Пакет Безопасности

20 февраля 2025 07:22

Портрет типичной жертвы мошенников

На основе данных за прошлый год Банк России выпустил ежегодный портрет жертвы мошенника. По данным опроса, в 2024 году жертвами чаще всего становились работающие женщины в возрасте от 25 до 64 лет, со средним уровнем дохода и средним образованием, которые проживают в городе и имеют постоянную занятость.

Основные методы мошенников — телефонные и СМС-уловки, а также взлом аккаунтов на Госуслугах. Большинство жертв теряют до 20 тысяч рублей, а 70% теряют свои сбережения.

Читаем Культ Безопасности, чтобы не попасть в 9%

Join our club Cult 👁

Пакет Безопасности

17 февраля 2025 16:55

То чувство, когда уже рассказал 😎

#КиберМем

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

15 февраля 2025 16:55

Заходят как-то в бар AntiDDoS, Anti-Bot, WAF и NGFW

Сразу предупреждаю – пост будет хоть и коротким, но душноватым, поэтому вдыхаем.

Когда-то давно на одном собеседовании мне задали архитектурный вопрос к которому я абсолютно не было готов. После десятка вопросов по безопасности кода, настройке мониторинга и защите различных ОС, мне под самый конец интервью задают всего один и очень простой вопрос: "Расположи в правильном порядке WAF, AntiDDoS, FW и балансировщик".

Казалось бы, вопрос максимально простой, вывести ответ на который не так уж и сложно, но видимо тогда в моей голове уже образовался абсолютный вакуум. И да. на вопрос я ответил, но какой ценой...

Так вот, я тут наткнулся на статейку, где простым и понятным языком наконец-то разобрали базовую базу того, что происходит на периметре безопасности (и чуть дальше) с внешним трафиком, и как вообще его фильтровать – ссылка

Думаю, что даже смогу пристроить эту статейку к себе в менторсткую программу, чтобы на мои грабли никто больше не наступал. Ну всё-всё, выдыхаем.

#Полезное

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

14 февраля 2025 09:51

Некибербезопасные вопросы

Давно хочу разобраться для себя в одной теме и всё никак руки не доходят сделать всё правильно и оптимально. Многие из нас уже регулярно используют нейросети, чтобы упростить себе жизнь и рутину, отсюда вопрос 👇

Расскажите, как вы пользуетесь ChatGPT (да-да, про DeepSeek слышал и с ним у меня таких вопросов нет)? У меня лично пока всё через костыли, поэтому взываю к вашему опыту.

Если конкретнее, то меня интересуют не столько промты или сценарии, сколько то, через что вы им пользуетесь: приложение, браузер, боты в Телеграм или что-то еще?

Как оплачиваете подписку и оплачиваете ли вы ее вообще?

А может быть у вас вообще есть альтернатива намного удобнее и проще расхайпленного ChatGPT?

Если вам лень всё это расписывать в комментариях, то можете просто скинуть ссылку на то, где это описано. Всем заранее спасибо 👍

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

12 февраля 2025 18:51

Дамы и господа, комменты порваны, спасибо

Пакет Безопасности

11 февраля 2025 12:55

Я тебя найду и позвоню

Знаете ли вы, насколько дёшево стоят наши персональные данные? Очень дешево, а порой и бесплатно. И я сейчас говорю не про те данные, которые после утечек продаются в теневой части интернетов, а про те, что мы отдаём добровольно.

Информацию про абсолютно любое ваше действие можно отследить и купить. И одной из причин возникновения этой проблемы является таргет и существование рекламы в целом.

Если вы сёрфите по интернету, используя мобильные данные, то ваш оператор сотовой связи получает всю историю посещения сайтов и прочие интересные данные, которыми вы обмениваетесь с всемирной паутиной. В свою очередь, эту информацию они продают маркетологам. К слову, обычные интернет-провайдеры делают с вашими данными тоже самое.

Казалось бы, ну продают они эту информацию (причем с нашего согласия), и продают. Но, помимо маркетологов, продажников и рекламных агентов, этой информацией могут воспользоваться и мошенники.

