21391
Авторский канал, где всё полезное из мира IT и ИБ, а также мнение автора сквозь призму кибербеза, аккуратно сложены в Пакет Безопасности. Вопросы – @romanpnn Реклама – @romanpnn0 или telega.in/channels/package_security/card Реестр: clck.ru/3FsiMj
Видели кстати, какая интересная фича есть в китайской нейронке Qwen?
Персуху этого парня то мы замазали, но там порой и женщин просят раздеть, и узнают, как провезти в страну Х сахар, в которой сахар запрещен законом, и генерируют себе поддельные документы. В общем, издеваются над молодой нейронкой как могут.
Ну а вы внимательнее читайте условия использования ваших данных в ИИ-сервисах и не делитесь с кем-попало своими чатами.
Всем мир.
Тест на параноика кибербезопасника
Сегодня будет немного гиковский пост, в котором мы поговорим о фигуре, без которой невозможно представить современную IT-индустрию. Ричард Столлман известен не просто как гениальный инженер-программист, а как создатель целой философии свободного программного обеспечения (Free Software). В общем, погнали.
Вспоминаем матчасть:
Столлман запустил проект по созданию полностью свободной Unix-подобной операционной системы (GNU). Стал автором множества важных компонентов, которые легли в основу не только операционной системы GNU/Linux, но и всей современной интернет-инфраструктуры. На основе разработанных им инструментов было положено начало развитию Linux, что затем косвенно легло в основу таких гигантов, как Android, облачных сервисов Amazon и большинства крупных компаний.
Держи гаджеты в чистоте, а кукуху – в спокойствии
Сначала смотрим статистику: 57% российских пользователей признаются, что испытывают усталость от непрерывного потока уведомлений и нахождения в сети. (И это только среди тех, кого опросили).
Потом осознаем один важный факт – мы перегружены огромным количеством информации и раздражителей, которые мозгу приходится обрабатывать ежедневно. Когда работаешь перед большим экраном (или двумя? или тремя?), а отдыхаешь – перед экраном поменьше, сложно не засвистеть флягой.
Самые рабочие методы решения этой проблемы – «цифровая гигиена» и «цифровой детокс». Кстати, эти термины часто путают, хотя по сути это разные вещи. Разберем по-простому 👇
Цифровая гигиена (Digital Hygiene) – это регулярные привычки, направленные на поддержание ваших устройств и аккаунтов в «чистом» и безопасном состоянии. Обновить пароли, удалить ненужные приложения, установить апдейты, проверить разрешения – по сути, как регулярная уборка квартиры. Так мы чистим память устройств, снижаем риски взломов и утечек, а также убираем из поля зрения лишние пуши и уведомления.
Цифровой детокс (Digital Detox) – это период полного или частичного отказа от использования гаджетов и интернета. Выключить уведомления, убрать телефон в ящик, не заходить в соцсети – вроде как съездить в отпуск или на природу, чтобы подышать свежим воздухом. Так мы снижаем тревожность и восстанавливаем ментальный ресурс.
Важно то, что одно почти бессмысленно без другого. Соблюдать цифровую гигиену без детокса – это как жить в идеально чистой квартире, но никогда оттуда не выходить. А детокс без гигиены – это как съездить в отпуск, а потом вернуться и снова устать из-за бардака.
В общем, держите небольшой чек-лист, с чего можно начать путь воина релакса:
1. Тишина по расписанию
Настройте автоматические режимы «Не беспокоить» или «Фокус» (на iOS и Android) на ночь, а также на первый час утром и последний перед сном. Это поможет справиться с привычкой засыпать и просыпаться с телефоном в руках. Никуда ваши входящие не денутся, а вы попьете кофе в тишине.
2. Аудит приложений
Откройте настройки и отсортируйте приложения по дате последнего использования. Весомая часть взломов происходит через веб и мобильный софт, а каждое «спящее» приложение – потенциальная мишень. Удаляем все, чем не пользовались больше 3 месяцев (и что можно будет скачать обратно при необходимости). А заодно можно отключить уведомления в тех приложениях, в которых они не особо нужны. А заодно можно и удалить свои аккаунты в тех приложениях, которые вы удалили.
