В какой-то момент я поймал себя на мысли, что мне стало мало занятий с преподавателем 1:1, поэтому я решил, что пора двигаться дальше🥸
Сегодня состоялся первый воскресный Speaking Club для подписчиков приватки с Бусти
Вступить можно тут, будем рады новым лицам
Помимо английского по воскресеньям, у нас есть созвоны приватки, а также есть наш чат, в котором мы обсуждаем рабочие моменты (и не только😉)
👀 @ever_secure | 💪 Мерч
Сегодня состоялся первый воскресный Speaking Club для подписчиков приватки с Бусти
Вступить можно тут, будем рады новым лицам
Помимо английского по воскресеньям, у нас есть созвоны приватки, а также есть наш чат, в котором мы обсуждаем рабочие моменты (и не только😉)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤2
ИБ мир тесен 🌍
Сегодня случайно встретил Евгения Валентиновича, не мог пройти мимо и подарил экземпляр книги📕
👀 @ever_secure | 💪 Мерч
Сегодня случайно встретил Евгения Валентиновича, не мог пройти мимо и подарил экземпляр книги📕
Please open Telegram to view this post
VIEW IN TELEGRAM
10🔥43❤29👍8
Созвон сообщества в Zoom 10.06 в 19:00
Гость выпуска: Антон Бочкарев (3side, 4Security)
Тема: Полиграф 😱
Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный шанс спросить обо всем, что вы хотели!
На созвоне узнаем:
- Как работает полиграф?
- Что обычно спрашивает полиграфолог?
- Как определить, перед вами профессионал или человек с игрушкой в руках?
- Можно ли обойти полиграф?
- Можно ли детектировать ложь без полигрфафа?
- Почему компании используют полиграф?
- Если полиграф не субъективщина, почему он не используется в суде?
- Что важнее: сам полиграф или то, что перед ним?
- Когда стоит использовать полиграф, а когда нет?
+ Ответы на вопросы зрителей!
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
👀 @ever_secure | 💪 Мерч
Гость выпуска: Антон Бочкарев (3side, 4Security)
Тема: Полиграф 😱
Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный шанс спросить обо всем, что вы хотели!
На созвоне узнаем:
- Как работает полиграф?
- Что обычно спрашивает полиграфолог?
- Как определить, перед вами профессионал или человек с игрушкой в руках?
- Можно ли обойти полиграф?
- Можно ли детектировать ложь без полигрфафа?
- Почему компании используют полиграф?
- Если полиграф не субъективщина, почему он не используется в суде?
- Что важнее: сам полиграф или то, что перед ним?
- Когда стоит использовать полиграф, а когда нет?
+ Ответы на вопросы зрителей!
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5😐5👀4🔥1
Forwarded from BESSEC
Media is too big
VIEW IN TELEGRAM
Социальная реклама от прокуратуры Московской области о мошенниках, которые «работают» в Нигерии. Хороший пример с годным юмором
😁12❤8🔥6👍5
Ever Secure
Созвон сообщества в Zoom 05.06 в 19:00 Гость выпуска: Александр Трифанов (руководитель Application Security at Avito @Alexxtri) Тема: AppSec: все, что вы хотели знать, но боялись спросить😏 Продолжая тему с профориентацией. На этот раз поговорим подробнее…
Всем спасибо!
P.S. Прикрепляю ссылки докладов, которые обсуждали
Николай Хечумов . Поиск и управление находками в «Авито»: расширяемый shift‑left
Николай Хечумов. Токены для поиска секретов, или SAST на минималках
Александр Трифанов: У нас есть ASOC дома: как мы обновили нашу систему управления находками
P.S. Прикрепляю ссылки докладов, которые обсуждали
Николай Хечумов . Поиск и управление находками в «Авито»: расширяемый shift‑left
Николай Хечумов. Токены для поиска секретов, или SAST на минималках
Александр Трифанов: У нас есть ASOC дома: как мы обновили нашу систему управления находками
❤9👍2
Ever Secure
Предзаказ книги уже доступен на сайте 👀 https://eversecure.ru/shop Можно будет забрать во второй половине июня 👀 👀 @ever_secure
Итак, у автора для вас 2 крутейшие новости!