Да, именно так злоумышленники могут узнать, когда вы были в вашем любимом отеле, покупали автомобиль или зашли в какую-то конкретную гео-зону. А нужно это им для того, чтобы как можно эффективнее надавить на вас психологически, докрутить свою легенду и забрать у вас остатки приватной информации или деньги.

Что же с этим делать? Глобально – ничего. Да, можно звонить только через мессенджеры, менять номера или пользоваться только Wi-Fi для уменьшения набора собираемых данных о вас, но это всё не панацея. Кажется, что тут либо нужно принять реальность, либо отказаться от технологий и уехать в жить в лес.

И да, это не я такой умный, просто у меня наконец-то дошли руки до одной из самых хайповых статей на хабре за прошлый год, где всё это подробно разжевано. Так что, если интересно, то советую ее почитать. Авторам – уважение.

Так и живем.

#Кибергигиена

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

10 февраля 2025 09:00

Тоже что ли проект сделать ☺️

#КиберМем

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

09 февраля 2025 14:51

Воскресный дайджест
Да, без подводки. Удивлены? Я тоже ⌨️

⚡ Кибермем по мотивам одного из лучших сериалов в галактике – ссылка

⚡ Душеизлияние на тему минусов и рисков выхода на БагБаунти – ссылка

⚡ Возрастающая конкуренция в мире пакетов – ссылка

⚡ Запись нашего стрима – ссылка

⚡ Как мошенники работодателями прикидывались – ссылка

⚡ Очередная шумиха вокруг ДипСика – ссылка

❤ В новом канале по менторству в ИБ нас уже почти 300 человек 😌

❤ В Пакете Знаний вышел очередной пост про API – ссылка

❤ В Пакете Мероприятий вышла целая пачка новых анонсов – ссылка

❤ А еще до меня тут дошли новогодние подарки от крутых ребят из Лаборатории Касперского, поэтому делюсь фотографией

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

07 февраля 2025 16:55

Мошенники-работодатели

Сегодня будет достаточно лёгкий, но от этого не менее полезный пост. Да, будет много очевидных и простых вещей, но иногда и основы надо повторять.

Завязка заключается в том, что, платформы по поиску работы снова стали одним из мест обитания мошенников, на них злоумышленники привлекают соискателей вакансиями с очень уж сладкими условиями: высокая зарплата, удалёнка, гибкий график, а затем попросту обманывают их и взламывают.

Как это происходит?
Человеку, желающему найти работу, предлагают пройти короткое обучение с помощью специального приложения. Но, как бы это очевидно не звучало, приложение оказывается заражённым. Через него мошенники получают доступ к вашим персональным данным (конечно же, есть версия как под Андроид, так и для ПК 🙄), включая мессенджеры и банковские приложения.

Ну и что теперь? Работу не искать?
Конечно нет, достаточно соблюдать следующие рекомендации:

▫Тщательно проверяйте работодателя.
Используйте официальные сайты компаний и надежные платформы для поиска работы (про все из них вы уже наверняка знаете).

▫Обращайте внимание на почтовый адрес.
Помните, что корпоративные адреса отличаются от личных, и если с вами связываются с личной почты, то это уже повод задуматься.

▫Не платите за трудоустройство.
Любые «вступительные взносы» — это явный признак того, что вас пытаются обмануть.

▫Не устанавливайте подозрительные приложения.
Если работодатель настаивает на загрузке программного обеспечения, уточните, зачем это нужно, проверьте отзывы о компании в интернете, проверьте сами файлы на наличие вирусов.

▫Будьте осторожны с личными данными.
На начальных этапах трудоустройства не требуется предоставление паспорта, ИНН и других документов.

Если для вас это очевидные вещи, которые грешно даже вслух произносить, то поверьте, не все такие смышлёные. Так что советую переслать это вашим друзьям и близким.

Ну а самые крутые вакансии для кибербезопасников вы сами знаете, где можно найти 😎

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

05 февраля 2025 08:44

Так, я не понял, что это они себе позволяют? 🤬

Студия ZA/UM представила сумку, которая представляет собой копию пакета, в который собирал бутылки главный герой Disco Elysium. Продажи уже стартовали, цена — 159 евро (~16 600 рублей).