3. Проверка разрешений
Зайдите в раздел разрешений и отключите доступ к микрофону и геолокации для всех приложений, где это не является необходимой функцией. Так вы защитите свой гаджет от рекламного отслеживания и назойливых пушей.
4. Двухфакторность без SMS
Замените SMS-подтверждение на коды из аутентификатора (Google/Microsoft/Яндекс). Это надежнее: SMS могут перехватить, а динамический код привязан к вашему устройству. Так вы снимите лишнюю тревогу по поводу взломов.
5. Еженедельная отписка
Раз в неделю массово отписывайтесь от рассылок, чатов и групп, которые не открывали больше двух месяцев. Чем меньше подписок – тем тише почта и мессенджеры.
6. Чек активных сессий
Раз в месяц заходите в настройки безопасности Google, Apple ID, Telegram, соцсетей и просматривайте список устройств, где вы авторизованы. Если видите незнакомое – тут же завершайте сессию и меняйте пароль.
7. Уборка визуального шума
Подробнее о том, как избавиться от навязчивых рекламных баннеров, рассказывал в одном из прошлых постов.
Какие привычки еще внедряем? Обсуждаем в комментах 👇
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
А вот и он, воскресный дайджест!
Я лично нахожусь в шикарнейшем отпуске, чего и вам советую. Но активность в каналах и проектах на месте не стоит, поэтому давайте смотреть, чего там интересного за неделю произошло.
🧠 В Кибер ПТУ, помимо самых полезных и прикладых постов в вашей жизни, вы могли заметить анонс стрима, который пройдет уже на ближайшей неделе – ссылка
📹 На нашем ютуб-канале вышел новый выпуск безымянного подкаста с кибербезопасниками – ссылка
⚡ Разобрались с вами, как реклама в интернетах постоянно узнает, что нас действительно волнует – ссылка
👨🏫 Ну а в канале по Менторству ИБ узнали, как проверять будущих работодателей и научиться не бросать начатое – ссылка
Вроде ничего не забыл, поэтому погнали отгуливать мой отпуск дальше. Всем мир.
На Альфа-Саммите поговорили про кибербезопасность. Пока ситуация невеселая (внезапно, да?): свои фундаментальные проблемы с ИБ есть и у зрелых, и у молодых компаний.
Согласен с идеей Михаила Книгина из ИТ-холдинга Т1, которая будет актуальна и тем, и другим: «Латать дыры бесполезно — фокус нужно концентрировать на критических бизнес-процессах» — то есть смотреть не на бреши в безопасности, а на приоритетные цели для защиты.
Опытным компаниям нужно проводить харденинг инфраструктуры (после того, как они ее всю вытащат из шедоу ИТ): разобраться в своем легаси и укрепить защиту заранее.
Новичкам же нужно сразу выстраивать ИТ-инфраструктуру с участием ИБ-специалистов, проектировать системы и ставить ТЗ с учетом реальных задач кибербеза и не думать, что оно как-нибудь само образуется. Да, дорого, да не до этого, но надо.
Участники сессии еще отметили, что бизнес часто не понимает, насколько зависит от цифры. Главная ошибка компаний — быстро цифровизировать процессы, не думая, что произойдёт, если один из них остановится.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
⚡ Пакет Безопасности x 😎OZON
Мы это сделали. МЫ ЗАПИСАЛИ ДЛЯ ВАС НОВЫЙ ВЫПУСК НАШЕГО ПОДКАСТА, название которого мы все еще не придумали.
https://youtu.be/oZJS4plc_e8
https://youtu.be/oZJS4plc_e8
https://youtu.be/oZJS4plc_e8
В этот раз мы собрались с нашими старыми приятелями, которые сейчас строят кибербез в ОзонТехе. Насмеялись мы где-то на полгода вперед, но по дороге мы успели обсудить, какие у кого были инциденты, как выглядит безопасность с человеческим лицом, а еще, столько получал Тимофей на своей первой работе еще в далеком 2013 году.
В общем, погнали смотреть
📹 Youtube
📺 VK Video
#КиберМем
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
Дааааааааааааайджест
Давно его не было, поэтому давайте смотреть, чего там у нас интересного произошло не только за прошлую неделю.
