«Опасная» уязвимость Telegram Widget
Из-за массового репоста хайповых заголовков у многих сложилось впечатление, что нашли опасный баг, позволяющий угнать любой аккаунт ТГ через открытие какой-то ссылки.
Кратко: это не так, переживать не стоит.
Более подробно: этот баг может дать преимущества атакующему только в случае, если устройство находится у него (атакующего) в руках и разблокировано. Но, кажется, это уже и так само по себе дает такой набор возможностей атакующему, что и говорить нечего.
Для технарей: этот баг не увеличивает поверхность атаки без наличия каких-либо уязвимостей на ресурсе веб-версии «Телеграма».
Коллегам по каналам про кибербез рекомендую читать дальше первого абзаца после заголовка, писать в рамках своих компетенций и не рерайтить то, в чем не разобрались. Пугаете не технарей на пустом месте!
Из-за массового репоста хайповых заголовков у многих сложилось впечатление, что нашли опасный баг, позволяющий угнать любой аккаунт ТГ через открытие какой-то ссылки.
Кратко: это не так, переживать не стоит.
Более подробно: этот баг может дать преимущества атакующему только в случае, если устройство находится у него (атакующего) в руках и разблокировано. Но, кажется, это уже и так само по себе дает такой набор возможностей атакующему, что и говорить нечего.
Для технарей: этот баг не увеличивает поверхность атаки без наличия каких-либо уязвимостей на ресурсе веб-версии «Телеграма».
Коллегам по каналам про кибербез рекомендую читать дальше первого абзаца после заголовка, писать в рамках своих компетенций и не рерайтить то, в чем не разобрались. Пугаете не технарей на пустом месте!
🔥29👍14😁5
This media is not supported in your browser
VIEW IN TELEGRAM
SEQuest — и снова социальный redteam фестиваля PHDays!
В этом году мы снова проведем наш конкурс по социальной инженерии на PHDays. Как и в прошлом году, участникам конкурса нужно будет примерить на себя роль Кевина Митника и проверить защиту фестиваля на прочность без использования каких-либо технических средств. Но в этом году SEQuest будет отличаться от предыдущего, ведь мы учли опыт прошлого года и постарались сделать конкурс еще более веселым, масштабным и более управляемым)
В чем же отличия?
- Заданий гораздо больше — 12. Только несколько из них с прошлого года, основная масса — новые!
- Упор на скрытность, если в этом году вас заметит охрана и зарепортит нам, участие в конкурсе приостанавливается на этот игровой день.
- Конкурс 18+.
- Будет задание на телефонный фишинг.
- Будет карта «красных зон» фестиваля, заходить куда строжайше запрещено, ведь они и не нужны для выполнения заданий. Это упростит участникам поиск нужных мест.
- Будет босс-задание, поверьте, оно будет для настоящих профи)
Покупайте билет на фестиваль, приходите в зону конкурсов и принимайте участие в SEQuest!
Более подробную информацию о заданиях, правилах и наградах напишем в следующем анонсе нашего конкурса.
В этом году мы снова проведем наш конкурс по социальной инженерии на PHDays. Как и в прошлом году, участникам конкурса нужно будет примерить на себя роль Кевина Митника и проверить защиту фестиваля на прочность без использования каких-либо технических средств. Но в этом году SEQuest будет отличаться от предыдущего, ведь мы учли опыт прошлого года и постарались сделать конкурс еще более веселым, масштабным и более управляемым)
В чем же отличия?
- Заданий гораздо больше — 12. Только несколько из них с прошлого года, основная масса — новые!
- Упор на скрытность, если в этом году вас заметит охрана и зарепортит нам, участие в конкурсе приостанавливается на этот игровой день.
- Конкурс 18+.
- Будет задание на телефонный фишинг.
- Будет карта «красных зон» фестиваля, заходить куда строжайше запрещено, ведь они и не нужны для выполнения заданий. Это упростит участникам поиск нужных мест.
- Будет босс-задание, поверьте, оно будет для настоящих профи)
Покупайте билет на фестиваль, приходите в зону конкурсов и принимайте участие в SEQuest!
Более подробную информацию о заданиях, правилах и наградах напишем в следующем анонсе нашего конкурса.
👍13🔥9❤2
Без паролей безопаснее
Пароли — атавизм кибербеза, придуманные когда-то от необходимости хоть как-то аутентифицировать пользователя, они стали стандартом безопасности. О том, почему это проблема, мы подробно писали тут.
И вот Microsoft сделали вход без пароля стандартом для новых учётных записей! Они предлагают только альтернативные методы аутентификации, более устойчивые к фишингу.
Пользователи могут войти с помощью одноразовых кодов, биометрии или ключей доступа (FIDO-ключей), а существующие пользователи могут и вовсе удалить пароль в настройках. Теперь это необязательный способ аутентификации.
А какие методы аутентификации предлагаются?