Пакет Безопасности

03 февраля 2025 16:55

Ну и в чём он не прав?

#КиберМем

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

31 января 2025 16:55

Сколько же этих праздников

Недавно прошел День защиты персональных данных, а у нас это обычно сопровождается тем, что различные компании публикуют что-то полезное в интернеты для того, чтобы повысить свой социальный рейтинг и условно-бесплатно себя попиарить.

Ну а мы только рады на такое посмотреть и получить от этого пользу. В этот раз лично я заметил, как отличились две компании: СёрчИнформ и Яндекс.

Первые выпустили итоги своего исследования по публичным утечкам в России за 2024 год. Там и штрафы, и инфографика, и даже мем есть. Не назвал бы это глубинным исследованием, но почитать можно – ссылка

Яндекс же вложил чуть больше сил и опубликовал целое бесплатное обучение по тому, как работать с персональными данными. Интересно то, что материал этот не столько для обычных граждан (но для нас тоже), сколько для сотрудников компаний и предпринимателей. Такое почитать точно стоит, особенно тем, кто постоянно спорит с тем, что набор "ФИО + любой другой идентификатор" не является персданными – ссылка

Если вы тоже видели что-то полезное, что было приурочено к этому празднику, то делитесь, не сдерживайте себя.

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

30 января 2025 07:09

Глубокий поиск

Кажется, что только ленивый не написал в своем телеграм-канале про DeepSeek, разобрав по минутам причины падения котировок всего фондового и крипто-рынков, сравнив эту нейросеть с ChatGPT, параллельно предрекая новую революцию в мире ИИ.

Шумиха поднялась большая, причем по всему миру, что вызвало интерес не только обычных людей, но и тех, кто любит на них нажиться. Собственно, этому и посвящается пост.

Как вы можете догадаться, практически в каждой из новых (на самом деле старых) схем мошенников фигурируют поддельные сервисы, которые полностью имитируют DeepSeek или связь с ним.

Одна из схем строится вокруг того, что пользоваться нейрочатом без регистрации/авторизации нельзя, поэтому на части поддельных ресурсов у вас попытаются угнать ваши логины/пароли, которые якобы будут вас авторизовывать через гугл, например.

Другие же скам-схемы проворачиваются через поддельные криптомонеты, которые якобы принадлежат самому проекту DeepSeek и якобы являются аналогом его акций в криптомире.

Само собой, при попытке получить эти монеты и подписать этот смарт-контракт (а ваш кошелек вас будет даже от этого ограждать), вы будете терять доступ как к кошельку, так и к вашим ресурсам на нём.

Все остальные схемы уж слишком похожи на то, что мы уже и так разбирали в канале, поэтому их трогать не будем.

Параллельно с этим, DeepSeek начинает страдать типовыми болячками других нейросетей и прочих сервисов, которые быстро запускаются и также быстро обретают популярность. Например, доступную для всех базу данных с чувствительной информацией, включая историю чатов пользователей. Так что помните, что всё, что вы пишете в интернет, практически всегда становится общедоступным.

Ну а нас с вами ждет еще много СКАМерских схем, связанных с этой нейросетью, поэтому будьте внимательны, обращайте внимание на адреса сайтов на которые переходите, и скачивайте приложения только из официальных источников. Всем мир.

#Кибергигиена

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

28 января 2025 16:55

Менторство в ИБ

Как вы помните, я официально прокачался выгорел. Но, практически сразу после этого поста, мне (внезапно) написало несколько очень крутых безопасников, за опыт и навыки которых я лично готов поручиться.

И спустя некоторое время у нас родилась идея – сделать из личного менторства что-то бОльшее. Формат менторства от этого практически не изменился, но ощутимо расширилось количество направлений и увеличился объем менторского ресурса (из-за недостатка которого я и выгорел).

Собственно, долго тянуть не буду, сделал под это дело отдельный канал, куда приглашаю тех (и только тех), кому интересно менторство в сфере кибербезопасности. Для все тех, кто "стесняется спросить", "никак не может решиться", "ждёт какого-то знака судьбы", "сейчас вот это еще доизучит и пойдёт" и всё в это духе.

