👩‍💻 Как преступники маскируют URL

Хорошая и очень простая статья, на тему того, каким именно образом мы переходим по вредоносным ссылкам, не понимая, что они вредоносные.

➡️ Читать: https://www.kaspersky.ru/blog/malicious-redirect-methods/36701/

Понимание способов маскировки полезно, как для защиты и awareness, так и для "наступательных" действий того же red team, к примеру. Как говорится, не одними сервисами сокращения ссылок едины.

#asc_статья #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

😂 Разные подходы в ИБ

Забавное наблюдение. Недавно перелистывал книгу Джо Грея - «Социальная инженерия и этичный хакинг на практике». Крайне рекомендую для новичков в OSINT, писал о ней тут. Если хотите на русском, то ее уже легко можно найти в переведенном варианте.

Так вот, при втором прочтении меня очень позабавила глава ближе к концу книги - про управление вниманием СМИ. Контекст в том, что в компании случился какой-то инцидент и говорится про то, что нельзя допустить распространение во вне через сотрудников. Один из советов такой:

💬 «Чтобы контролировать сообщение, передаваемое общественности, запретите общение со СМИ для всех сотрудников, кроме тех, которые указаны в вашем плане реагирования на инциденты. Предоставьте неуполномоченным сотрудникам шаблон ответа для обработки таких запросов. Это может быть такое простое заявление, как «Я не уполномочен обсуждать тему вашего запроса», или перенаправление к официальному сотруднику по связям с общественностью в компании»

У меня не остается ничего, кроме зависти, если корп.культура в иностранных компаниях такая сильная, что достаточно просто сказать сотрудникам: «не говори со СМИ, я тебе запрещаю» 😂
В наших реалиях это выглядит крайне смешным заявлением и не работает от слова совсем. Остается только порадоваться за иностранных коллег.

#asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🫢 Андрей Безруков: что такое разведка?

Уже не первый раз рассказываю вам про Андрея Безрукова. Советский и российский разведчик, полковник Службы внешней разведки в отставке, ныне профессор МГИМО и президент Ассоциации экспорта технологического суверенитета. Образованных людей всегда интересно послушать, особенно с таким богатым опытом.

🖤 Смотреть

🔷Что такое разведка в представлении Андрея Олеговича (особенно, одна из ее разновидностей - «нелегальная»?

🔷Какие личностные качества должны быть свойственны разведчику и есть ли жизнь после профессии?

🔷Немного из истории мировой и советской разведки и многое другое.

Даже при условии того, что мало кто из вас занимается или будет заниматься подобной работой, многие принципы, истории и советы прекрасно подходят для всех, кто занимается OSINT, аналитикой, безопасностью в корпоративном секторе и т.д.

#asc_видео #asc_osint #asc_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🤡 Связь нарциссизма с мотивами бессмертия посредством создания цифровых аватаров

Хоть выборка и очень маленькая, но исследование интересное с точки зрения лучшего понимания нарциссического расстройства и "темной триады" в перспективе.

💬 "Группа израильских ученых, в числе которых Besser A., Morse T., Zeigler-Hill V., провела исследование связи черт нарциссической личности с желанием создавать цифровые аватары для себя и других среди 1041 человек. Результаты, представленные исследователями в International Journal of Environmental Research and Public Health, показали, что черты нарциссической личности связаны с боязнью смерти и желанием символического бессмертия через мотивацию к вечной жизни и поддержке других."

➡️ Первоисточник: https://www.mdpi.com/1660-4601/20/17/6632

➡️ Краткий пересказ на русском: https://psyandneuro.ru/novosti/digital-immortality/

#asc_статья #asc_profiling #asc_обзор_новостей

📱 Канал | 🌐 ВК | 🔷 Сайт

🎬 Немая ярость / Silent Night 18+ (2023)

Жанр: боевик, драма

Описание: Канун Рождества. В ходе уличной разборки случайная пуля лишает счастливую семью маленького сына, а погнавшийся за бандитами отец теряет голос. Выйдя из больницы, мужчина находит новый смысл жизни — усиленные тренировки, чтобы стать страшным соперником в перестрелке, погоне или рукопашной. В годовщину трагедии он намерен разыграть безостановочную симфонию возмездия.

🍿 https://www.kinopoisk.ru/film/4908570/

Далеко не самый шикарный боевик, но все пункты для хорошего середняка по современным меркам есть: тактикульность (естественно, есть куча нереалистичных моментов), холодное оружие, рукопашка и банальный сюжет - месть, которая мотивирует превратиться в машину для убийства. Ну и основная фишка в том, что тут нет диалогов.