⚡ Разобрались, что в итоге вам делать с вашим цифровым следом – ссылка
⚡ Поняли, как работают куки на сайтах и кому вообще нужна эта надоедливая всплывашка – ссылка
📹 Вышел ролик с ультимативным гайдом по тренажерам и CTF для кибербезопасников.
📹 Еще вышел долгожданный мок-собес по направлению Application Security + в работе еще несколько моков по этой специальности для разных грейдов.
📹 Ну а на следующей неделе выйдет новый выпуск нашего подкаста.
👨🏫 Еще на этой неделе провел вебинар для Школы 21 от Сбера с разбором рынка кибербезопасности, поэтому в канале тоже скоро появится этот ролик.
📄 Я наконец-то разобрал очередь из порядка 50 заявок от рекрутеров и кандидатов в Резюмешную. Туда правда навалилось еще около 10 заявок, поэтому в ближайшие дни займусь и ими.
Ну и фоточки ловите.
SIEM без логов — деньги на ветер
Думаю, здесь для многих не секрет, что компании часто вынуждены удалять логи ИБ (это те, которые нужны для фиксации событий безопасности, да), потому что их тупо негде хранить.
Если вас от этого факта передернуло, то это нормально. Казалось бы, SIEM-системы стоят у 80% крупных российских компаний. Но, как говорится, есть нюанс: иметь SIEM и эффективно его эксплуатировать — это две абсолютно разные вещи.
Так вот, ребята из Yandex B2B Tech вместе с «Кибердомом» выкатили большое совместное исследование рынка SIEM, и цифры там, мягко говоря, заставляют задуматься.
Давайте посмотрим на основные проблемы:
1. Ограничение хранения данных. Около 60% компаний хранят события безопасности не дольше 6–12 месяцев. Причина банальна — on-premise решения жрут столько ресурсов, что масштабировать их становится экономически больно. А теперь представьте, что вы расследуете сложную APT-атаку с длительным жизненным циклом. Нужны ретроспективные исторические данные, а их нет. Занавес.
2. Бесконечные фолсы (или фолзы, ну вы поняли). 43% опрошенных тонут в ложных срабатываниях. Избыточный поток алертов просто выжигает спецов в SOC, отвлекая их от расследования реальных инцидентов.
3. Высокая стоимость и кадровый голод. Треть компаний (33%) жалуется на конскую стоимость владения (TCO), которая стопорит развитие новых сценариев. И еще треть отмечает жесткий дефицит квалифицированных спецов — настраивать правила корреляции просто некому.
И как дальше жить? Эксперты говорят, что рынок логично отползает от классического «просто собираем события» в сторону управляемой аналитики. Все смотрят на SaaS-модель SIEM, которая позволяет легко масштабироваться и использовать встроенные ИИ-инструменты для уменьшения тех самых ложных срабатываний. Искусственный интеллект вас, конечно, не заменит, но проверку гипотез ускорит знатно, как два шота эспрессо с утра.
В общем, если вы тоже ломаете голову над тем, как не разориться на SIEM и облегчить жизнь своему SOC, категорически рекомендую почитать полные результаты исследования вот тут – ссылка
Ну вот и всё, всем петабайты свободного места на диске.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
#КиберМем
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
Мне тут нашептали про схему с оверпрайсными детскими игрушками на WB и Ozon, через которые точечно сбывают запрещенные вещества и прочие вещи.
Берут дешевую игрушку, пихают в неё всякое, упаковывают, выставляют карточку товара с ней и ценником в разы больше нормы, чтобы окупить цену того, что внутри. Через даркнет или чат кидают просто ссылку на этот товар, и заказчик покупает это через официальный маркетплейс и фулфилмент.
Кто-то из вас видел какое-нибудь расследование или разбор этой темы?
Ультимативный гайд по тренажерам и CTF для кибербезопасников.
https://youtu.be/7Cb8pIB8Qv4
https://youtu.be/7Cb8pIB8Qv4
https://youtu.be/7Cb8pIB8Qv4
Платные и бесплатные. Известные и нишевые. Симуляторы и CTF. Для атаки и для защиты.
Быстро, с мемами, без воды и с разбивкой на защиту, атаку, реверс, криптографию и прочие направления. В общем, погнали смотреть.