Сразу скажу, что я не собираюсь писать вам в личные сообщения, делать холодные продажи или что-то навязывать.

Там я просто хочу в одном месте собрать всю самую важную информацию по менторству (да, я уже устал обновлять Notion), держать вас в курсе того, как оно видоизменяется (обычно только в лучшую сторону), ну а еще рассказывать вам про всякие лайфхаки, связанные с обучением, полезные приёмы и грабли, о которых лучше узнать заранее.

Сделаем еще одну попытку. Получится – значит получится, нет, так нет. Вэлкам – ссылка

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

27 января 2025 16:55

#КиберМем

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

18 февраля 2025 16:55

Цифровые похитители

Давно у нас что-то не было ликбезов в мире терминологии ИБ, так что погнали. Сегодня поговорим про штуку под названием "стилер".

Стилеры – одни из самых распространенных и коварных типов вирусов, а еще это один из самых полезных инструментов. в руках злоумышленников. Они используются для того, чтобы вытащить с зараженных устройств жертв как можно больше полезной информации, такой как пароли, заметки, история браузера, адреса и сид-фразы криптокошельков и прочее добро.

Заразиться стилером можно как и любым другим вредоносом: через почтовые вложения, файлы с подозрительных сайтов или ПО из непроверенных источников.

Работает стилер максимально примитивно, что позволяет его сделать практически незаметным для ока Саурона глаза и антивирусного ПО. После попадания на устройство жертвы он начинает неспешно сканировать всё, что попадается ему на пути, пока он путешествует по всей файловой системе.

Когда, с помощью регулярных выражений и своих шаблонов, он находит максимум полезного добра, он всё это шифрует и отправляет на удаленный сервер злоумышленников.

Есть и более прокаченные версии стилеров, которые умеют собирать список установленного ПО, перехватывать сообщения мессенджеров, делать снимки экрана или воровать целые файлы. В общем, на теневых маркетплейсах есть экземпляры под любую задачу и кошелек.

Как же защититься? Как и от любого другого вредоносного ПО – соблюдать кибергигиену, которую мы тут регулярно обсуждаем, и пользоваться антивирусом, потому что "на глаз" вы точно работу стилера выявить не сможете.

Чуть подробнее про этот тип вирусов можете почитать вот тут, ну а для тех, кто уже знал, кто такие эти стилеры, держите интересный факт, чтобы не зря время потратили: В среднем дети смеются около 400 раз в день, взрослые смеются около 15 раз в день.

#Полезное

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

16 февраля 2025 14:25

Постов на этой неделе во всех каналах навалило нехило, поэтому погнали сразу к дайджесту!

⚡ Что? Правильно – кибермем – ссылка

⚡ Сколько стоят ваши персональные данные и как к ним легально получают доступ все, кому не лень – ссылка

⚡ Рассуждения на тему браузеров с последующим разрывом комментариев – ссылка

⚡ Импортозамещение, которое мы заслужили – ссылка

⚡ Вопрос к вам на тему того, как и какими нейросетями вы пользуетесь (советую почитать комментарии) – ссылка

⚡ Празднуем праздник – ссылка

⚡ Полезное чтиво по безопасности периметра – ссылка

❤ В Пакете знаний вас ждут полезные посты на тему безопасности LLM и харденинга всего, чего только можно

❤ В Пакете Вакансий Альфа-банк продолжает искать себе АппСеков

❤ В Пакете Мероприятий вышли анонсы сразу нескольких крутых событий, в том числе одной крутой казахстанской конференции, куда можно податься с докладом

❤ В канале по менторству продолжаю делиться всякими внутряками и мыслями на разные темы, связанные с обучением кибербезу – ссылка

Ну вот и всё, всем мир 😚

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

14 февраля 2025 13:33

С праздничком всех кстати ❤️

Пакет Безопасности

13 февраля 2025 16:55

Импортозамещаемся

Вот и подошел к концу тот самый юбилейный ТБ Форум, на котором успели засветиться практически все участники рынка кибербезопасности в России и даже повыступать знакомые лица. Ах да, пост будет душноватый, поэтому держимся.