Какая из них лучше, решать вам 😉
1-я новость в том, что пранк действительно вышел из под контроля и у нас SOLD OUT партии из 1000 экземпляров!🤩
Хотелось бы выразить вам огромную благодарность за вашу активность и чувство юмора, без вас не было бы и самой книги💜 Такой отклик очень сильно стимулирует продолжать развивать не только этот канал, но и само комьюнити👀
Спасибо вам! И как обычно, дальше - больше💪🏼
👀 @ever_secure | 💪 Мерч
Какая из них лучше, решать вам 😉
1-я новость в том, что пранк действительно вышел из под контроля и у нас SOLD OUT партии из 1000 экземпляров!🤩
Хотелось бы выразить вам огромную благодарность за вашу активность и чувство юмора, без вас не было бы и самой книги💜 Такой отклик очень сильно стимулирует продолжать развивать не только этот канал, но и само комьюнити
Спасибо вам! И как обычно, дальше - больше💪🏼
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰16❤9
Ever Secure
Итак, у автора для вас 2 крутейшие новости! Какая из них лучше, решать вам 😉 1-я новость в том, что пранк действительно вышел из под контроля и у нас SOLD OUT партии из 1000 экземпляров!🤩 Хотелось бы выразить вам огромную благодарность за вашу активность…
Продолжая тему про книгу, и отвечая на множество вопросов о том, что будет дальше и когда ее уже можно наконец-то получить, у нас для вас вторая супер новость!
20 июня мы организуем Ever Secure Meetup — живой вечер безопасности.
Пройдет он в Москве, в музее криптографии, который любезно согласился помочь нам с площадкой.
При поддержке @ArtemiyUeax и сообщества Слономойка!
🕔 Сбор гостей — с 17:00
🕡 Старт докладов — в 18:00
🕖 Нетворкинг — с 19:00
В программе:
– Вступительное слово
– Доклад "История появления книги" George K
– Доклад "Почему безопасность не опция" от меня
А еще:
– 📚 Выдача предзаказанных экземпляров книги «НХБ»
– ✍️ Автограф-сессия
– 🤝 Нетворкинг с единомышленниками
- 🏛 Возможность посетить экскурсию по музею и окунуться в удивительный мир криптографии (билет на экскурсию приобретается отдельно)
📍 Место встречи — https://cryptography-museum.ru.
Вход для участников митапа будет бесплатный, а регистрация скоро будет открыта
P.S. С теми, кто не сможет присутствовать, мы свяжемся по поводу выдачи и доставки заказов
P.P.S. Нам нужно понимать примерное количество гостей, пожалуйста проголосуйте в опросе ниже 👇
👀 @ever_secure | 💪 Мерч
20 июня мы организуем Ever Secure Meetup — живой вечер безопасности.
Пройдет он в Москве, в музее криптографии, который любезно согласился помочь нам с площадкой.
При поддержке @ArtemiyUeax и сообщества Слономойка!
🕔 Сбор гостей — с 17:00
🕡 Старт докладов — в 18:00
🕖 Нетворкинг — с 19:00
В программе:
– Вступительное слово
– Доклад "История появления книги" George K
– Доклад "Почему безопасность не опция" от меня
А еще:
– 📚 Выдача предзаказанных экземпляров книги «НХБ»
– ✍️ Автограф-сессия
– 🤝 Нетворкинг с единомышленниками
- 🏛 Возможность посетить экскурсию по музею и окунуться в удивительный мир криптографии (билет на экскурсию приобретается отдельно)
📍 Место встречи — https://cryptography-museum.ru.
Вход для участников митапа будет бесплатный, а регистрация скоро будет открыта
P.S. С теми, кто не сможет присутствовать, мы свяжемся по поводу выдачи и доставки заказов
P.P.S. Нам нужно понимать примерное количество гостей, пожалуйста проголосуйте в опросе ниже 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤5👾3
Я приду 20го в музей криптографии на митап
Anonymous Poll
32%
Да
37%
Нет
31%
Мне только посмотреть 👀
Друзья, хотел бы окончательно прояснить ситуацию с чеками и отбивке на почту:
Для оплаты заказов на сайте был подключен эквайринг от Т-Банка. Все ваши платежи прошли, при оформлении заказа вы заполняли форму с номером телефона и электронной почтой. Вся информация об этом есть в выгрузке Банка.
