Пакет Безопасности

28 July 2025 14:19

Думаю, что вам сейчас и так хватает инфошума из разных источников на тему Аэрофлота. Я чуть позже сяду и напишу вам всё, что думаю по этому поводу.

Ну а пока что мне просто не дают этого сделать, честно.

Пакет Безопасности

25 July 2025 19:24

Шереметьево вроде отошел. Теперь вопрос к МТС – ты там как?

Пакет Безопасности

24 July 2025 18:15

Если вдруг вам не хватает контента на тему ИБ, то поберегите свою психику держите годный подкаст – ссылка.

Я когда-то давно на него наткнулся и забыл. А тут мне про него напомнили и я втянулся. По крайней мере в выпуск про ИИ в ИБ.

И нет, это не реклама. Ребята, судя по всему, болтают там сугубо для души.

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

22 July 2025 17:55

Я тут к вам сразу с несколькими чеклистами. Все же их любят? Правда ведь? 👻

📁 Первый тест-чеклист от ребят из F6 поможет вам и вашему бизнесу/работодателю понять, насколько хорошо вы готовы (или не готовы) к кибератакам – ссылка. Само собой, по-дороге вам попытаются продать несколько продуктов этой кибербезопасной компании, но я думаю, что вы и сами знаете, что вам нужно, а что – нет.

📁 Следующий набор чеклистов пригодится руководству (да и не только) компании для случаев взлома, шифрования, отказа сервисов и всего, что только может произойти в случае успешной атаки злоумышленников – ссылка

📁 Ну и последний – чеклист по быстрым шагам, чтобы защититься от вирусов-шифровальщиков. От них не защищен никто, так что будет полезно хотя бы разок пробежаться по базовым мерам реагирования.

Как говорится, сохраняем, распространяем, пользуемся.

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

21 July 2025 13:20

#КиберМем

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

20 July 2025 10:25

Неделька, как и всегда, вышла весьма насыщенной, так что сразу погнали к нашему воскресному дайджесту 🎧

👨‍🏫 В Менторстве ИБ прошла неделя резюме, где мы даже успели разобрать один мемный пост из LinkedIn

🧠 В Пакете Знаний выложили список крутых Ютуб-каналов по кибербезу

📋 В Пакете Вакансий вас ждет крутая вакансия, связанная с построением личного бренда. А еще я там скоро выложу вакансию к себе в команду

📄 Ну а в Резюмешной выложено уже больше 20 проверенных резюме. В процессе проверки еще примерно столько же

⚡ Результаты опроса весьма воодушевляющие – надеюсь, все действительно так хорошо, как вы наголосовали)

⚡ Тут выговорился на тему моего нового любимого мессенджера – ссылка

⚡ Обсудили безопасность через неизвестность – ссылка

⚡ Выяснили, что происходит с нашими данными после их утечки – ссылка

⚡ Ну и узнали о том, почему двухфакторка – не панацея

⚡ А еще наш с вами канал стал инфопартнером конференции от крутых и атмосферных ребят из МКО – MOSCOW FORENSICS DAY, которая пройдет 11-12 сентября. Так что вэлкам на огонек.

Пакет Безопасности

18 July 2025 16:55

Двухфакторка, которая смотрит в оба

Пока кто-то считает, что двухфакторка – это надежно, Lighthouse Reports выкатывают расследование. Они доказывают, что некоторые поставщики 2FA-решений связаны с разведками некоторых стран. И не просто где-то пересекаются на конференциях или анонимных квартирах, а встроены туда прямо на уровне системы.

И это уже далеко не первый подобный случай:
- Crypto AG – десятилетиями продавала своё полузащищенное оборудование, которое сливало всё, что только можно в сторону США и ФРГ.
- RSA когда-то за $10 млн внедрила слабый алгоритм от NSA прямо в свой криптомодуль.
- В 2024-м в XZ Utils заложили бэкдор, через который можно было удаленно запускать код на линукс-серверах. Библиотека, на секундочку, ставилась по умолчанию. Подозревают, само собой, разведку.

Это значит, что поставщик не обязательно ломает вас напрямую, да и не факт, что он в этом вообще заинтересован. Он просто делает так, чтобы при необходимости к вашим данным можно было удобно получить доступ.

Да, такова реальность. Такова обратная сторона удобства и оцифрованности нашего мира и быта. Так что нужно просто держать в голове то, что в любой момент кто-то может получить доступ к тому, что мы считаем приватным.