Много кто рассказал про свои наработки и достижения в области (чего? правильно) импортозамещения. Наконец-то рынок чуть адаптировался и сейчас это все делается уже не только ради галочки. Ребята из Базиса вот поделились тем, как обеспечивают безопасность разработки со стороны поиска ошибок и уязвимостей в элементах открытого кода. Да-да, чтобы уберечь нас всех, например, от атак через те самые цепочки поставок.

Так вот, они рассказали о том, как они (угадайте, что? правильно) импортозаместили элементы безопасного конвейера. Нужды SAST у них обсуживает инструмент под названием Svace от ИСП РАН. А вот SCA сканированием занимается небезызвестный CodeScoring с таким же небезызвестным фаундером.

По словам ребят, теперь они не только соответствуют требованиям регуляторов и того самого ГОСТа, но и по безопасности просадок не наблюдается. Само собой, чтобы в этом убедиться, нужно тестировать эти решения именно на своих сервисах и на своём стеке, но выглядит пока уверенно.

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

12 февраля 2025 16:55

Браузеры

Много раз уже поднималась тема безопасных браузеров в нашем канале. И всем хочется получить ответ на вопрос "А каким браузером пользоваться? Какой из них безопасен". При этом, никто так и не может сформулировать критерии этой безопасности или то самое, что в этом браузере должно быть.

Для кого-то это приватность (да, режим инкогнито не всегда ее дает), для кого-то это надёжное встроенное хранилище паролей, а для кого-то – банальная встроенная функция, состоящая из трех букв. А по итогу – все всё равно пользуются хромом (или не дай бог Брейвом), который не соответствует вообще ни одному критерию.

И это не удивительно, потому что разработчики браузеров как будто остановили развитии своих детищ после того момента, как те обрели достаточную популярность. Да, они закрывают периодически всякие уязвимости или допиливают совместимость с новыми устройствами, но не больше (по крайней мере я ничего супер нового не замечаю).

К чему это я вообще завел этот разговор? Появился тот самый браузер? Пока нет, но надежды имеются. По крайней мере, в корпоративном сегменте (для сотрудников компаний). Я тут у одного коллеги по цеху в канале увидел мини-обзор на новую версию корпоративного Яндекс Браузера со встроенным зашифрованным хранилищем для важных файлов.

Для нас с вами в нашем быту эту штуку пока особо не применишь, но для корпораций это просто подарок. Как я понял, эта функция защищает компании от утечек чувствительной информации, так как браузер шифрует на своей стороне все важное, даже дает с ним взаимодействовать (рекдактировать документы, например), но шифрует так, что за его пределами никто этот файл уже открыть не сможет.

И, если верить этому источнику, то там и защита от подмены устройства есть (это когда образ браузера клонируют на устройство злоумышленника). А теперь внимание, эта штука доступна не только на компах, но и на мобильных устройствах. Да, люди всё. чаще работают не то что не с корпоративных ноутов, а просто с телефонов.

В общем, к чему я это все. Очевидно, что для бизнеса эта новая функция не то что будет полезной, она еще и много денег сэкономит на отказе от внедрения других средств защиты от утечек информации. Но как будто можно эту штуку как-то приспособить и к бытовым нуждам (как – пока не придумал). И, если Яндекс это сделает, то есть шанс толкнуть всех остальных конкурентов, чтобы они уже начали шевелиться. Ну а если не сделает, то сам Яндекс Браузер работает на движке Blink, который лежит в основе и Хрома, и Оперы, так что шансы расковырять и скопировать эту штуку есть.

Так и живем.

Уже чувствую, как вы наваливаетесь на меня в комментариях, защищая Хром, Оперу, Брейв и еще десяток ноунейм-браузеров 👍

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

11 февраля 2025 11:55

В условиях роста количества и усложнения кибератак отсутствие автоматизированных подходов к реагированию на инциденты ИБ увеличивает риски для бизнеса. Только 36% компаний выявляют нарушителей в большинстве случаев, а почти четверть уже сталкивались с критичными кибератаками.

К2 Кибербезопасность и Kaspersky провели более 100 глубинных интервью в Enterprise-сегменте и выяснили, как бизнес подходит к построению процессов мониторинга и реагирования.