Для формирования чеков была подключена онлайн касса от Т-Банка, все чеки также есть.
Где-то на стороне Т-банка есть проблема, и во всех чеках вместо реального адреса получателя, фигурирует noreply-cloudkassir@cp.ru (см. скрин)
И поскольку данная ифнормация на стороне банка проходила с ошибкой, никто не получил отбивку на почту.
В настоящий момент ожидаем ответа от техников Т-Банка по сложившейся ситуации и прорабатываем возможное решение по доставке чеков до конечных покупателей. В случае отсутствия решения проблем, будем выбирать другой банк.
По поводу кривого шаблона письма
Поддержка конструктора сайта не смогла ничего сказать, кроме того, что в будущем когда-то реализуют (см. скрин). И даже назвать примерные сроки отказалась. Поэтому, в связи с недопустимо низким качеством данного конструктора и обслуживания, мы приняли решение о переезде на другую платформу, которое совершим в следующем месяце.
Благодарю всех за понимание, для нас это был первый опыт, который, как и положено, пошел комом. Выводы сделаны, будем становиться лучше и практичнее.
Для оплаты заказов на сайте был подключен эквайринг от Т-Банка. Все ваши платежи прошли, при оформлении заказа вы заполняли форму с номером телефона и электронной почтой. Вся информация об этом есть в выгрузке Банка.
Для формирования чеков была подключена онлайн касса от Т-Банка, все чеки также есть.
Где-то на стороне Т-банка есть проблема, и во всех чеках вместо реального адреса получателя, фигурирует noreply-cloudkassir@cp.ru (см. скрин)
И поскольку данная ифнормация на стороне банка проходила с ошибкой, никто не получил отбивку на почту.
В настоящий момент ожидаем ответа от техников Т-Банка по сложившейся ситуации и прорабатываем возможное решение по доставке чеков до конечных покупателей. В случае отсутствия решения проблем, будем выбирать другой банк.
По поводу кривого шаблона письма
Создан заказ на сайте https://eversecure.ru.<br> Детали заказа:<br> <br>Товар: <br>Книга На*уй Безопасность: 1 Цена: 1000
Поддержка конструктора сайта не смогла ничего сказать, кроме того, что в будущем когда-то реализуют (см. скрин). И даже назвать примерные сроки отказалась. Поэтому, в связи с недопустимо низким качеством данного конструктора и обслуживания, мы приняли решение о переезде на другую платформу, которое совершим в следующем месяце.
Благодарю всех за понимание, для нас это был первый опыт, который, как и положено, пошел комом. Выводы сделаны, будем становиться лучше и практичнее.
❤32🤔3
Всем привет!
В продолжение летнего выступления с Андреем, опубликовал статью на Habr 🤓
Статья с подробным разбором основных атак на CI/CD в контексте Gitlab, с примерами и пояснениями.
Всем приятного чтения 📖
https://habr.com/ru/companies/mws/articles/915916/
👀 @ever_secure | 💪 Мерч
В продолжение летнего выступления с Андреем, опубликовал статью на Habr 🤓
Статья с подробным разбором основных атак на CI/CD в контексте Gitlab, с примерами и пояснениями.
Всем приятного чтения 📖
https://habr.com/ru/companies/mws/articles/915916/
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
CI/CD под прицелом: реальные сценарии атак и методы противодействия
Почему CI/CD так важен? Он представляет собой автоматизированный конвейер сборки и доставки ПО и, если говорить в контексте безопасности, существует целый ряд критичных инцидентов безопасности,...
🔥19❤3
Ever Secure
Продолжая тему про книгу, и отвечая на множество вопросов о том, что будет дальше и когда ее уже можно наконец-то получить, у нас для вас вторая супер новость! 20 июня мы организуем Ever Secure Meetup — живой вечер безопасности. Пройдет он в Москве, в музее…
Друзья, спасибо за активность!