- Одноразовые коды – при входе система автоматически предлагает код вместо пароля. Коды, генерируемые специальными генераторами, наиболее устойчивы.
- Биометрия – распознавание лица или отпечаток пальца.
- FIDO-ключи – криптографическая аутентификация с открытым/закрытым ключом. Про них расскажем чуть подробнее:
— При регистрации устройство генерирует пару ключей.
— Закрытый ключ хранится локально, открытый – у сервиса.
— Вход подтверждается биометрией или PIN-кодом, без передачи чувствительных данных.
Все крупные IT-компании (Google, Apple, Amazon и пр.) также переходят на беспарольные методы. FIDO Alliance работает над улучшением совместимости ключей между платформами. Уже более 15 млрд аккаунтов поддерживают вход через FIDO.
Будущее приближается. Умрет ли фишинг? Классический — да, но он трансформируется в иные атаки на человека.
Пароли — атавизм кибербеза, придуманные когда-то от необходимости хоть как-то аутентифицировать пользователя, они стали стандартом безопасности. О том, почему это проблема, мы подробно писали тут.
И вот Microsoft сделали вход без пароля стандартом для новых учётных записей! Они предлагают только альтернативные методы аутентификации, более устойчивые к фишингу.
Пользователи могут войти с помощью одноразовых кодов, биометрии или ключей доступа (FIDO-ключей), а существующие пользователи могут и вовсе удалить пароль в настройках. Теперь это необязательный способ аутентификации.
А какие методы аутентификации предлагаются?
- Одноразовые коды – при входе система автоматически предлагает код вместо пароля. Коды, генерируемые специальными генераторами, наиболее устойчивы.
- Биометрия – распознавание лица или отпечаток пальца.
- FIDO-ключи – криптографическая аутентификация с открытым/закрытым ключом. Про них расскажем чуть подробнее:
— При регистрации устройство генерирует пару ключей.
— Закрытый ключ хранится локально, открытый – у сервиса.
— Вход подтверждается биометрией или PIN-кодом, без передачи чувствительных данных.
Все крупные IT-компании (Google, Apple, Amazon и пр.) также переходят на беспарольные методы. FIDO Alliance работает над улучшением совместимости ключей между платформами. Уже более 15 млрд аккаунтов поддерживают вход через FIDO.
Будущее приближается. Умрет ли фишинг? Классический — да, но он трансформируется в иные атаки на человека.
🔥25❤9🤔8👍3👎3
Научпоп про криптографию Второй Мировой Войны
5 лет назад я написал две статьи, где попытался максимально просто разобрать не самые известные моменты криптофронта Второй Мировой.
Получилось найти уникальные материалы на немецком языке, которые пару лет назад удивили даже специалиста музея Криптографии в Москве. Публикую их тут в неизменном виде по ссылкам в ВК.
P.S. Это максимально популярные статьи, для специалистов они могут показаться крайне упрощены, но как еще популяризовать такую тему?
Статья 1.
Еще одна статья про взлом Энигмы?! Конечно нет, мы поговорим обо ВСЕХ шифровальных машинах, активно использовавшихся во Второй Мировой Войне, и, конечно же, поговорим о том, как их пытались взломать.
Радиоперехват стал известен с Первой мировой войны, поэтому ко второй мировой все страны-участники подготовились основательно, поэтому и бои на криптофронте были не менее ожесточенными.
Япония, СССР, Великобритания, США и Германия, в этой статье рассмотрим атаку и защиту каждой страны, ответим и на нестандартные вопросы:
- Почему шифровальщики носили с собой взрывчатку?
- Почему в армии США ценили коренных американцев?
- Как сводки погоды, минные поля и нацистские приветствия помогали союзникам?
- Почему СССР даже не пытался взломать шифровальные машины Германии?
- И почему математически идеальный шифр все равно расшифровывали?
Статья 2.
Думаете, что и так знаете про успехи США, Германии и особенно Великобритании в области криптографии?
“Я же смотрел “Игру в имитацию”!” - распространенный комментарий, распространенное заблуждение. Все было не так, как показали в кино. Британцы были не самые умные, Алан Тьюринг не был самым успешным в дешифровальной службе, а США не полагались только на своих союзников. Ну и британский компьютер, который вы видите ниже на картинке, НИКАК не связан с Тьюрингом.
А материал об успехе дешифровальной службы Германии впервые переведен на русский язык для этой статьи. Пришло время срывать покровы, интересно узнать как оно было на самом деле?
5 лет назад я написал две статьи, где попытался максимально просто разобрать не самые известные моменты криптофронта Второй Мировой.
Получилось найти уникальные материалы на немецком языке, которые пару лет назад удивили даже специалиста музея Криптографии в Москве. Публикую их тут в неизменном виде по ссылкам в ВК.
P.S. Это максимально популярные статьи, для специалистов они могут показаться крайне упрощены, но как еще популяризовать такую тему?
Статья 1.