📹 Youtube
📺 VK Video
📺 Rutube (а оно вам надо?)
👨🏫 Менторство ИБ | Отзывы
Что? Правильно – ИБТУСА
В общем, мы с вами стали не просто партнерами, а генеральными медиа-партнерами одной летней тусовки для начинающих кибербезопасников.
Пляж, CTF-автоматы, неформальные доклады, нетворк, квиз и все, что только нужно для того, чтобы вы смогли наконец-то надеть ваши яркие плавки и пожариться под летним солнцем в приятной компании 🏝
На самом деле просто хочется, чтобы подобных мероприятий для начинающих ребят было только больше. Места, к сожалению, ограничены, поэтому скорее отправляй свою заявку в этого бота – @ibtusa_bot
И SPF3000 кстати не забудь 😎
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
Blue и Red Team сверяют компасы 🧭
К2 Кибербезопасность объединит команды на офлайн-митапе для тех, кто хочет выйти за рамки привычных задач и взглянуть на защиту с противоположной стороны.
Обменяемся опытом в кругу своих, обсудим факапы и разберем:
✅ Как подготовиться к инциденту так, чтобы во время атаки не пришлось действовать вслепую
✅ Что на самом деле происходит «в полях» пентеста: где ожидания расходятся с реальностью, почему это не «скрытный обход SOC» и к чему приводит внедрение ИИ
Я устал
Устал искать себе чехол для телефона. Посоветуйте нормальный чехол для айфона.
Желательно хорошего качества и чтобы не стоил 100 долларов, как питака из дорогущего арамидного волокна.
ПСБ, присылайте лучше сразу оффер на почту.
Вот эти все танцы с обработкой ПДн уже прошлый век.
P.S. Нет, я не откликался на их вакансии, не общался с рекрутерами и даже мимо отделения не проходил.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
Мне вот интересно, который раз уже взламывают каналы Ксении Анатольевны?
P.S. Верим во взлом через почту или в более реалистичный сценарий про разлад в команде?
Где этой осенью будут обсуждать ИТ не в теории, а по-настоящему?
На IT Elements 2026 — конференции для инженеров, архитекторов, безопасников и руководителей технических команд, которые отвечают за устойчивость критических ИТ-систем бизнеса.
Здесь не пересказывают тренды и не показывают “идеальные схемы”. Здесь разбирают, как в реальности строят инфраструктуру, мигрируют с иностранных решений, защищают системы, восстанавливают сервисы после инцидентов и обеспечивают работу ИТ под нагрузкой.
Что ждет участников:
📌 реальные инженерные кейсы из крупных компаний;
📌 лаборатории, технические воркшопы и практические разборы;
📌 дискуссии про отказоустойчивость, безопасность и эксплуатацию;
📌 общение с инженерами, архитекторами и ИТ/ИБ-руководителями.
Формат: офлайн в Москве и онлайн.
Участие бесплатное.
Регистрация уже открыта — оставляйте заявку на сайте конференции.
Дай человеку рыбу, и он будет сыт один день. Погугли один раз про рыбу – и будешь видеть рекламу рыбного магазина всю жизнь. (с)
Ситуация, знакомая каждому – вы заходите на сайт посмотреть, сколько стоит пара кроссовок, а потом еще неделю видите рекламу этих кроссовок на других сайтах и в ваших соцсетях. Или еще более бессмысленный сценарий: вы уже купили себе кроссовки, а вас еще неделю продолжают кошмарить рекламными баннерами.
Этот эффект называется таргетированной (или поведенческой) рекламой. Это не слежка в прямом смысле слова (нет никакого человека в наушниках, который подслушивает ваши разговоры, правда же?), а работа алгоритмов, которые связывают ваши действия в интернетах в единую цепочку.
В догонку к предыдущему посту про куки решил разобрать чуть подробнее, как работает реклама в интернете, и как мы становимся видимыми для рекламных сетей:
1. Куки или пиксели
Когда вы заходите на сайт (возьмем для примера те же кроссовки) и нажимаете «Принять все», этот сайт оставляет в вашем браузере небольшой файл-метку. Теперь ваш браузер помечен условной маркировкой: «Пользователь Вася интересовался кроссовками». И с этой информацией рекламные площадки начинают активно взаимодействовать.