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

16 July 2025 17:55

Я тут практически доделал мерч, поэтому ждите скоро большой розыгрыш чего-то интересного 🤩

Пакет Безопасности

14 July 2025 17:55

А вы на парковке или в лифте?

Я честно сдерживал себя до последнего, чтобы не написать что-то про новый национальный мессенджер МАХ, но я уже просто не могу. Если коротко, то МАХ позиционируется как аналог WeChat (китайский гигамессенджер, в который встроены все экосистемы и сервисы страны), замена Телеграму и единое место как для общения, подачи заявок через Госуслуги, оплату парковки и вот это вот всё.


Так вот, я пережил рекламу от Инстасамки и запуск мемного тренда с парковкой. Рекламу от Дениса Дорохова, который вообще чуть ли не плачет, отыгрывая мемную концепцию улучшенной связи, продвигая MAX. Да и другие блогеры тоже не остались в стороне. При этом, распространяется реклама преимущественно через социальную сеть, официально запрещенную в РФ.

Параллельно с этим, по техническую сторону пиара форсируется тема того, что соткан новый мессенджер из библиотек, которые имеют отношение к недружественным странам. Кто-то пишет про то, что (вдохните) у них еще и SDK на дырявом и устаревшем Python 2 и Java 8 написаны (выдыхайте). Но это все ладно, сопротивление должно было быть – так уж у нас принято встречать всё новое и импортозамещаемое.

Финальным аккордом было то, что МАХ обвинили в слежке за пользователями. Но и тут я было уже сдержался. Но вдруг меня добило то, что новость об этом самом шпионаже была опубликована в Дзене, который, как и новый мессенджер, принадлежит VK 🤔

Слежка кстати заключается в том, что при установке приложение запрашивает доступ к такой информации, как переписка, геолокация, история звонков, фотографии и буфер обмена. Ну а при установке через RuStore мессенджер может собирать и данные о других приложениях на устройстве.

Всё, я выговорился, вам все рассказал. Теперь держите мой любимый мем (пока что) на эту тему.

Пакет Безопасности

11 July 2025 16:11

Gemini теперь читает WhatsApp, даже если вы все отключили

Google расширяет полномочия ИИ‑ассистента Gemini. Теперь он получает доступ к уведомлениям из WhatsApp, SMS и других приложений. Даже если в настройках отключена активность приложений. То есть, вы все выключили, а он все равно видит, что вам пишут – через Google Assistant и встроенные утилиты.

Что известно:
– Gemini может считывать текст и изображения из уведомлений WhatsApp
– данные хранятся на устройстве до 72 часов «в целях безопасности»
– работает даже при отключенной активности приложений

Формально Google утверждает, что при отключенном ассистенте эти данные не идут на обучение ИИ. Фактически же они попадают в кэш и остаются на устройстве. Так что сложно понять, что там с ними может происходить на самом деле.

В любом случае, отключить ИИ‑ассистента можно вручную: Gemini → Профиль → Активность приложений → Отключить. Важный нюанс – даже после отключения функций Gemini может продолжать обрабатывать уведомления, если не удален полностью.

Можно конечно заморочиться посильнее и полностью удалить всё это добро через ADB: отладка по USB, подключение к ПК, удаление вручную. Но не уверен, что оно вам надо.

Кажется, что теперь Android – это не только про контроль пользователя, но и про контроль над пользователем. Добро пожаловать в этот чудный яблочный мир.

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

09 July 2025 17:56

Ну и мем сразу в тему держите. «Громовержцы» кстати ничего так получились на фоне нового Марвела.

Пакет Безопасности

08 July 2025 17:55

Кибербезопасность для админа в Telegram

Знаю, что среди моих подписчиков много админов ИБ- и IT-каналов. Вот вам важное напоминание: не забывайте думать не только о контенте, но и о безопасности вашего канала и аккаунта. Иначе все ваши усилия и вложения в канал могут просто испариться. Давайте зафиксируем основные моменты, о которых нужно помнить, чтобы не стать жертвой мошенников. А если захотите почитать более подробно о рисках для админов, то рекомендую почитать статью одного небезызвестного вадминских кругах человека – Дениса Максимова.

Ну а теперь давайте разберем основные способы, которыми пользуются мошенники, чтобы красть ваши деньги, аккаунты, канал, данные (например, пароли и номера карт), и меры предосторожности.