Еще одна статья про взлом Энигмы?! Конечно нет, мы поговорим обо ВСЕХ шифровальных машинах, активно использовавшихся во Второй Мировой Войне, и, конечно же, поговорим о том, как их пытались взломать.
Радиоперехват стал известен с Первой мировой войны, поэтому ко второй мировой все страны-участники подготовились основательно, поэтому и бои на криптофронте были не менее ожесточенными.
Япония, СССР, Великобритания, США и Германия, в этой статье рассмотрим атаку и защиту каждой страны, ответим и на нестандартные вопросы:
- Почему шифровальщики носили с собой взрывчатку?
- Почему в армии США ценили коренных американцев?
- Как сводки погоды, минные поля и нацистские приветствия помогали союзникам?
- Почему СССР даже не пытался взломать шифровальные машины Германии?
- И почему математически идеальный шифр все равно расшифровывали?
Статья 2.
Думаете, что и так знаете про успехи США, Германии и особенно Великобритании в области криптографии?
“Я же смотрел “Игру в имитацию”!” - распространенный комментарий, распространенное заблуждение. Все было не так, как показали в кино. Британцы были не самые умные, Алан Тьюринг не был самым успешным в дешифровальной службе, а США не полагались только на своих союзников. Ну и британский компьютер, который вы видите ниже на картинке, НИКАК не связан с Тьюрингом.
А материал об успехе дешифровальной службы Германии впервые переведен на русский язык для этой статьи. Пришло время срывать покровы, интересно узнать как оно было на самом деле?
VK
Криптофронт Второй Мировой Войны часть 1
Еще одна статья про взлом Энигмы?! Конечно нет, мы поговорим обо ВСЕХ шифровальных машинах, активно использовавшихся во Второй Мировой Во..
❤30🔥21👍13
Выступаю на ИБ-Стендапе
Приходите на мое первое выступление на ИБ-Стендапе! Я расскажу о том как сложно быть хакером, и почему дело тут совсем не в технике)
Все мои шутки основаны на реальных событиях из жизни пентестера, но совпадения совершенно случайны!
Баги, репорты, атаки... Работа в ИБ — это стресс. А какой лучший способ расслабиться? Хорошо посмеяться, пока ваш лажовый сотрудник не открыл подозрительную ссылку.
ИБ-стендап — вечер, где «не комики», а крутые спецы из ИБ и кибербеза в шутку расскажут, что у них «накипело», а вы посмеетесь, типа это не про вас, ага. Полтора часа погружения в атмосферу стёба от серьёзных безопасников.
Не откладывайте в бэклог и присоединяйтесь к нам!
Когда: 20 мая в 19.00
Где: Кибердом
Промокод на скидку 10%: B10
Приходите, буду рад вашей поддержке!
Приходите на мое первое выступление на ИБ-Стендапе! Я расскажу о том как сложно быть хакером, и почему дело тут совсем не в технике)
Все мои шутки основаны на реальных событиях из жизни пентестера, но совпадения совершенно случайны!
Баги, репорты, атаки... Работа в ИБ — это стресс. А какой лучший способ расслабиться? Хорошо посмеяться, пока ваш лажовый сотрудник не открыл подозрительную ссылку.
ИБ-стендап — вечер, где «не комики», а крутые спецы из ИБ и кибербеза в шутку расскажут, что у них «накипело», а вы посмеетесь, типа это не про вас, ага. Полтора часа погружения в атмосферу стёба от серьёзных безопасников.
Не откладывайте в бэклог и присоединяйтесь к нам!
Когда: 20 мая в 19.00
Где: Кибердом
Промокод на скидку 10%: B10
Приходите, буду рад вашей поддержке!
👍20😁7🔥6
Атаки на топ-менеджеров бывают разными
Топ-менеджеры всегда были и остаются приоритетной целью для целевых атак. Об этом мы уже писали на Хабре.
Но иногда атаки на руководителей, особенно в криптоиндустрии, выходят за рамки информационной безопасности. В ноябре прошлого года в Лас-Вегасе жертвой целевого похищения стал криптоинвестор!
Кто похитил его? Трое подростков! Модель злоумышленника — «школьник», но на этот раз с пистолетом.
Как это произошло? Жертва припарковала машину, её поймали на парковке, усадили на заднее сиденье её же авто и отвезли в пустыню.
Что они хотели? Доступ к криптовалютным счетам, и им это удалось. Подростки завладели активами на сумму около 4 миллионов долларов. Злоумышленники знали, кто их цель, и искали именно её.
Что в итоге? Жертву бросили в пустыне без средств связи, в 10 км от ближайшей заправки. Там она и сообщила об ограблении. Полиция задержала двух подростков, третий покинул страну. О судьбе похищенных средств информации пока нет.
Безопасность топ-менеджеров требует комплексного подхода. Даже если не учитывать грубую силу и шантаж, при целевых атаках могут использоваться различные методы. Например, введение в заблуждение членов семей жертвы.