2. Единый профиль по ID
У каждого браузера и смартфона есть уникальный рекламный идентификатор (IDFA на iOS, GAID на Android). По сути – это ваш цифровой потребительский портрет. Когда вы ищете товар в Google, а потом заходите на Ютуб или ВК, рекламная сеть (Google Ads или VK Реклама) видит, что это один и тот же пользователь. Она просто соединяет две точки: поиск и ленту соцсети. И бомбит вас предложениями товаров и услуг, которые по мнению алгоритмов могут быть вам интересны.
3. Ретаргетинг (самая частая причина)
Магазин, где вы смотрели товар, платит рекламной сети, чтобы та показывала объявления именно тем, кто уже был на их платформе, но ничего не купил. В маркетинге это называется «догнать клиента». Поэтому вы повсюду видите рекламу одной конкретной пары кроссовок, которую однажды изучали на сайте.
4. Связка устройств и аккаунтов
Если вы искали товар со сматфона, а рекламу видите на ноутбуке – это логично. Вы залогинены в один Google-аккаунт или один аккаунт соцсети на обоих устройствах. Алгоритм знает, что это один человек, и синхронизирует историю.
5. Контекстная реклама (поисковая)
Когда вы гуглите «кроссовки», поисковик понимает ваше намерение прямо здесь и сейчас. Даже если вы просто искали картинку. Даже если у вас нет куков от магазинов. Система будет показывать вам рандомную рекламу магазинов обуви, пока ваш «поисковый запрос» еще горячий. Контекстная реклама отличается от таргета тем, что ей без разницы, кто вы и чем увлекаетесь. Погуглили фото кошки – получите объявление с Авито с милыми котятами.
Что можно с этим сделать?
Если вы не хотите бесплатно раздавать свои персональные данные, то можно отключить в браузерах и на устройствах персонализированную рекламу. В этом случае реклама на сайтах все равно будет, но рандомная.
А если вас в целом не привлекают всплывающие баннеры - Adblock вам в помощь. И еще пачка полезных расширений, которыми я делился в этом посте.
И ради всего святого, почистите уже историю браузера.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
76% кибератак направлены не на кражу данных, а на остановку бизнеса
Что делать, если инфраструктуру компании завтра зашифруют? Ответы — в новом исследовании от «Инфосистемы Джет», основанном на опыте расследования, реагирования и ликвидации более чем 100 крупных инцидентов за 2023–2025 годы.
В исследовании:
▫️почему шифрование и разрушение инфраструктуры остаются основными сценариями атак
▫️какие техники используют злоумышленники, чтобы дольше оставаться незамеченными
▫️какие недостатки инфраструктуры чаще всего приводят к успешным атакам
▫️практические рекомендации по повышению киберустойчивости и восстановлению после атак
🔹Подробности в исследовании
«Мы не делаем разницы между кодом, написанным человеком, и кодом, сгенерированным ИИ. Контроль за качеством и безопасностью один», — рассказывает Алексей Черномазов, директор по информационной безопасности Лемана ПРО.
Вместо запретов на нейросети компания строит «бастион» с искусственным интеллектом, где не только безопасно, но и удобно работать.
Подробнее о тренде на развитие ИИ, метриках измерения эффективности ИБ и построение собственного security operations center Алексей рассказал в интервью партнеру Kept, руководителю практики кибербезопасности Илье Шаленкову.
🟣 Полную версию интервью смотрите в VK Видео или читайте на портале Kept Mustread.
Страшилки про сертификаты
Скинули мне тут пост с громким разоблачением: мол, Яндекс Браузер втихую пихает корневой сертификат Минцифры (Russian Trusted Root CA) прямо в системное хранилище Windows. И вывод там такой, что теперь любой провайдер расшифрует ваш HTTPS, перехватит пароли и куки, а вы даже предупреждения не увидите. Сначала я просто подорвался в комментариях нашего чатика, а потом уже решил расписать все это дело в посте.
Если в двух словах, то оно так не работает. Ключевая ошибка автора – он смешал в одну кучу две разные вещи: системный trust store винды и изолированное хранилище доверия внутри браузера. Это не одно и то же, и вся «сенсация» рассыпается ровно на этом месте.