Вирусы в файлах (бессмертная классика). Вам присылают архив (apk или zip) под любым предлогом: якобы с важным документом (например, договор или чек об оплате), который крадет сессию Telegram. После скачивания файла аккаунт исчезает с вашего устройства. Защита: отключите автоскачивание файлов в настройках мессенджера, не открывайте подозрительные вложения и следите за их расширениями.

Фишинговые логИны. Поддельные сервисы предлагают вам залогиниться при помощи Telegram, при этом просят код из SMS или пароль двухфакторной аутентификации. После этого, вы теряете доступ к аккаунту. Запомните: настоящие сервисы никогда не запрашивают эти данные. Всегда проверяйте URL сайта, куда логинитесь.

Угон через SIM-карту. Если мошенник получит доступ к вашему номеру, он может удалить аккаунт. Это можно сделать с помощью технических средств: перевыпуска симки, или перехвата СМС. Да, это становится делать все сложнее и дороже, но тем не менее. Скрывайте номер в настройках Telegram, а для каналов создавайте отдельный аккаунт-«призрак» без личной информации.

Массовые жалобы. Вас добавляют в запрещенный чат, делают его владельцем, а затем кидают на него жалобы. После этого администрация блокирует ваш аккаунт. Решение: в настройках запретите незнакомцам добавлять вас в группы.

Накрученные каналы. Вы договариваетесь о рекламе в канале, а вместо подписчиков получаете ботов. А можно получить ботов и просто так. Всегда анализируйте графики просмотров тех каналов, с которыми собираетесь сотрудничать: резкие скачки и «красные метки» в сервисах аналитики — признаки накрутки.

Всё остальное. Да, помимо всего того, что описано выше, ваши каналы будут под угрозой каждый раз, когда кто-то покусится на вас личный Телеграм-аккаунт, если не принять нужные меры предосторожности. Ну а после того, как злоумышленник завладеет вашим аккаунтом и каналом, вариантов может быть много – от его продажи, до распространения запрещенной информации или рекламы собственных ресурсов и товаров.

Так что не расслабляемся. Ваша внимательность защищает не только вас, но и тех, кто вам доверяет — ваших подписчиков и друзей. Делитесь опытом (того, как вас пытались взломать), поддерживайте коллег (если их коснулась подобная беда), и пусть ваши каналы делают мир лучше — без стресса и утечек данных. И да пребудут с вами двухфакторная аутентификация и здравый смысл 👍

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

07 July 2025 08:21

Что делать и куда бежать, если ваш айфон взломали?

Если ваш телефон внезапно стал недоступен из-за чужого Apple ID и требует выкуп — не паникуйте. Нашли для вас короткую памятку, куда жать, кому писать и как защититься, чтобы не остаться с «кирпичом».

Забирайте, изучайте и шлите друзьям — вдруг пригодится 🍷

#полезное

Join our club Cult 👁

Пакет Безопасности

04 July 2025 14:00

Криптовалютный СКАМ

Недавно выкладывал ироничный пост про то, какие на Ютубе пишут комментарии. А до этого я вам показывал, какими сообщениями меня атакуют в директе.

Так вот, давайте разберемся, что же это такое, и почему не стоит заходить на чужой криптокошелек.

Заходы выглядят по-разному. У них разная легенда и способ входа на биржу или в кошелек. В первом случае нужна ссылка, логин и пароль, а вот кошелек нужно скачать и восстановить из секретной фразы.

Но по итогу вы попадаете в одну и ту же ситуацию. Перед вашими глазами достаточно привлекательный баланс, который вы можете вывести. Но есть нюанс.

Для того, чтобы вывести средства, вам нужно заплатить комиссию. А мир крипты устроен так, что иногда там нужно платить комиссию другой криптовалютой (это нормально).

Получается, чтобы сделать перевод, нужно пополнить баланс кошелька или аккаунта на символическую сумму (в районе 2,5 долларов) в нужной крипте, оплатить ту самую комиссию и забрать все деньги.

Думаю, что вы уже понимаете, что после пополнения кошелька, доступ к нему у вас пропадет. Это в лучшем случае. В худшем же случае, вы засветитесь в цепочке связей с кошельком злоумышленников и адрес своего кошелька им покажете (да, не критично, но в купе с другими данными на вас – может быть уже рискованно).

В общем, не важно, дядя из Нигерии, анонимный комментатор на Ютубе или бедолага из директа – не стоит гнаться за бесплатным сыром. Ну а продолжение поговорки сами знаете.