Обо всех сценариях атак, кроме откровенно силовых, мы рассказываем на нашем курсе по собственной кибербезопасности для топ-менеджеров. Летом стартует второй офлайн-поток в Москве, и, возможно, будет запущен первый онлайн-поток.
Если вам интересно обучение самозащите вне контура компании, свяжитесь с нами по указанным контактам! Особые технические навыки для освоения курса не требуются, он подойдет всем.
Топ-менеджеры всегда были и остаются приоритетной целью для целевых атак. Об этом мы уже писали на Хабре.
Но иногда атаки на руководителей, особенно в криптоиндустрии, выходят за рамки информационной безопасности. В ноябре прошлого года в Лас-Вегасе жертвой целевого похищения стал криптоинвестор!
Кто похитил его? Трое подростков! Модель злоумышленника — «школьник», но на этот раз с пистолетом.
Как это произошло? Жертва припарковала машину, её поймали на парковке, усадили на заднее сиденье её же авто и отвезли в пустыню.
Что они хотели? Доступ к криптовалютным счетам, и им это удалось. Подростки завладели активами на сумму около 4 миллионов долларов. Злоумышленники знали, кто их цель, и искали именно её.
Что в итоге? Жертву бросили в пустыне без средств связи, в 10 км от ближайшей заправки. Там она и сообщила об ограблении. Полиция задержала двух подростков, третий покинул страну. О судьбе похищенных средств информации пока нет.
Безопасность топ-менеджеров требует комплексного подхода. Даже если не учитывать грубую силу и шантаж, при целевых атаках могут использоваться различные методы. Например, введение в заблуждение членов семей жертвы.
Обо всех сценариях атак, кроме откровенно силовых, мы рассказываем на нашем курсе по собственной кибербезопасности для топ-менеджеров. Летом стартует второй офлайн-поток в Москве, и, возможно, будет запущен первый онлайн-поток.
Если вам интересно обучение самозащите вне контура компании, свяжитесь с нами по указанным контактам! Особые технические навыки для освоения курса не требуются, он подойдет всем.
Хабр
Чем выше ТОП, тем короче пароль: как защититься от угроз?
Компании стремятся обеспечить свою безопасность. Они следят за периметром, фильтруют почту и сообщения, контролируют рабочие станции. Для этого используются разнообразные инструменты для...
🔥18🤯7🤔6
Инсайдеры в Coinbase
Криптовалютная биржа отчиталась об успешном проведении расследования, в результате которого была вскрыта группа инсайдеров. Инсайд, как правило, встречается значительно реже внешних злоумышленников. Ведь сотрудника проще обнаружить и гораздо проще привлечь к ответственности. Но тем не менее и в классических финансовых структурах, и в криптовалютных трудится масса низкоквалифицированного и не очень сознательного персонала. Тут использовали именно такую «человеческую уязвимость».
Что же произошло? Злоумышленники получили выгрузки данных об активах и аккаунтах ряда клиентов биржи. И попробовали сначала шантажировать саму биржу их раскрытием, неудачно. А потом использовали эти данные для социальных атак на самих владельцев аккаунтов! Представлялись сотрудниками биржи и пытались получить доступ к активам.
Как они это сделали? Подкупили менеджеров клиентов, причем многих, но из одного региона, славящегося дешевой рабочей силой — индийского.
Ценили ли мошенники своих информаторов? Точно нет, шантаж этими данными самой биржи сразу поставил их под угрозу.
Какие данные были проданы?
- Имя, адрес, телефон и электронная почта.
- Последние 4 цифры номера соцстрахования.
- Замаскированные номера банковских счетов.
- Фотографии паспорта или прав.
- Данные о балансе жертв и переводах.
Что в результате? Были задеты лишь около 1% пользователей биржи, инсайдеры уволены. Об уголовных делах против них — ни слова. А жаль.
Выводы? Человек был, есть и будет оставляться важной и уязвимой составляющей большинства систем.
Криптовалютная биржа отчиталась об успешном проведении расследования, в результате которого была вскрыта группа инсайдеров. Инсайд, как правило, встречается значительно реже внешних злоумышленников. Ведь сотрудника проще обнаружить и гораздо проще привлечь к ответственности. Но тем не менее и в классических финансовых структурах, и в криптовалютных трудится масса низкоквалифицированного и не очень сознательного персонала. Тут использовали именно такую «человеческую уязвимость».
Что же произошло? Злоумышленники получили выгрузки данных об активах и аккаунтах ряда клиентов биржи. И попробовали сначала шантажировать саму биржу их раскрытием, неудачно. А потом использовали эти данные для социальных атак на самих владельцев аккаунтов! Представлялись сотрудниками биржи и пытались получить доступ к активам.
Как они это сделали? Подкупили менеджеров клиентов, причем многих, но из одного региона, славящегося дешевой рабочей силой — индийского.
Ценили ли мошенники своих информаторов? Точно нет, шантаж этими данными самой биржи сразу поставил их под угрозу.