Главную роль сыграл Юэль Киннамман. Я с ним познакомился впервые в сериале «Видоизмененный углерод». Уже тогда показалось, что он прекрасно себя найдет в подобном жанре, так и вышло. Короче, кино стоит потраченного времени, но до топа лучших боевиков ему далеко.

#asc_кино

📱 Канал | 🌐 ВК | 🔷 Сайт

🦊 Go offline. Используем социальную инженерию в реальном мире

Са­мая зах­ватыва­ющая и роман­тизиро­ван­ная часть соци­аль­ной инженерии — это, конечно, офлайн‑ата­ки. Фишинг по элек­трон­ной поч­те — инте­рес­ный про­цесс, но в офлай­не пен­тестер по‑нас­тоящему рас­кры­вает­ся как твор­ческая лич­ность. Вот об этой сто­роне искусства соци­аль­ной инже­нерии мы сегод­ня и погово­рим, раз­берем прак­тичес­кие методы работы пен­тесте­ра в офлай­не, а так­же обсудим при­меры успешных атак.

➡️ Читать: https://xakep.ru/2024/01/30/offline-social-engineering/?utm_source=vk.com&utm_medium=referral&utm_campaign=snap

При всем том, что тут есть прости господи "плечевой серфинг", прочесть стоит, потому что в одном месте систематизированы ключевые методы из практической социалки. Важно: речь идет по большей части про получение информации и проникновение на какой-то объект (естественно, только в исследовательских целях). Я после этой статьи узнал, что автор, оказывается, даже книгу по социалке написал. Теперь любопытно почитать.

#asc_статья #asc_hack_and_security #asc_profiling

📱 Канал | 🌐 ВК | 🔷 Сайт

📡 Дайджест последних новостей

В этот раз снова про утечки и ответственность.

1️⃣ Цена безразличия: 510 млн записей ПД — билет в мир без конфиденциальности

💬 «Количество утечек персональных данных россиян продолжает расти. С начала 2024 года в Сеть попало более 510 млн записей, что в полтора раза больше, чем за весь 2023 год. Роскомнадзор бьет тревогу и призывает к ужесточению мер ответственности за подобные нарушения.

В 2023 году РКН насчитал 168 утечек персональных данных, в результате которых в интернете оказалось 300 млн записей. Суды рассмотрели 87 составленных ведомством протоколов и назначили штрафы на общую сумму более 4,6 млн руб. Однако, по мнению экспертов, эти меры не достаточно эффективны для предотвращения нарушений.»

➡️ Источник

Было бы странно, если бы количество утечек уменьшилось. Скорее всего, в ближайшие год-два (как минимум), нам это точно не светит. Ну и РКН говорит только про ужесточение ответственности за утечки, но ни слова про разработку мер по усилению ИБ и просвещению бизнеса в этом смысле. Замкнутый круг.

2️⃣ 10 лет без права: топ-менеджеров банков дисквалифицируют за утечки данных

💬 «В России собираются ввести специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ). Законопроект, подготовленный при участии Банка России, есть в распоряжении «Известий». Сейчас он проходит процедуру межведомственного согласования, уточнили в ЦБ.

Документ предусматривает, в частности, повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны, сообщили в регуляторе. Документ касается не только банков, но также страховых компаний, пенсионных фондов и МФО.»

➡️ Источник

А вот это интересно. С точки зрения понятной мотивации, как минимум. Если топ-менеджмент заинтересован в ИБ, то это будет спускаться по всей вертикали.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🕶 Бахвальства пост

Какое-то время назад коллега упражнялся в написании простенького скрипта, который мог бы собирать инфу по нику. Решили для примера взять мой ник и результат меня слегка ошеломил, потому что я про себя узнал много нового. Оказывается на некоторые мои статьи ссылались в разных научных работах.

Короче, вот небольшой список:

✍️ "Использование социоинженерного подхода в распространении и профилактике радикальных идей" - Чеботарева Светлана Сергеевна, младший научный сотрудник Национального центра информационного противодействия терроризму и экстремизму в образовательной среде и сети Интернет по аналитической работе, г. Ростов-на-Дону

✍️ "Политика противодействия атакам, совершенным с использованием социальной инженерии в корпоративной среде" - Потапова К.А., МИРЭА

✍️ "Искусственный интеллект как средство защиты от атак методами социальной инженерии" - Свищев А.В, Акатьев Я.А, МИРЭА

✍️ "От финансовой грамотности к финансовому благополучию: опыт, проблемы, вызовы. Материалы VI Всероссийской научно-практической конференции для школьников и студентов Том II (Уфа, 26 октября 2019 г.)"