⚡ Пакет Безопасности | 😎 Security Club
🛍 Другие каналы

Пакет Безопасности

03 July 2025 17:55

Вакансии-ловушки

Обман соискателей – давно излюбленная игрушка у мошенников. Ведь человека, который нуждается в работе (да в чем-угодно), легче обмануть. На руку преступникам играет страх жертвы упустить хорошую вакансию: сделать что-то не так и не понравится работодателю. Все-таки на рынке труда еще очень много людей, которые ощущают себя в слабой позиции перед работодателем.

Собственно, давайте разберемся, как обманывают айтишников, которые ищут работу, связанную с разработкой или тестированием приложений на iOS, и не только.

Первым делом мошенники закупают рекламу в каналах (нормальных) и размещают вакансию (нормальную). Никаких “заработай 10 тысяч за полчаса, сидя дома на продавленном диване в трусах, зарабатывать могут даже школьники”. Со стороны предложение о работе выглядит настоящим: существующая компания, разумная зарплатная вилка. Это дает возможность размещать предложения на площадках, которым верят, например, у блогеров с лояльной аудиторией.

Итак, жертва видит соблазнительную вакансию с хорошими условиями в канале, которому доверяет, и откликается. Ее приглашают на собеседование. Дальше есть три варианта развития событий.

Первый вариант и он же самый свежий. Во время собеседования (а это дополнительный фактор стресса) жертве предлагают подтвердить свои навыки. Для этого просят выйти из Apple ID на своем устройстве и залогиниться в «корпоративный», якобы чтобы затем скачать корпоративное приложение и получить доступ к внутренним ресурсам. После входа жертвы в аккаунт мошенники меняют пароль от аккаунта и переводят устройство жертвы в режим “пропажа”.

Второй вариант. Соискателю предлагают выполнить тестовое задание, для которого нужно установить специальное приложение. Естественно, приложение с “начинкой” – вредоносом, который крадет данные или деньги из приложения банка.

Третий вариант используется давно и встречается уже реже. Мошенники могут предложить пройти обучение или сертификацию, чтобы начать работать. Конечно, за деньги. Оплатив “курс” соискатель получает пачку текстов от нейросети, а мошенники пропадают. Для получения сертификата жертве нужно перейти на фейковый сайт якобы сертификационного центра и оплатить документ.

Ну а про другие схемы уже писал тут и тут.

Так что всем ищущим работу желаю не терять бдительности. Никогда и ни при каких условиях не выходите из своего Apple ID по просьбе потенциального работодателя. Да и вообще ничего не делаейте лишнего со своими личными устройствами. Это абсолютно ненормальная практика и красный флаг. Всегда проверяйте вакансии: ищите официальные контакты компании и рекрутеров, не стесняйтесь писать/звонить им и уточнять любую информацию. Если что-то кажется странным – скорее всего, так оно и есть.

⚡ Пакет Безопасности | 😎 Security Club
🛍 Другие каналы

Пакет Безопасности

27 July 2025 11:55

Давно наш воскресный дайджест не был таким регулярным и стабильным, так что не не будем нарушать эту хорошую традицию и пройдемся по самому интересному за прошедшую неделю ⌨️

⚡ Самое важное – я наконец-то взял себя в руки и запланировал огромный розыгрыш в канале, анонс которого выйдет уже на следующей неделе, так что ожидайте. Спойлер – там будет аж 16 годных призов.

⚡ А еще я тут на днях интервью ребятам из МТС Линк на тему того, какие есть угрозы использования SaaS-решений и как снизить риски – ссылка

📄 По нашей Резюмешной, где все также продолжают ежедневно публиковаться ваши проверенные резюме, начали приходить положительные отзывы. Уже несколько человек (само собой, в анонимном формате) поделились со мной тем, что рекрутеры находят их резюме и предлагаю свои вакансии. Кажется, что план работает, как и задумывалось.

📋 В Пакете Вакансий выложил ту самую вакансию к себе в команду. Некоторые уже даже успели понаприсылать свои резюме.

👨‍🏫 В Менторстве ИБ один небезызвестный специалист из мира ИБ поделился с подписчиками тем, как стать крытым криминалистом из мира кибербеза.

⚡ В основном канале обсудили активность по киберпросвещению ребят из детских домов. Оказалось, что мир не без добрых людей и у нас уже сколотилась неплохая такая компания, а еще свою поддержку решили оказать даже некоторые вендоры, за что им большое спасибо. Скоро я сделаю чатик, где мы все и будем обсуждать и прорабатывать – ссылка

⚡ Поделился с вами еще новостями с рынка найма и советами по тому, как оставаться на коне даже во время его изменений – ссылка

Вот как-то так и живем.