Какие данные были проданы?
- Имя, адрес, телефон и электронная почта.
- Последние 4 цифры номера соцстрахования.
- Замаскированные номера банковских счетов.
- Фотографии паспорта или прав.
- Данные о балансе жертв и переводах.
Что в результате? Были задеты лишь около 1% пользователей биржи, инсайдеры уволены. Об уголовных делах против них — ни слова. А жаль.
Выводы? Человек был, есть и будет оставляться важной и уязвимой составляющей большинства систем.
🔥19🤔9👍5
Forwarded from SPB Founders, те самые
DiveIn: SaaS — практики, которые работают
📍 21 мая в Москве увидим, какие SaaS-продукты сейчас реально запускаются, растут и выходят на рынок.
🎙 В числе спикеров — основатель Wormsoft, разрабатывающей IT-решения для бизнеса; руководитель цифровой лаборатории АЛРОСА-ИТ, занимающейся автоматизацией процессов и внедрением информационных систем; инвестиционный менеджер частной венчурной компании Kama Flow.
Они поделятся взглядом на рынок, опытом цифровизации и инвестиционными подходами. Но главный акцент — на SaaS-продуктах.
Питчи представят:
✔️ Flip — интерактивная онлайн-доска для совместной работы: визуализация процессов, планирование, командные сессии
✔️ Seller GPT — нейросеть, которая автоматизирует продажи в мессенджерах и почте
✔️ 4security — облачный сервис, защищающий IT-инфраструктуру от киберугроз без найма профильной команды
✔️ Coverse.one — единое рабочее пространство для документов, файлов, заметок и совместной работы
✅ Участие бесплатное, по регистрации.
Наш формат — для тех, кто:🕖 следит за развитием IT-продуктов и экосистемы🕖 ищет команды, решения или партнёрства🕖 запускает или масштабирует собственный SaaS
Они поделятся взглядом на рынок, опытом цифровизации и инвестиционными подходами. Но главный акцент — на SaaS-продуктах.
Питчи представят:
🗓 21 мая, 18:30📍 Москва, Тверская, 4
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥9❤2
This media is not supported in your browser
VIEW IN TELEGRAM
Завтра стартует PHDays и наш SEQuest!
Уже завтра стартует наш конкурс по социальной инженерии на PHDays.
Мы будем ждать вас в зоне конкурсов павильона «Киберхаб» на стойке нашего конкурса.
Приходите, регистрируйтесь и участвуйте!
За каждое задание будут начисляться баллы PosiToken, которые можно обменять на мерч, а за первые 3 места от нас будет приз — худи социального инженера.
В прошлом году мы уже подводили итог нашего первого конкурса, но истинные его последствия видны лишь теперь. Ведь в этом году, чтобы получить бейдж участника, обязательно требуют паспорт, а получить бейдж на другого человека можно исключительно по доверенности!
Например, жена моего друга не смогла получить бейдж и на него, штамп в паспорте не засчитали)
Фестиваль однозначно стал безопаснее, но мы и в этот раз проверим его безопасность на прочность с помощью социальной инженерии!
Уже завтра стартует наш конкурс по социальной инженерии на PHDays.
Мы будем ждать вас в зоне конкурсов павильона «Киберхаб» на стойке нашего конкурса.
Приходите, регистрируйтесь и участвуйте!
За каждое задание будут начисляться баллы PosiToken, которые можно обменять на мерч, а за первые 3 места от нас будет приз — худи социального инженера.
В прошлом году мы уже подводили итог нашего первого конкурса, но истинные его последствия видны лишь теперь. Ведь в этом году, чтобы получить бейдж участника, обязательно требуют паспорт, а получить бейдж на другого человека можно исключительно по доверенности!
Например, жена моего друга не смогла получить бейдж и на него, штамп в паспорте не засчитали)
Фестиваль однозначно стал безопаснее, но мы и в этот раз проверим его безопасность на прочность с помощью социальной инженерии!
🔥15👍5❤1
Сегодня завершается PHDays, и соответственно наш конкурс по социальной инженерии SEQuest!
Кто еще не доехал до нас, приходите! Задания еще активны, а мы еще на стенде до 18 часов.
Пока выводы делать рано, но участников нашего конкурса много, очень много)
Кто еще не доехал до нас, приходите! Задания еще активны, а мы еще на стенде до 18 часов.
Пока выводы делать рано, но участников нашего конкурса много, очень много)
🔥14👍4❤3
Кибериспытание: багбаунти 2.0 или что-то большее?
Вышло видео с нашей пленарной сессии на PHDays!
Обсуждали опыт Кибериспытаний с разных сторон, немного спорили о багбаунти, но вышло в целом интересно!
Смотреть на:
VK Видео
YouTube
Вышло видео с нашей пленарной сессии на PHDays!
Обсуждали опыт Кибериспытаний с разных сторон, немного спорили о багбаунти, но вышло в целом интересно!