А теперь на архитекторском и не в двух словах:
1. Браузер не лезет в системное хранилище ОС. Яндекс Браузер не вносит изменения в системный список доверенных корневых сертификатов Windows и не трогает PKI-модель операционки. Национальные сертификаты живут как отдельный, изолированный trust domain внутри самого браузера. На другие приложения, на системные криптоконтексты, на ваш условный Chrome или почтовый клиент это не влияет вообще никак. Та самая инструкция из поста с certmgr.msc проверяет именно системное хранилище – где браузер ничего не прописывает.
2. Контуры доверия разделены. Системный (ОС) и браузерный (нацсертификаты) – это два отдельных домена. Транзитивного расширения доверия нет: поддержка нацсертификатов в браузере не переопределяет и не расширяет общесистемную криптополитику. Никакого «теперь винда доверяет всему подряд» не происходит.
3. Сверху еще Certificate Transparency. Сертификат считается валидным, только если он лежит в публичном CT-логе и соответствует домену. То есть выпуск – это не «закрытый контур, где CA молча штампует что хочет», а наблюдаемая система событий: факт выпуска и область применения можно проверить публично. Тихо сгенерить поддельный серт «на любой внешний ресурс» и остаться незамеченным – так не работает.
4. Поэтому MitM, который рисует автор, технически исключен. Нет возможности незаметно встроиться в цепочку доверия TLS. Данные шифруются стандартным TLS и остаются зашифрованными на всём пути между браузером и сервером – расшифровать или подменить их вне конечных точек нельзя.
Что по итогу. Сама поддержка национальных сертификатов – это реальная функция. Но вот вывод «значит, вас прослушивают через системное хранилище» – это либо непонимание архитектуры, либо сознательная манипуляция на громком слове «Минцифры».
Цели кого-то защитить в этой истории у меня нет, если что. Более того, эта тема с отзывом сертификатов GlobalSign и Let's Encrypt у меня и самого сейчас болит, она у всего рынка болит, так как до сих пор нет идеального плана по переезду с них, кроме как закупиться всеми сертами нашей планеты и выпустить параллельно серты через Госуслуги.
А вообще, лучше гляньте, как нагло ведет себя Хром, на котором сидят все.
И да, всегда проверяйте то, что вам пишут в интернетах. В том числе на матчасть. Всем мир.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
Держу в курсе, Кибербот, в который вы все еще с завидной регулярностью направляете свои вопросы, а мы с менторами на них также регулярно отвечаем, перестает работать. Но не навсегда.
Мы его перевозим сейчас на другой хостинг и чуть меняем его архитектуру, но для вас ничего не изменится, поэтому скоро он оживет и будет доступен по той же ссылке/юзернейму.
Как-то так. Всем мир.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
Опять этот ваш цифровой след
Спойлер: интернет вас не забывает. Никогда.
Я писал на эту тему уже много-много-много раз, но не все подписаны на этот канал давно, поэтому давайте освежим в памяти кое-какую базу. И да, я постарался сделать этот пост максимально полезным и для старожил канала, так что с вас традиционный лайк и репост. Ну погнали.
Цифровой след - это как отпечатки пальцев в реальном мире. Только в интернете они остаются после каждого вашего действия: клика, лайка, поискового запроса, покупки, определения геолокации, звонка через мессенджер (даже национальный или дубайский). Эти «отпечатки» могут храниться годами на серверах Google, соцсетей, банков, провайдеров, а затем использоваться против вас. В лучшем случае вас завалят таргетированной рекламой, в худшем - взломают соцсети, нароют компромат или сольют данные.
Даже если вы не выкладываете в соцсети посты и сторис, ваш телефон каждые 2 минуты отправляет на сервера Google «маячки» с вашим IMEI и уровнем заряда батареи. Звучит как паранойя? Откройте myactivity.google.com - вы удивитесь.