Как и обещал, направляю ссылку на регистрацию на Ever Secure Meetup, который состоится уже в следующую пятницу, 20 июня🙂
Регистрация по ссылке, и до встречи 😉
👀 @ever_secure | 💪 Мерч
Как и обещал, направляю ссылку на регистрацию на Ever Secure Meetup, который состоится уже в следующую пятницу, 20 июня
Регистрация по ссылке, и до встречи 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍3🔥1
Ever Secure
Созвон сообщества в Zoom 10.06 в 19:00 Гость выпуска: Антон Бочкарев (3side, 4Security) Тема: Полиграф 😱 Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный шанс спросить обо всем, что вы хотели!…
Через час стартуем созвон про полиграф.
Подключаться по ссылке
Подключаться по ссылке
1👍8🔥2😁2
Forwarded from RutheniumOS
Meta* и Yandex деанонимизируют Android-пользователей через web-браузеры
Недавние исследования специалистов из Radboud University, KU Leuven и IMDEA Networks показали, что Meta (Facebook, Instagram) и Yandex смогли связывать анонимную web-активность в браузерах с учётными записями пользователей в Android-приложениях.
1. На сайте используется Meta Pixel или Yandex Metrica — популярный скрипт аналитики, размещённый на многих страницах.
2. Когда в браузере загружен скрипт, он инициирует соединение с локальным портом, слушаемым соответствующим нативным приложением.
3. Данные браузера (cookies типа _fbp, метаданные, истории переходов) передаются приложению — например, Facebook, Instagram, Yandex.
4. Приложение связывает полученные идентификаторы с учётной записью пользователя, деанонимизируя web-активность.
Так можно отслеживать действия в браузере, даже в режиме “инкогнито” или при использовании VPN.
🛑 Почему это опасно
* Сломано разделение между приложениями и браузером в Android, что равносильно побегу из песочницы.
* Механизм трудно обнаружить: соединения через localhost активируются только в нужный момент.
* Опасная эскалация: даже очистка куков или инкогнито не спасают, браузер отправляет данные напрямую приложению.
⏳ История
* Yandex использует подобную схему с 2017 года.
* Meta начала применять метод с сентября 2024 года.
После публикации исследований Meta временно приостановила практику и ведёт обсуждение с Google. Yandex заявил о прекращении такой активности.
🔧 Что делать пользователям Android
* Перейти на браузеры с высоким уровнем приватности: Vanadium, Brave или Firefox с блокировщиками трекеров.
* Избегать открытия ссылок из приложений Meta/Yandex — сайты загружаются во встроенных браузерах с уязвимым поведением.
* Удалить приложения Meta и Yandex либо временно их отключить.
* Рассмотреть использование AOSP-версий Android или /e/OS, где встроенные сервисы Google и Meta отсутствуют.
Итоги
* Метод скрытный, сложный в обнаружении и использует внутренние соединения между браузером и приложением.
* Находит обход системных ограничений Android и сохраняет идентификаторы при любой очистке данных.
* Google уже предпринимает меры, а некоторые браузеры блокируют метод на уровне логики.
* Пользователям рекомендуется переходить на защищённые браузеры, запрещать встроенные веб-просмотры и по возможности отказываться от официальных приложений, собирающих личные данные.
*Meta Запрещена на территории РФи слава Богу
Источник
Недавние исследования специалистов из Radboud University, KU Leuven и IMDEA Networks показали, что Meta (Facebook, Instagram) и Yandex смогли связывать анонимную web-активность в браузерах с учётными записями пользователей в Android-приложениях.
1. На сайте используется Meta Pixel или Yandex Metrica — популярный скрипт аналитики, размещённый на многих страницах.
2. Когда в браузере загружен скрипт, он инициирует соединение с локальным портом, слушаемым соответствующим нативным приложением.
3. Данные браузера (cookies типа _fbp, метаданные, истории переходов) передаются приложению — например, Facebook, Instagram, Yandex.
4. Приложение связывает полученные идентификаторы с учётной записью пользователя, деанонимизируя web-активность.
Так можно отслеживать действия в браузере, даже в режиме “инкогнито” или при использовании VPN.
🛑 Почему это опасно
* Сломано разделение между приложениями и браузером в Android, что равносильно побегу из песочницы.