Смотреть на:
VK Видео
YouTube
VK Видео
"Кибериспытание: багбаунти 2.0 или что-то большее? "
Мы провели «Кибериспытание-экспресс»: 100 компаний на 3 месяца стали целью для этичных хакеров. Во время дискуссии расскажем, что представляет из себя это кибериспытание с точки зрения исследователя и как участвовать в нем максимально эффективно: что отличает…
👍11🔥7❤4🤔2
Партнерство с ITSumma
Мы еще в начале года писали, что именно эффективные партнерства становятся для нас главной целью в 2025 году и основой стратегии продаж.
Одно из ключевых направлений — IT-интеграторы и MSSP. Мы рады сообщить о подписании партнерского соглашения с ITSumma — прекрасной компанией, услугами которой мы пользуемся сами. Если что — да, именно они 4sec помогают нам делать.
В общем, рекомендуем!
Мы еще в начале года писали, что именно эффективные партнерства становятся для нас главной целью в 2025 году и основой стратегии продаж.
Одно из ключевых направлений — IT-интеграторы и MSSP. Мы рады сообщить о подписании партнерского соглашения с ITSumma — прекрасной компанией, услугами которой мы пользуемся сами. Если что — да, именно они 4sec помогают нам делать.
В общем, рекомендуем!
Telegram
ITSumma
🦏☁️🍇😳🦝 🏴☠️🍍🤟🌫🦏🦝🤟😳
#Партнеры@itsumma
Ещё больше внимания к безопасности: партнёрство с 3side
🔐 Заключили партнёрство с компанией 3side — экспертами в области информационной безопасности. Благодаря этому сотрудничеству, теперь мы можем предложить нашим…
#Партнеры@itsumma
Ещё больше внимания к безопасности: партнёрство с 3side
🔐 Заключили партнёрство с компанией 3side — экспертами в области информационной безопасности. Благодаря этому сотрудничеству, теперь мы можем предложить нашим…
🔥12❤4
ИИ в кибербезе — рынок и правда вырастет в 10 раз за 10 лет?
Мы тут периодически читаем разное про американский венчурный ИБ-рынок. В первую очередь потому, что на наш взгляд если кто и "предугадает" будущее, то это он — с их Секвойями и Y комбинаторами, опыт поиска от отбора единорогов там самый большой в мире. Так вот, мы тут наткнулись на один февральский прогноз, где предсказывается рост рынка кибербеза на основе ИИ в 10+ раз. То есть CAGR они оценивают в 24,1% — это ОЧЕНЬ много.
Для понимания, это на уровне самых перспективных направлений — от ИИ в разработке лекарств (CAGR под 29.6%) до нанофибры (26%) и генетической терапии (26,4%). Ну и примеров огромных вложений вагон — вот пару дней назад вышла новость что американский стартап-автопентестер horizon3 поднял раунд в $100 млн, с оценкой (видимо post-money для тех, кто понимает) $750 млн. Чисто для сравнения, капитализация Positive Technologies сейчас около миллиарда долларов. В конце мая Pixee (AI для Appsec) подняли $15 млн. Цифры для российской индустрии астрономические, но для США в целом норм, да и у Китая инвестиции в кибербез более чем сопоставимые.
Что будет в итоге? Тут вопрос интересный. Мы не уверены, что полноценную замену человеку в ИБ вообще можно создать. Особенно в атакующем ИБ, где работа творческая и достаточно слабо детерминированная. Сделать помощника — да, безусловно, эра co-pilots у нас в самом разгаре. Сделать ИИ-агентов? Да, вполне реально. Но сделать что-то большее ... не знаем. На наш взгляд, автоматизировать можно 60-70% работы. Но "последний километр" все равно должен проходить человек.
Тут очень показательная история xbow.com (кстати, поднявших год назад раунд на $15 млн у той самой Секвойи) — получить результат они пока так и не смогли при очень хороших бенчмарках.
А вот с ИИ агентами история действительно другая, и на наш взгляд именно они в итоге станут самым перспективным направлением в ИИ-ИБ. Нам будет что рассказать про применение ИИ в 4sec (он там есть и вполне хорошо работает), но это будет отдельный большой пост.
Мы тут периодически читаем разное про американский венчурный ИБ-рынок. В первую очередь потому, что на наш взгляд если кто и "предугадает" будущее, то это он — с их Секвойями и Y комбинаторами, опыт поиска от отбора единорогов там самый большой в мире. Так вот, мы тут наткнулись на один февральский прогноз, где предсказывается рост рынка кибербеза на основе ИИ в 10+ раз. То есть CAGR они оценивают в 24,1% — это ОЧЕНЬ много.