Собственно, ловите целый сборник полезных постов на эту тему, чтобы потом по сто раз не гуглить и не искать всю эту мякотку👇
⚡️ Узнаем, что цифровой след бывает пассивный и активный
⚡️ Чем цифровой след отличается от цифрового отпечатка
⚡️ Подслушивают ли нас злые корпорации через динамик смартфона, чтобы потом предлагать рекламу
⚡️ Тревожно смотрим на статистику сливов в РФ
⚡️ Осознаем, что режим «инкогнито» не делает вас невидимым
⚡️ Пробуем сервис Just Delete Me, который поможет убрать ваш аккаунт с ненужных площадок, где вы когда-то регистрировались
⚡️ А тут, тут и тут можно взять несколько простых инструментов, чтобы минимизировать свой цифровой след
Важно понимать, что в нашей реальности почти невозможно полностью стереть все свои следы из интернета. Но это не означает, что не нужно пытаться.
Стремитесь к тому, чтобы стоимость ваших данных не превышала усилия по их сбору. То есть просто старайтесь быть «слишком геморройным» пользователем для сбора информации. Всем мир ⌨️
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
Все кстати уже видели интервью у Соколовского с одной из глыб отечественного кибербеза – Гостевым?
Я на самом деле в шоке с того, что мир так тянется в сторону информационной безопасности.
Кукисы
Меня часто спрашивают (ни разу), "а что же там на самом деле происходит, когда мы нажимаем «Принять все», как только впервые заходим на сайт?". Поэтому (да просто самому стало интересно) я решил сесть, чуть поковыряться и расписать всю эту историю. Так что погнали.
Начнем мы с базы. Если по бытовому, то Cookies или куки – это небольшие фрагменты данных, которые остаются на вашем устройстве, когда вы открываете какой-либо сайт. Это нужно для того, чтобы сайт «запоминал» вас. То есть чтобы при обновлении страницы вы не вылетали из своей учетки или не добавляли в корзину один и тот же товар по 10 раз.
Но есть нюанс. Куки-файлы бывают нескольких видов, и далеко не все из них полезны для пользователя. Разбираемся, какие данные у нас просят сайты:
– Строго необходимые. Без них сайт не сможет работать корректно. Например, куки корзины или входа в личный кабинет. Как правило, они ставятся автоматически, и вы не можете их запретить.
– Функциональные. Запоминают ваши личные настройки (шрифт, тему, город). Без них сайт работает, но становится неудобным. Формально вы можете отказаться от них, но это будет мучительно.
– Аналитические. Считают, сколько людей зашло, какие кнопки нажимают, где зависают (Google Analytics, Яндекс.Метрика). Обычно обезличены (поверили, да?), но данные уходят третьей стороне. От них вы вправе смело отказываться, если не хотите делиться, сколько времени вам потребовалось на чтение статьи.
– Таргетированные. Следят за вами, чтобы потом показывать рекламу одних и тех же кроссовок на всех сайтах. Самые опасные для вашей приватности. Если вы отказываетесь от них, то реклама на странице остается, но становится случайной. А рекламные компании не получают особого профита от вашего цифрового следа.
Для того, чтобы сайты не могли собирать и передавать информацию о вас просто так, в 2018 году в Европе приняли GDPR (Генеральный регламент по защите данных). По этому закону все сайты мира (даже российские) обязаны получать согласие на любые необязательные куки. Иначе компании грозит штраф – до 4% от годового оборота.
Благодаря GDPR у нас хотя бы есть право отказаться от того, чтобы делиться своим цифровым следом с рекламными корпорациями. Правда почти никто так не делает. А еще многие сайты жульничают, маскируя сбор таргетированных куки под что-то важное. Или прячут кнопку «Принять только необходимое», чтобы у пользователя не оставалось выбора.
В РФ это кстати регулируется 152-ФЗ «О персональных данных», если файлы cookie позволяют идентифицировать пользователя (а они его ох как позволяют идентифицировать).
По сути, каждое всплывающее окно с предложением принять файлы куки – это сделка. Вы получаете доступ к контенту, а сайт – право знать, что вы делаете на его страницах. Проблема в том, что условия этой сделки написаны очень мелким шрифтом. И мало кто отдает себе отчет, на что именно он соглашается, когда нажимает большую яркую кнопку «Принять все». А многие так и делают, потому что, когда ты что-то срочно ищешь в интернетах, тебе не до вот этого вот всего.