20 февраля в 11:00 мск в формате живого диалога обсудим результаты исследования и поделимся экспертным прогнозом о развитии рынка SOC.

В программе встречи:
✅ Как SOC ускоряет обнаружение и устранение инцидентов
✅ В чем преимущества MSSP-модели по сравнению с другими моделями
✅ О чем надо помнить при построении собственного SOC
✅ На что нужно обращать внимание при выборе провайдера услуг.

Кстати, все зарегистрированные участники в числе первых получат полный текст исследования до митапа. Зарегистрироваться на онлайн-митап можно по ссылке 😉

Реклама. АО "К2 ИНТЕГРАЦИЯ". ИНН 7701829110.

Пакет Безопасности

10 февраля 2025 08:00

🔐По статистике компании CURATOR, количество DDoS-атак в 2024 году выросло на 53% по сравнению с 2023-м. Их продолжительность тоже растёт — самая долгая атака 2024-го длилась больше 19 дней. Сейчас подходящее время подумать о стратегии защиты в 2025-м.

🔴На вебинаре MTC Web Services эксперты MWS и CURATOR разберут самые массовые сценарии атак и дадут рекомендации, как защитить свою инфраструктуру.

Вы узнаете:

— Ключевые тренды и тактики DDoS-атак в 2024 году
— Реальные примеры, как кибератаки влияют на бизнес
— Сценарии потенциальных угроз, которые будут актуальны в 2025-м
— Рекомендации, как подготовить инфраструктуру к новым волнам DDoS-атак

➡️Регистрируйтесь на вебинар, задавайте свои вопросы и пишите комментарии в чате трансляции: за лучший вопрос будет подарок от команды!

Пакет Безопасности

08 февраля 2025 13:00

Опять эти ваши ДипСики

Кажется, что уже во всех чатах, каналах и даже личках сегодня завирусился пост Эксплойта про то, что НУЖНО СРОЧНО УДАЛИТЬ DEEPSEEK С ВАШЕГО АЙФОНА.

Пост, судя по всему, основан на вот этой новости от The Hack News (может есть и другие аналоги, но не суть), где описываются результаты аудита того самого мобильного приложения DeepSeek компанией NowSecure. Эти ребята обнаружили, что все запросы, включая данные, которые вводит пользователь в этот чатбот, передаются по сети в незашифрованном виде.

Трагедия? Сомневаюсь. Да, кто-то, если постарается, может получить доступ к вашим запросам, но напомню – всё, что вы пишете в интернет, практически всегда становится общедоступным. Да, теперь кто-то узнает о том, что вы задавали ДипСику вопросы о том, как избавиться от головной боли, какой кофе самый крепкий или увидит то самое поздравление с днем рождения, которое вы решили не придумать сами, а сгенерировать нейросетью.

Ну а если вы вводили туда свои персональные данные (те, что уже слиты скорее всего), данные вашей карты (серьёзно?) или вообще отправляли ему свои фотографии, то у меня вопросы уже больше к вам, чем к тем, кто забыл про безопасность, когда делал приложение ДипСика.

В общем, этот пост Эксплойта выглядит скорее как дешевая реклама в странных Телеграм-каналах, нежели как содержательное предостережение. Если бы мне такое не пересылали, я бы даже внимания не обратил из-за баннерной слепоты на рекламные посты. И есть у меня теория, что так и есть.

Пока читал статью, кстати, заметил одну забавную особенность – данные отправляются с устройств на облачные сервера компании Volcano Engine, которая принадлежит ByteDance, которая владеет ТикТок-ом 🙄

В общем, ничего такого не произошло, живём свою жизнь дальше. Всем мир и хороших выходных.

#НовостьДня

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

05 февраля 2025 16:55

Запись стрима

Несмотря на то, что мой ноутбук начал неистово нагреваться и подтормаживать где-то на середине стрима, с записью в этот раз всё отлично, что можно считать успехом.

А вот и ссылки:
- 📹 Youtube
- 📺 VK Video
- 📺 Rutube

Всем еще раз спасибо за то, что зашли поболтать, за вашу обратную связь и доверие.