Для понимания, это на уровне самых перспективных направлений — от ИИ в разработке лекарств (CAGR под 29.6%) до нанофибры (26%) и генетической терапии (26,4%). Ну и примеров огромных вложений вагон — вот пару дней назад вышла новость что американский стартап-автопентестер horizon3 поднял раунд в $100 млн, с оценкой (видимо post-money для тех, кто понимает) $750 млн. Чисто для сравнения, капитализация Positive Technologies сейчас около миллиарда долларов. В конце мая Pixee (AI для Appsec) подняли $15 млн. Цифры для российской индустрии астрономические, но для США в целом норм, да и у Китая инвестиции в кибербез более чем сопоставимые.
Что будет в итоге? Тут вопрос интересный. Мы не уверены, что полноценную замену человеку в ИБ вообще можно создать. Особенно в атакующем ИБ, где работа творческая и достаточно слабо детерминированная. Сделать помощника — да, безусловно, эра co-pilots у нас в самом разгаре. Сделать ИИ-агентов? Да, вполне реально. Но сделать что-то большее ... не знаем. На наш взгляд, автоматизировать можно 60-70% работы. Но "последний километр" все равно должен проходить человек.
Тут очень показательная история xbow.com (кстати, поднявших год назад раунд на $15 млн у той самой Секвойи) — получить результат они пока так и не смогли при очень хороших бенчмарках.
А вот с ИИ агентами история действительно другая, и на наш взгляд именно они в итоге станут самым перспективным направлением в ИИ-ИБ. Нам будет что рассказать про применение ИИ в 4sec (он там есть и вполне хорошо работает), но это будет отдельный большой пост.
🔥12👍9❤2
Forwarded from Ever Secure (Aleksey Fedulaev)
Созвон сообщества в Zoom 10.06 в 19:00
Гость выпуска: Антон Бочкарев (3side, 4Security)
Тема: Полиграф 😱
Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный спросить обо всем, что вы хотели!
На созвоне узнаем:
- Как работает полиграф?
- Что обычно спрашивает полиграфолог?
- Как определить, перед вами профессионал или человек с игрушкой в руках?
- Можно ли обойти полиграф?
- Можно ли детектировать ложь без полигрфафа?
- Почему компании используют полиграф?
- Если полиграф не субъективщина, почему он не используется в суде?
- Что важнее: сам полиграф или то, что перед ним?
- Когда стоит использовать полиграф, а когда нет?
+ Ответы на вопросы зрителей!
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
👀 @ever_secure | 💪 Мерч
Гость выпуска: Антон Бочкарев (3side, 4Security)
Тема: Полиграф 😱
Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный спросить обо всем, что вы хотели!
На созвоне узнаем:
- Как работает полиграф?
- Что обычно спрашивает полиграфолог?
- Как определить, перед вами профессионал или человек с игрушкой в руках?
- Можно ли обойти полиграф?
- Можно ли детектировать ложь без полигрфафа?
- Почему компании используют полиграф?
- Если полиграф не субъективщина, почему он не используется в суде?
- Что важнее: сам полиграф или то, что перед ним?
- Когда стоит использовать полиграф, а когда нет?
+ Ответы на вопросы зрителей!
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍10❤2👎1
Ever Secure
Созвон сообщества в Zoom 10.06 в 19:00 Гость выпуска: Антон Бочкарев (3side, 4Security) Тема: Полиграф 😱 Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный спросить обо всем, что вы хотели! На созвоне…
Кто не знал, я учился на эту тему и даже получил повышение квалификации!
Это было в рамках глубокого увлечения социальной инженерией, само собой)
Это было в рамках глубокого увлечения социальной инженерией, само собой)
❤17👍9🔥5👨💻1
Forwarded from RPPA PRO: Privacy • AI • Cybersecurity • IP
Миссия Антона — не навредить, а предупредить. Его лекции — это безопасность без воды, только реальные кейсы и рабочие методы.
Cybersecurity in Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM
7🔥13❤8👍5
Шантаж регулятором в деле - украинские хакеры начинают шантажировать бизнес штрафами Роскомнадзора
На прошлой неделе вступили в силу обновлённые штрафы за нарушения в сфере персональных данных. Теперь за утечки можно влететь на миллионы рублей — теоретически. На практике никто пока вообще не представляет, как все это будет работать.
И тут начинается самое интересное. Украинские (и, видимо, не только) преступные группировки начинают публиковать (видимо) сэмплы уже утекших баз под видом новых. С совершенно понятным посылом к ... Роскомнадзору. "Штрафуйте их, они потеряли данные".
И вот кажется, что постепенное введение оборотных штрафов может привести к тому, что законодательный инструмент превращается в элемент шантажа, где на кону не только данные, но и репутация, и финансы.
Дословная цитата из тг-канала одной из украинских группировок (ссылку приводить не будем):
... Нужно привыкать к новым реалиям юридической "опасности" в [России], а потому напоминаем [вам]: если вы не хотите получить [по голове] от ФСБ и регуляторов, то заплатите [нам] 50-60% от суммы штрафа. Мы найдем, куда эти деньги использовать, а вы избавитесь от проблем, которые мы вместе с вашими [правоохранительными органами] можем вам создать.