Пакет Безопасности

25 July 2025 14:18

Новые реалии рынка найма или как повысить свою стоимость

Несмотря на то, что сезон найма немного притормаживается на летний период (отпуска, шашлыки и пляжи важнее), собеседоваться, как вы понимаете, никто не переставал. И вот, в чем я окончательно убедился. Рынок ИБ в СНГ уже достаточно развился и массовый найм начал сильно проседать. На его место пришел найм точечный. Что же это значит.

Суть в том, что специалисты, знающие, что такое WAF, из чего состоит модель OSI или OWASPtop10 – уже никому особо и не нужны. Причина банальная – их просто стало слишком много. Набирать себе команду из 5-10 безопасников, каждый из которых просто знает базу – перестало быть эффективным.

Теперь рынку нужны безопасники, повидавшие тяготы внедрений, траблшутинга, решения комплексных задач и имеющие опыт с нишевыми технологиями или процессами. Такое было с глобальным рынком IT, теперь эта волна дошла до нас, и это нормально, просто надо уметь с этим правильно работать. Причин тут много – от сокращения ресурсов и неэффективных продуктов/направлений в компаниях, до прогретости рынка джунами, которые уже зазубрили все типовые вопросы и ответы.

Таким образом давно живет и нанимает мировой бигтех (MAANG и иже с ним). Называется это либо точечным, либо бутиковым наймом. Он требует чуть больше ресурсов, но по итогу дает сильно больше эффективности, если компания знает, куда пристроить человека с конкретными навыками. Компании при этом готовы переплачивать за таких специалистов, а после этого и удерживать их всеми силами.

Как же, собственно, с этим работать. Если коротко, то нужно учиться решать узкопрофильные и сложносочиненные задачи. Но не любые, а те, которые болят у большинства игроков на рынке. Как о них узнать? Ну тут, как мне кажется, есть несколько путей:
- либо погрузиться в профильное инфополе и чаты, выуживая оттуда самые часто обсуждаемые и холиварные темы;
- либо покопаться на Хабре/Медиуме/формах/СтакОверфлоу/"свой вариант" и поискать там нерешаемые и волнующие сообщество проблемы;
- либо проходить собеседования и обращать внимание на то, о чем чаще всего спрашивают, какие кейсы дают, да и в целом задавать интервьюерам вопросы, которые смогут вывести на нужную информацию.

Что такого интересного заметил я. Рынку точно нужны люди, которые:
- знают, как строить безопасные приватные облака;
- умеют разговаривать с бизнесом на одном языке, доносить ценность ИБ и закрывать все эти вопросы "под ключ";
- понимают, как строить Х (это может быть SOC, безопасный конвейер, VM) внутри компании, чтобы слезть с дорогой иглы вендора;
- имеют опыт работы с узконаправленными или новыми технологиями – LLM, GenAI, обработка голоса и телеком-технологии, IoT, Cloud-native, XR (VR/AR/MR).

Какая же за это награда? За вас будут готовы переплачивать, и у вас практически не будет конкуренции в тот момент, когда вы попадёте своими навыками/опытом в боль потенциального работодателя. Вас буквально оторвут с руками.

Итого – сейчас на рынке котируется узкая специализация, а не широкая; массовый подбор потихоньку начинает уступать точечному; теперь нужно учиться решать сложные, конкретные и не самые очевидные задачи; искать работу за большие деньги стало чуть сложнее, но точно интереснее; рынок ИБ продолжает развиваться; зарплаты продолжают расти, но теперь уже не глобально, а точечно; будущее за специалистами, которые берутся за сложносочиненные задачи, а не просто осваивают общую базу.

Вот как-то так. Всем мир.

👨‍🏫 Менторство ИБ | Чат

Пакет Безопасности

23 July 2025 17:55

Алло, это Позитив

Только недавно мы обсуждали новые схемы мошенничества через поддельные вакансии и вот на сцене СКАМа появилось что-то из этой же оперы. Сам я с таким пока не сталкивался, поэтому материал частично опирается на слова одного доброжелателя, который и поделился со мной своей историей. И важный момент – нацелена схема именно на безопасников.

Начинается все очень интересно – со звонка/сообщения/письма якобы от известных ИБ-компаний: Positive Technologies, Касперский, BIZОNE и т. д. Вежливо представляются и говорят, что проводят опрос для улучшения своего продукта Х. А дальше включается магия: «Вы ведь работали в N-компании в кибербезе? Занимались КИИ и сетями?».