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

04 февраля 2025 17:55

Минусы есть?

Не знаю, как вы, но лично я заметил, что за последний год в странах СНГ (да, не только в РФ) начинают всё чаще обсуждать и форсить тему багхантерства, этичного хакинга и Bug Bounty (о том, что это такое, я писал пару лет назад). Ах да, дальше будет душно.

Всё больше людей (особенно молодых) пытается заработать денег на легальном поиске уязвимостей, в чем достаточно часто преуспевают – к ним вопросов нет.

А еще, все больше компаний смотрит в сторону выхода на багбаунти (ББ). Кто-то создаёт свои платформы, кто-то повышает выплаты, кто-то публикует там продукт за продуктом. И вся эта история кажется очень крутой, особенно, если не думать о том, что компании могут гнаться скорее за повышением своей ИБшной репутации, нежели за увеличением уровня безопасности самих ресурсов.

В общем, складывается ощущение, что это просто стало модным, поэтому настало время поговорить не только о бенефитах (они очевидны), но и о рисках выхода на Bug Bounty для компаний.

1. Это банально дорого. Да, мы уже убедили бизнес в том, что безопасность это важно и лучше вложить деньги "до", чем терять их "после", но тут придётся подумать над дополнительными аргументами, ведь раньше мы как-то жили и без ББ, а траты на него могут быть не самыми предсказуемыми.

2. Много операционки. Очень много, причем для многих. Прописать правила программы под каждый продукт, чтобы тебе не сломали ничего лишнего; регулярно и оперативно разбирать новые (порой не самые качественные) отчеты багхантеров; вручную обработать и воспроизвести все найденные уязвимости; донести всё это добро с рекомендациями до тех, кто это будет чинить.

3. Ограничения. Сложно найти такой сервис, опубликованый на багбаунти, который вам будет разрещено тыкать без ограничений. И это нормально, ведь все эти продукты многосоставные, части которых принадлежат разным бизнесам и договориться сразу и со всеми сложно. Соответственно, постоянно натыкаешься на продукт, в котором нельзя трогать авторизацию, какие-то отдельные модули, сторонние платежные виджеты и т.д.

4. Призрачная безопасность и зависимость от багхантеров. Может показаться, что вот она, серебряная пуля, которая избавит нас от всех дыр. Сейчас отработаем все отчеты, всё починим и будет безопасно. Но нет, нормальных отчетов на ББ может вообще не быть, а дыры могут быть шире вашего воображения. Нужно помнить, что компания не контролирует, кто и как ищет уязвимости. Нет никакой гарантии, что исследователи будут активно участвовать в программе.

5. Репутация. Да, сам выход на ББ даёт баллов рейтинга на игровой арене, но если программа организована плохо (задержки выплат или игнорирование отчетов), это может навредить репутации компании. А еще публичные баги могут привлечь излишнее внимание к продукту.

На этом всё, вроде ничего не забыл. Не будем только о грустном и негативном, есть и случаи (и их достаточно), когда всё было сделано правильно и осознанно. Как я вообще решил написать этот пост? Да я просто наткнулся на новость о том, что ребята из Авито повысили максимальные выплаты уже до 500 000 рублей, а это явно говорит о том, что результатом выхода на ББ бизнес доволен.

Надеюсь, что эти мысли помогут тем, кто задумывается о выходе на БагБаунти или уже выходит на него. Всем мир.

#Мнение

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

02 февраля 2025 08:53

Во-первых, неделька выдалась насыщенной. Во-вторых, на стриме мы выяснили, что воскресные дайджесты нужны не только мне. А это значит, что мы переходим к основному блюду 👇

⚡ Хорошо залетевший кибермем про пароли – ссылка

⚡ Итоги конкурса (на следующей неделе уже будем рассылать призы) – ссылка

⚡ Пост про новый канал и воскрешение менторства в ИБ – ссылка

⚡ Мошеннические схемы с DeepSeek – ссылка

⚡ Полезности со Дня защиты персональных данных – ссылка

❤ В Пакете Знаний продолжается слив тренажеров для безопасников с менторства – ссылка