* Механизм трудно обнаружить: соединения через localhost активируются только в нужный момент.
* Опасная эскалация: даже очистка куков или инкогнито не спасают, браузер отправляет данные напрямую приложению.
⏳ История
* Yandex использует подобную схему с 2017 года.
* Meta начала применять метод с сентября 2024 года.
После публикации исследований Meta временно приостановила практику и ведёт обсуждение с Google. Yandex заявил о прекращении такой активности.
🔧 Что делать пользователям Android
* Перейти на браузеры с высоким уровнем приватности: Vanadium, Brave или Firefox с блокировщиками трекеров.
* Избегать открытия ссылок из приложений Meta/Yandex — сайты загружаются во встроенных браузерах с уязвимым поведением.
* Удалить приложения Meta и Yandex либо временно их отключить.
* Рассмотреть использование AOSP-версий Android или /e/OS, где встроенные сервисы Google и Meta отсутствуют.
Итоги
* Метод скрытный, сложный в обнаружении и использует внутренние соединения между браузером и приложением.
* Находит обход системных ограничений Android и сохраняет идентификаторы при любой очистке данных.
* Google уже предпринимает меры, а некоторые браузеры блокируют метод на уровне логики.
* Пользователям рекомендуется переходить на защищённые браузеры, запрещать встроенные веб-просмотры и по возможности отказываться от официальных приложений, собирающих личные данные.
*Meta Запрещена на территории РФ
Источник
👍5💅5❤1
И так, друзья, напоминаю вам о том, что уже в эту пятницу, 20 июня, в 17:00 пройдет Ever Secure Meetup 🤩
Добавили еще немного мест, чтобы каждый желающий сумел попасть на мероприятие
Дублирую ссылку на регистрацию и до встречи!
Добавили еще немного мест, чтобы каждый желающий сумел попасть на мероприятие
Дублирую ссылку на регистрацию и до встречи!
Please open Telegram to view this post
VIEW IN TELEGRAM
6❤7
Ever Secure
#созвон_сообщества Запись созвона На созвоне поговорили про профориентацию, обсудили карьеру в SOC👮♀️, DFIR🕵, Application Security🖥 , DevSecOps👳♀️, SecOps🖥 , Cloud Security👩💻 , Infrastructure Security🖥 , Network Security🖥 , Compliance🧑🏫, Data Security🖥 . …
Созвон сообщества в Zoom 17.06 в 19:00
Гость выпуска: Антон Жаболенко (CPO Positive Technologies)
Тема: Карьерные треки в кибербезопасности 2
Продолжение первой части созвона 😉
В какой ветке безопасности интереснее работать? Какую специализацию выбрать? В какой ветки интереснее работать?
Специально для вас, наши дорогие начинающие специалисты, я пригласил на созвон эксперта, который поработал в таких компаниях, как Kaspersky, Yandex🌐 , VK💙 , WB🛍 . Антон прошел огромный путь проработав в сферах инфраструктурной безопасности, application security, облачной безопасности и дошел до позиций топ менеджмента.
Приходите, обсудим все профессии, а также ответим на вопросы зрителей☺️
Предыдущий созвон
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
📹 YT | 📺 RT | 📺 VK | 💰 Bty
👀 @ever_secure | 💪 Мерч
Гость выпуска: Антон Жаболенко (CPO Positive Technologies)
Тема: Карьерные треки в кибербезопасности 2
Продолжение первой части созвона 😉
В какой ветке безопасности интереснее работать? Какую специализацию выбрать? В какой ветки интереснее работать?
Специально для вас, наши дорогие начинающие специалисты, я пригласил на созвон эксперта, который поработал в таких компаниях, как Kaspersky, Yandex
Приходите, обсудим все профессии, а также ответим на вопросы зрителей
Предыдущий созвон
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
Ever Secure
Созвон сообщества в Zoom 17.06 в 19:00 Гость выпуска: Антон Жаболенко (CPO Positive Technologies) Тема: Карьерные треки в кибербезопасности 2 Продолжение первой части созвона 😉 В какой ветке безопасности интереснее работать? Какую специализацию выбрать? В…
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3