wormsoft, разрабатывающей IT-решения для бизнеса; руководитель цифровой лаборатории АЛРОСА-ИТ, занимающейся автоматизацией процессов и внедрением информационных систем; инвестиционный менеджер частной венчурной компании Kama Flow.
Они поделятся взглядом на рынок, опытом цифровизации и инвестиционными подходами. Но главный акцент — на SaaS-продуктах.
Питчи представят:
✔️ Flip — интерактивная онлайн-доска для совместной работы: визуализация процессов, планирование, командные сессии
✔️ Seller GPT — нейросеть, которая автоматизирует продажи в мессенджерах и почте
✔️ 4security — облачный сервис, защищающий IT-инфраструктуру от киберугроз без найма профильной команды
✔️ Coverse.one — единое рабочее пространство для документов, файлов, заметок и совместной работы
✅ Участие бесплатное, по регистрации.
Наш формат — для тех, кто:🕖 следит за развитием IT-продуктов и экосистемы🕖 ищет команды, решения или партнёрства🕖 запускает или масштабирует собственный SaaS
Они поделятся взглядом на рынок, опытом цифровизации и инвестиционными подходами. Но главный акцент — на SaaS-продуктах.
Питчи представят:
🗓 21 мая, 18:30📍 Москва, Тверская, 4
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥9❤2
This media is not supported in your browser
VIEW IN TELEGRAM
Завтра стартует PHDays и наш SEQuest!
Уже завтра стартует наш конкурс по социальной инженерии на PHDays.
Мы будем ждать вас в зоне конкурсов павильона «Киберхаб» на стойке нашего конкурса.
Приходите, регистрируйтесь и участвуйте!
За каждое задание будут начисляться баллы PosiToken, которые можно обменять на мерч, а за первые 3 места от нас будет приз — худи социального инженера.
В прошлом году мы уже подводили итог нашего первого конкурса, но истинные его последствия видны лишь теперь. Ведь в этом году, чтобы получить бейдж участника, обязательно требуют паспорт, а получить бейдж на другого человека можно исключительно по доверенности!
Например, жена моего друга не смогла получить бейдж и на него, штамп в паспорте не засчитали)
Фестиваль однозначно стал безопаснее, но мы и в этот раз проверим его безопасность на прочность с помощью социальной инженерии!
Уже завтра стартует наш конкурс по социальной инженерии на PHDays.
Мы будем ждать вас в зоне конкурсов павильона «Киберхаб» на стойке нашего конкурса.
Приходите, регистрируйтесь и участвуйте!
За каждое задание будут начисляться баллы PosiToken, которые можно обменять на мерч, а за первые 3 места от нас будет приз — худи социального инженера.
В прошлом году мы уже подводили итог нашего первого конкурса, но истинные его последствия видны лишь теперь. Ведь в этом году, чтобы получить бейдж участника, обязательно требуют паспорт, а получить бейдж на другого человека можно исключительно по доверенности!
Например, жена моего друга не смогла получить бейдж и на него, штамп в паспорте не засчитали)
Фестиваль однозначно стал безопаснее, но мы и в этот раз проверим его безопасность на прочность с помощью социальной инженерии!
🔥15👍5❤1
Сегодня завершается PHDays, и соответственно наш конкурс по социальной инженерии SEQuest!
Кто еще не доехал до нас, приходите! Задания еще активны, а мы еще на стенде до 18 часов.
Пока выводы делать рано, но участников нашего конкурса много, очень много)
Кто еще не доехал до нас, приходите! Задания еще активны, а мы еще на стенде до 18 часов.
Пока выводы делать рано, но участников нашего конкурса много, очень много)
🔥14👍4❤3
Кибериспытание: багбаунти 2.0 или что-то большее?
Вышло видео с нашей пленарной сессии на PHDays!
Обсуждали опыт Кибериспытаний с разных сторон, немного спорили о багбаунти, но вышло в целом интересно!
Смотреть на:
VK Видео
YouTube
Вышло видео с нашей пленарной сессии на PHDays!
Обсуждали опыт Кибериспытаний с разных сторон, немного спорили о багбаунти, но вышло в целом интересно!
Смотреть на:
VK Видео
YouTube
VK Видео
"Кибериспытание: багбаунти 2.0 или что-то большее? "
Мы провели «Кибериспытание-экспресс»: 100 компаний на 3 месяца стали целью для этичных хакеров. Во время дискуссии расскажем, что представляет из себя это кибериспытание с точки зрения исследователя и как участвовать в нем максимально эффективно: что отличает…
👍11🔥7❤4🤔2