И пока вы ловите теплый вайб признания от «коллег», вас уже раскручивают по методичке:
– какие стоят продукты;
– какие были атаки;
– как их отражали;
– где слабые места у вашей защиты (что бы вы хотели усилить или улучшить);
– какой бюджет был заложен.

Работает это просто: мошенники используют базы с резюме, прикрываются авторитетом бренда и не дают времени задуматься. Вы вроде просто делитесь мнением, а на самом деле кормите чужую разведку.

Что с этим делать (профдеформироваться!):
– не верьте на слово бренду, настоящие кастдевы/интервьюеры не задают вопросы про инфраструктуру и бюджеты;
– если чувствуете давление и слишком настойчивые вопросы, прочие манипулятивные техники – бросайте трубку без угрызений совести.

В общем, времена меняются и мошенники эволюционируют. Пока ИБ-отдел раздает наклейки «Никому не сообщай пароль», сам ИБ-специалист может слить архитектуру сети первому позвонившему «коллеге». А потом мы удивляемся, откуда у атакующих такая точность. А они просто вежливо спросили 😐

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

21 July 2025 19:27

У меня тут появилась идея – организовать и реализовать какой-нибудь ИБшный просветительский движ для ребят из детских домов. Нет, не ради пиара, продажи чего-то по типу менторства, и уж точно не ради поощрения или социальной валидации. Ради какого-то общего блага что-ли, не знаю, как описать, у меня в целом и нет ответа на этот вопрос.

Есть у кого-то из вас есть идеи, как это можно сделать, в каком формате это может быть полезно и какую информацию можно донести до ребят, то накидывайте идеи в комментариях или можете написать мне в личку – @romanpnn

Если у вас есть опыт подобного дела, какие-то связи или выходы на те самые детские дома, то тоже вэлкам, потому что у меня такого опыта нет.

Пакет Безопасности

20 July 2025 16:47

А че, Яндекс Го упал?

Пакет Безопасности

19 July 2025 09:20

Шёл шестой день осады Трои с момента взлома Винлаба…

Пакет Безопасности

17 July 2025 17:55

Секонд-хенд твоих данных

Когда слышите про очередную утечку, не думайте, что все заканчивается на «взломали – утекло». Это только завязка. Настоящее начинается потом, когда ваши данные превращаются в товар, получают ценник в Monero (это такая крипта, популярная у хакеров) и уходят в плавание по даркнету.

Вот интересная статья, показывающая, как выглядит жизнь украденных данных после утечки:

- как и где их продают (спойлер, не только в даркнете);
- кто скупает (иногда это сами жертвы утечки);
- какие механики доверия и безопасности существуют у киберпреступников;
- что оценивается обычно в $150, а что – в $20.

Забавно, но факт – у киберпреступников все по-честному. Есть отзывы, гаранты, репутация продавца. Только вот торгуют они не кроссовками, а вашими данными.

И да, так уж получилось, что даркнетами в наше время пользуются далеко не только преступники, но и спецслужбы, и даже жертвы преступлений.

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

15 July 2025 17:55

Security by Obscurity

Представьте: вы прячете ключ от офиса под цветочным горшком на этаже. Дверь закрыта на замок, и вы надеетесь, что никто не догадается искать ключ рядом. Другой пример: в поездке президента сопровождает несколько машин – так, никто не знает точно, в которой из них едет глава государства. Это и есть Security by Obscurity – попытка защитить что-то ценное не за счет надежных механизмов, а за счет секретности или сложности обнаружения. Собственно об этой кибербезопасной концепции мы сегодня и поговорим.

Принцип Security by Obscurity подразумевает, что любая информационная система безопасна до тех пор, пока уязвимости остаются скрытыми. Эти лазейки в безопасности системы должны оставаться неизвестными для всех, кроме определенного круга лиц, например, разработчиков и архитекторов или как в случае из первого абзаца поста – только для сотрудников офиса.

В практическом кибербезе этот подход может быть реализован по-разному. Можно использовать обфускацию кода, вместо понятных имен переменных использовать случайные символы, скрыть названия внутренних систем или использовать неочевидные пути доступа к данным, например, через промежуточные идентификаторы и системы-прокладки.

В обычной жизни мы тоже часто полагаемся на неочевидность: прячем файлы в папке с невинным названием ☕, используем псевдонимы и не указываем телефон в соцсетях (но используем ФИО и номер везде при регистрации, да).