✍️ "Межвузовский сборник научных трудов ЗАДАЧИ СИСТЕМНОГО АНАЛИЗА, УПРАВЛЕНИЯ И ОБРАБОТКИ ИНФОРМАЦИИ, Выпуск 6" - Под редакцией
д. т. н., проф. Е. В. Никульчева, МИРЭА

В большинстве случаев люди упоминали мою старую статью про социалку. Не то, чтобы мне за нее стыдно, но сейчас бы я написал сильно по другому.

#asc_public #asc_статья #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🔗 Еще раз про поиск прослушки

Какое-то время назад я написал довольно подробную статью на тему обеспечения конфиденциальности переговоров. Я там коснулся множества разных вещей и подходов в целом, но вот про мифы и некоторые технические моменты писать не стал.

Недавно попалось хорошее видео на эту же тему:

📹 Смотреть

Там, конечно, присутствует реклама (не без этого), но в целом ребята очень хорошо раскрыли нюансы работы бригады на объекте, с каким оборудованием происходит осмотр, некоторые мифы о сфере и другие интересные вопросы.

Если хотите полнее погрузиться в материал, то рекомендую прочитать статью и посмотреть видео вместе.

#asc_hack_and_security #asc_видео #asc_статья

📱 Канал | 🌐 ВК | 🔷 Сайт

📚 Cyber Defense Doctrine 2.0 - Managing the Risk: Full Hands-on Manual for Organizational Cyber Defense (2021)

Нашел недавно интересный документ про оценку рисков в ИБ по версии израильтян. Хотя документ от 2021 года и многие вещи сейчас уже, возможно, неактуальны, все равно отсюда можно подчерпнуть много чего интересного.

Язык: EN 🇺🇸

Описание: The growing dependence on cyberspace heralds an era of technological innovation and tremendous developments for man and his environment. But alongside these, a space of threats is developing, which affects the organizational functional continuity, the integrity of the manufacturing processes and the confidentiality of organizational information. The Or ganizational Defense Doctrine is a constituent element of the National Cyber Security Strategy, which consists of various layers of Defense for the Israeli economy and its functional continuity. The Organizational Defense Doctrine sees the organization as a whole and enables the raising of the level of organizational resilience through the co ntinuous assimilation of processes, methods and Defense products. The application of the Organizational Defense Doctrine will improve organizational resilience to cyber attacks.

Вот несколько интересных мыслей, которые присутствуют в документе:

🔹 Компании по версии этой доктрины делятся только на две категории (по сумме ущерба): до 1,5 млн и выше. Для каждой категории рассматривается свой риск-менеджмент.

🔹 Метод оценки рисков - классический светофор. Для супер профессионалов в этой теме - такое себе, но для интересующихся темой, чтобы просто быть в контексте по типу меня - самое то.

🔹 Продвигается мысль, что предпринятые меры должны быть сбалансированы по соотношению эффективности защиты и стоимости софта. Меня это слегка удивило, потому что бюджеты на ИБ в Израиле сильно выше, чем у большинства стран в мире.

#asc_книги

📱 Канал | 🌐 ВК | 🔷 Сайт

🎬 ГДР (сериал 2024)

Жанр: шпионский триллер, детектив

Описание: СССР, осень 1989 года. Огромная империя трещит по швам, вот-вот этот ледник прорвет плотину из дипломатии и военных союзов и устремится вниз, сметая все на своем пути. Капитан Нечаев вынужден вернуться в строй после провальной спецоперации. В Москве коллега просит Нечаева проследить за артистами берлинского мьюзик-холла, способными передать зашифрованную информацию американскому журналисту. Это несложное задание дает толчок большой истории, которая начнется в Берлине, ГДР, где схлестнутся разведки всего мира.

🍿 https://www.kinopoisk.ru/series/5129278/

Очень атмосферный и хорошо сделанный шпионский триллер/детектив. Тут особо и комментировать ничего не хочется. Если вам нравится кино про разведку, это точно надо смотреть.

#asc_кино

📱 Канал | 🌐 ВК | 🔷 Сайт