Обратите внимание, что тут стоимость выкупа конкретно так привязана к величине штрафа: ну а что, такой вот прайсинг в деле. Причем на объем публикуемых утекших данных (а значит на оценку величины штрафа) злоумышленники тоже могут влиять. Кстати, выплата злоумышленникам не даст вообще никаких гарантий — это и шифровальщика тоже касается.
В общем, вот такие удивительные истории. Почему-то кажется, что с появлением судебной практики по оборотным штрафам количество таких историй будет только расти.
На прошлой неделе вступили в силу обновлённые штрафы за нарушения в сфере персональных данных. Теперь за утечки можно влететь на миллионы рублей — теоретически. На практике никто пока вообще не представляет, как все это будет работать.
И тут начинается самое интересное. Украинские (и, видимо, не только) преступные группировки начинают публиковать (видимо) сэмплы уже утекших баз под видом новых. С совершенно понятным посылом к ... Роскомнадзору. "Штрафуйте их, они потеряли данные".
И вот кажется, что постепенное введение оборотных штрафов может привести к тому, что законодательный инструмент превращается в элемент шантажа, где на кону не только данные, но и репутация, и финансы.
Дословная цитата из тг-канала одной из украинских группировок (ссылку приводить не будем):
... Нужно привыкать к новым реалиям юридической "опасности" в [России], а потому напоминаем [вам]: если вы не хотите получить [по голове] от ФСБ и регуляторов, то заплатите [нам] 50-60% от суммы штрафа. Мы найдем, куда эти деньги использовать, а вы избавитесь от проблем, которые мы вместе с вашими [правоохранительными органами] можем вам создать.
Обратите внимание, что тут стоимость выкупа конкретно так привязана к величине штрафа: ну а что, такой вот прайсинг в деле. Причем на объем публикуемых утекших данных (а значит на оценку величины штрафа) злоумышленники тоже могут влиять. Кстати, выплата злоумышленникам не даст вообще никаких гарантий — это и шифровальщика тоже касается.
В общем, вот такие удивительные истории. Почему-то кажется, что с появлением судебной практики по оборотным штрафам количество таких историй будет только расти.
🤯22❤6🗿6🤬4🔥2👏1🤔1
Forwarded from Ever Secure (Aleksey Fedulaev)
Продолжая тему про книгу, и отвечая на множество вопросов о том, что будет дальше и когда ее уже можно наконец-то получить, у нас для вас вторая супер новость!
20 июня мы организуем Ever Secure Meetup — живой вечер безопасности.
Пройдет он в Москве, в музее криптографии, который любезно согласился помочь нам с площадкой.
При поддержке @ArtemiyUeax и сообщества Слономойка!
🕔 Сбор гостей — с 17:00
🕡 Старт докладов — в 18:00
🕖 Нетворкинг — с 19:00
В программе:
– Вступительное слово
– Доклад "История появления книги" George K
– Доклад "Почему безопасность не опция" от меня
А еще:
– 📚 Выдача предзаказанных экземпляров книги «НХБ»
– ✍️ Автограф-сессия
– 🤝 Нетворкинг с единомышленниками
- 🏛 Возможность посетить экскурсию по музею и окунуться в удивительный мир криптографии (билет на экскурсию приобретается отдельно)
📍 Место встречи — https://cryptography-museum.ru.
Вход для участников митапа будет бесплатный, а регистрация скоро будет открыта
P.S. С теми, кто не сможет присутствовать, мы свяжемся по поводу выдачи и доставки заказов
P.P.S. Нам нужно понимать примерное количество гостей, пожалуйста проголосуйте в опросе ниже 👇
👀 @ever_secure | 💪 Мерч
20 июня мы организуем Ever Secure Meetup — живой вечер безопасности.
Пройдет он в Москве, в музее криптографии, который любезно согласился помочь нам с площадкой.
При поддержке @ArtemiyUeax и сообщества Слономойка!
🕔 Сбор гостей — с 17:00
🕡 Старт докладов — в 18:00
🕖 Нетворкинг — с 19:00
В программе:
– Вступительное слово
– Доклад "История появления книги" George K
– Доклад "Почему безопасность не опция" от меня
А еще:
– 📚 Выдача предзаказанных экземпляров книги «НХБ»
– ✍️ Автограф-сессия
– 🤝 Нетворкинг с единомышленниками
- 🏛 Возможность посетить экскурсию по музею и окунуться в удивительный мир криптографии (билет на экскурсию приобретается отдельно)
📍 Место встречи — https://cryptography-museum.ru.
Вход для участников митапа будет бесплатный, а регистрация скоро будет открыта
P.S. С теми, кто не сможет присутствовать, мы свяжемся по поводу выдачи и доставки заказов
P.P.S. Нам нужно понимать примерное количество гостей, пожалуйста проголосуйте в опросе ниже 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤6🔥3😁3
«Ваше лицо скомпрометировано!»
В одном из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
В одном из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
2😁84🔥12