Главная опасность Security by Obscurity – ложное чувство безопасности. Когда вы верите, что спрятанное = защищенное, вы можете игнорировать реальные меры: сложные пароли, двухфакторную аутентификацию или своевременное обновление ПО. Если злоумышленник целенаправленно ищет лазейку, Security by Obscurity его не остановит. Хакеры же используют автоматизацию, сканеры, ботов и социнжиниринг, чтобы быстро находить "спрятанные" слабости.

Из-за этого в среде ИБ давно сложилось мнение, что "безопасность через неясность – это плохо". Так ли это на самом деле? Если вы хотите защитить свою систему только с помощью Security by Obscurity, то, очевидно, что это плохая идея: если "секрет" раскроется (а это вопрос времени), защита рухнет мгновенно. Настоящая безопасность – это слои, как матрешка (ну вы поняли). Obscurity – лишь один из них, который помогает снизить вероятность взлома.

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

13 July 2025 11:12

А вот и воскресный дайджест!

⚡ Отметили юбилей в канале по 👨‍🏫 Менторству ИБ – через нас прошло уже больше 100 менти!

⚡ Наш с вами 😂 Пакет Мемов пробил 10 000 подписчиков, а это значит, что настало время идти регистрировать его в РКН

⚡ В 🗓 Пакете Мероприятий послетали ссылки в моем любимом календаре из-за ограничений Телеграма (да, новости бывают не только хорошие). Так что теперь буду думать, как это чинить

⚡ В 😈 Культе Безопасности вышла крутая коллаба с оффлайн-фестивалем «Вкуса Лета»

⚡ Я наконец-то домонтировал и выложил ролик "Менторство VS Онлайн-образование", так что айда смотреть, если еще не видели

⚡ Тут у меня сгорело на очередной анонимный мессенджер – ссылка

⚡ А здесь мы узнали, что Gemini теперь будет анализировать наши открытки в Вотсапе – ссылка

⚡ Еще на этой неделе прошел наикрутейший и вайбовый митап Assume Birch, где фортуна в очередной раз решила мне подарить двойную победу в бинго (подтверждение на фото)

Вот как-то так прошла эта неделя 🤨

Пакет Безопасности

10 July 2025 10:20

Менторство VS Онлайн-образование

Собрались как-то ментор и руководитель курсов из одной крупной платформы онлайн-образования. Нет, драки не случилось, зато случился очень интересный и продуктивный разговор на тему высшего образования в ИБ, самообразования, менторства и того самого онлайн-образования.

Что же мы там такого успели обсудить. На самом деле много чего – от того, нужен ли диплом о высшем образовании ИБшнику и что выпускникам делать после ВУЗа до того, какая роль онлайн-образования и менторства в построении карьеры и что выборать тем, кто собирается войти в кибербезопасность.

Ссылки на видео:
- 📹 YouTube
- 📺 VK Video
- 📺 Rutube

Почему Рутьюб решил так надругаться над цветокором я так и не понял, но благо там эти видео особо никто и не посмотрит.

👨‍🏫 Менторство ИБ | Чат

Пакет Безопасности

09 July 2025 17:55

Напоминаю кстати про навигацию и другие проекты для всех новоприбывших или заблудившихся – ссылка

Навигация по вводным и полезным постам

- Интро
- О канале
- Об авторе
- Рубрики
- Подборки
- Спустя 2 года

🙄Мой личный микроблог – ссылка
⚡ Пакет Безопасности – ссылка
👨‍🏫 Менторство ИБ – ссылка
😈 Культ Безопасности – ссылка
🧠 Пакет Знаний – ссылка
🗓 Пакет Мероприятий – ссылка
📋 Пакет Вакансий – ссылка
😂 Пакет IT-Мемов – ссылка
🤖 Кибербот – ссылка

Пакет Безопасности

07 July 2025 17:57

Не опять, а снова

Практически во всех около-ITшных Телеграм-каналах сегодня завирусилась новость (раз и два) про НОВЫЙ АБСОЛЮТНО АНОНИМНЫЙ мессенджер, который позволяет общаться по BLUETOOTH! И имя этому творению – Bitchat.

Судя по всему, кто-то в очередной раз откопал труп этого опенсорса и решил подарить ему еще одну (которую уже?) жизнь. В этот раз за некромантию взялись, как это сейчас модно говорить, выходцы из бывшего Твиттера (все мы своего рода выходцы из Твиттера), навалили немного стиля в виде терминальной черно-зеленой темы и немного маркетинга. Так на этот инфоповод наткнулся кто-то из новостников и пошло-поехало. Ну а что еще нужно людям.