❤ В Пакете Вакансий появился рейтинг лучших IT-работодателей России – ссылка

❤ Также на этой неделе я забежал на огонек к ребятам из "Лаборатории Касперского", где они устроили очень крутое празднование китайского нового года. Нам рассказали про тренды в мире кибербеза, поделились полезной статистикой и очень вкусно накормили. В общем, красота

❤ Провели на этой неделе стрим, где обсудили ооочень много всего. Запись сделал, уже начал публиковать на видео-хостингах, скоро выложу в канале

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

30 января 2025 15:17

Напоминаю, что уже сегодня в 20:00 состоится стрим. Ну а комментарии под этим постом пусть будут нашим с вами чатом для общения на стриме. До встречи в эфире 🐹

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Пакет Безопасности

29 января 2025 16:55

Напоминаю про завтрашний стрим в 20:00 по мск ☝

Готовим свои вопросы, темы и заряжаемся настроением ⌨️

Пакет Безопасности

28 января 2025 10:08

Итак, настал момент истины! 🎁

Мы подводим итоги нашего розыгрыша с каналом «Пакет Безопасности» — и готовы назвать имена счастливчиков, которые унесут с собой годовые лицензии, фирменный мерч и хорошее настроение в этот вторник!

Победителей выбирал бот-рандомайзер и вот, какие результаты получились:

1. Alex (@k0t0v5k1y) — Kaspersky Premium + Who Calls
2. h8r (@asoIender) — Kaspersky Premium + Who Calls
3. Павлик (@s7_319_3PNDP) — Kaspersky Premium + Who Calls
4. Dmitrii (@NagaevD) — фирменные носки с Мидори
5. digitale (@d1gitale) — футболка
6. ♕︎꧁𝕄𝔸𝕁𝕆ℝ꧂♕︎ — книга о кибербезе в Большом театре
7. Mikhail (@mikhailbronyuk_rtlabs) — книга о кибербезе в Большом театре
8. Northwind. — книга о кибербезе в Большом театре
9. Самеди 🦇 (@Loa_Samedi) — большой игровой ковёр для мыши
10. Arkadoz (@Arkadoz) — кружка
11. ㅤ — варежки

Проверить результаты

Что делать, если я выиграл приз? Ждать и не пропускать сообщение от нас с дальнейшими инструкциями по тому, как получить свой приз! Мы будем ждать вашего ответа в течение трёх дней после завершения конкурса.

Поздравляем победителей и всех участников! Оставайтесь с нами и следите за новостями, чтобы не пропустить следующие розыгрыши! 😎

Пакет Безопасности

26 января 2025 16:55

Неделька выдалась насыщенная, особенно по рекламе в канале. Давненько её тут не было, но видимо рекламодатели начали выходить из зимней спячки. Поэтому, на свякий случай, напоминаю вам про свою позицию на этот счет и про то, что наличие рекламы только способствует улучшению контента и увеличению количества полезных активностей в нашем с вами канале.

И да, знаю, что вас уже трясёт без воскресного дайджеста, поэтому погнали.

⚡ Неделю начали не с кибермема, но с важной новости о том, что на маркетплейсах участились случаи продажи зараженных устройств – ссылка

⚡ Ну а продолжили долгожданным и полезным розыгрышем совместно с ребятами из Kaspersky, в котором всё еще можно принять участие – ссылка

⚡ Не самая полезная, но просто интересная аналитика по безопасности интернетов за 2024 год – ссылка

⚡ Анонс стрима в канале и сбор ваших вопросов к нему – ссылка

⚡ Как Майкрософт следит за тобой через Excel – ссылка

⚡ А вот и тот самый кибермем или что еще можно купить школьнику для учебы – ссылка

❤ В Пакете Знаний продолжается утечка полезных материалов с менторства – ссылка

❤ В Пакете Вакансий вышла вакансия на кибербезопасника с почти бесконечно-большой зарплатой – ссылка

❤ Ну а наш календарь из Пакета Мероприятий продолжает пополняться анонсами крутых мероприятий из мира ИБ

⚡ Пакет Безопасности | Чат | 🛍 Другие каналы