Эволюция ли это? – Нет, этой технологии уже сто лет в обед. Уникальная ли это разработка? – Нет, на гитхабе этого гремучего блютузного опенсорса хоть завались. Сделали ли они что-то новое, что способно оживить эту концепцию? – Нет. Действительно ли это безопасно? – В какой-то степени да, но жить без интернета тоже безопаснее, чем жить с ним.

В общем – не они первые, не они – последние. Мы кстати уже обсуждали эти мессенджеры в этом канале аж 2 года назад, можете почитать – ссылка. На этом у меня в общем-то все. Занавес.

⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты

Пакет Безопасности

06 July 2025 12:42

А вот и он – воскресный дайджест. Решил вас не беспокоить в этот раз его отсутствием, так что погнали сразу к делу. А еще давно у нас что-то открыток не было, так что ловите.

⚡ Я тут продолжил постить всякое образовательное в канал по 👨‍🏫 Менторству ИБ, а еще там уже стабильно большье 1к человек

⚡ В 📄 Резюмешной всё еще аншлаг по заявкам, которые я постепенно разгребаю. Очередь из резюме уже кстати на 2 недели вперед расписана

⚡ В 🧠 Пакете Знаний вышла локализация забавного комикса по OWASP TOP 10 – ссылка

⚡ Не забываем проверить, насколько сильно вы выгорели и поделиться этим в нашем 😎 Security Club

⚡ Не забываем, как правильно безопасно собеседоваться – ссылка

⚡ А, ну и про 🗓 Пакет Мероприятий не забывайте с его уникальным календарём по всем ИБшным оффлайн-событиям.

⚡ Там у ребят с OFFZONE уже меньше, чем через неделю закрывается приём заявок на доклады, так что если хотели рассказать что-то сокровенное всему комьюнити – поспешите

Пакет Безопасности

04 July 2025 13:00

❗️Внимание!

🥷 "Поле битвы – Telegram" - новый курс лекций от экспертов Клуба Кибердеда


О чем курс?

🌐 Telegram – кроссмедиаплатформа, являющаяся ареной для различных информационных атак. Как и с помощью каких инструментов это происходит? Как выглядит внутренняя кухня редакций? Расскажем и покажем на семинаре.


Вы научитесь:
🔹Защите от дезинформации и социальной инженерии; 
🔹Распознавать скрытые манипуляции в контенте, новостях и сообщениях;
🔹Использовать Telegram безопасно и эффективно;
🔹Разбираться в арсенале влияния: мемы, боты, ИИ;
🔹Научитесь лучше понимать и использовать ИИ и многое другое.

❗Отдельная лекция: безопасность детей в цифровой среде. Разберем актуальные угрозы, "без воды".
🔹Так же вас ждёт большой блок по аналитике соцмедиа и OSINT в Telegram.
🔹Инструменты для аудита инфополя, разбор реальных кейсов и сеток каналов. 


Кто ведёт?

Опытные практики-специалисты по информационной безопасности, защите репутации и манипулятивным соцмедиа технологиям.  


Для кого подходит данный семинар? 

Для всех, кто пользуется Telegram и соцсетями – неважно, новичок вы или профессионал. 


🎁 Каждый участник после прослушивания курса лекций получит сертификат и подарок - фирменный мерч от Клуба Кибердеда

Скидка 20% для: 
- Участников СВО и их родных 
- Пенсионеров 
- Многодетных семей
- Студентов
За скидкой обращаться: @alextro_zaia 

📌 Записаться и узнать подробности: https://kiberdedclub.getcourse.ru/page4


Не упустите шанс разобраться в цифровых угрозах и научиться защищать себя и близких!

Пакет Безопасности

03 July 2025 16:55

Первая в России TPRA-платформа от CICADA8

Компания CICADA8 запустила первую в России интерактивную карту кибербезопасности поставщиков и дочерних организаций. Такое решение поможет определить "рисковых" и "безопасных" поставщиков и принять взвешенное решение до подписания договора.
Платформа показывает рейтинг защищенности от 0 до 10 и детализирует параметры, если обнаружит проблемы безопасности.
Рейтинг формируется по главным направлениям:
- Внешние потенциальные узявимости
- Внешние сетевые недостатки
- Потенциальные внешние утечки

Проверить первые 3 организации можно бесплатно
Отправить заявку