А если вы не хотите париться и каждый раз придумывать, какие условия на каких сайтах принимать, то я напомню, что когда-то собрал для вас много полезных инструментов в этом посте. Так что вэлкам анонимизироваться, автоботы.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
По моим наблюдениям, финтехи все активнее ищут новые способы оценки своих систем безопасности. Сегодня в рамках 17-й кибербитвы Standoff (оттуда маковский автомат выше, кстати) прошел круглый стол «Кибериспытано на себе: диалог об объективной оценке киберустойчивости».
Там руководитель управления кибербезопасности Т-Банка Игорь Кубышко анонсировал запуск открытых кибериспытаний. Суть в том, что любой пентестер может проверить устойчивость банковских систем безопасности: если он найдет и воспроизведет недопустимый сценарий (считай покажет, как и что можно взломать), то сможет получить от компании до 12 млн рублей.
И, если мне не изменяет память, то такое среди российского финтеха встречается впервые – раньше компании из финансового сектора не выходили на кибериспытания, тем более открытые. Предварительная регистрация, кстати, для желающих открывается сегодня, а сами испытания запустятся с 22 июня.
Господа пентестеры, попытаться можно, я считаю, а ипотека себя сама не закроет.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
Доигрались
Помните те самые конспирологические теории про то, что игра Pokémon Go – совсем не игра, а заговор ЦРУ с целью получить фото вашей клумбы у подъезда? Так вот сюрприз: конспирологи были правы (или нет?).
В сети уже давно есть пруфы, что сотни миллионов людей по всему миру годами "охотились" на покемонов, даже не подозревая, что работают над созданием гигантской системы слежения и навигации нового поколения. Ну а чтобы понять, как мы до этого докатились, давайте разберемся, с чего все начиналось.
В конце 90х американский предприниматель Джон Ханке основал компанию Keyhole, которая занималась визуализацией геоданных. По сути попытками создать подробную 3D карту земного шара. Из-за технических сложностей стартап почти обанкротился, но в нужное время получил финансирование от фонда In-Q-Tel (кстати, это дочернее подразделение ЦРУ).
Уже спустя 5 лет стартап перекупил Google, а сам Джон Ханке стал вице-президентом направления Google Geo-division. Именно под его руководством позже появились известные нам Google Earth (олды здесь?) и Google Maps. Основной сложностью работы над проектом стал сбор визуальных данных. Даже с появлением машин Street View съемка могла проводиться только на улицах, но не в парках, подъездах и пешеходных зонах. Для таких задач нужны были люди и тысячи часов пеших прогулок с камерой по каждому географическую объекту в мире. А главное, огромное количество денег для оплаты труда рабочих.
В этот момент Ханке придумывает гениальную стратегию и создает Niantic Labs – подразделение Google по созданию мобильных игр. Причем, не просто игр, а AR-приложений, которые требовали от игроков направлять камеры на разные объекты. Думаю, вы уже поняли, к чему я клоню. Зачем платить, когда можно не платить?
В 2015 году компания Niantic вышла из состава Google. И первым же их самостоятельным проектом стала игра Pokémon Go. А дальше вы уже знаете. Миллионы игроков по всему миру бесплатно и с удовольствием передавали огромные массивы разнообразной подробной информации прямо в базу данных компании. На основании которой Niantic создали VPS – свой аналог GPS, только гораздо более подробный и точный, а главное, которому не нужна связь со спутниками. То есть аппарат, подключенный к VPS может работать даже там, где стоят глушилки.
Изначальная цель звучала благородно: обучение нейросетей, работа с дронами бесконтактной доставки посылок, роботы-курьеры и так далее. Кстати, за время своей работы Niantic выпустила еще несколько вполне успешных AR-игр для мобильных телефонов.
Вот только в прошлом году Джон Ханке продал весь игровой бизнес, а компанию переименовали в Niantic Spatial, чтобы развивать свой основной продукт – VPS. А в декабре они объявили о сотрудничестве с оборонной компанией Vantor (напрямую работает с разведкой США) и совместной работе над созданием системы навигации для боевых дронов и военных операций.
Такие вот дела. Данные, которые миллионы людей бесплатно собирали для Niantic, теперь могут быть использованы в не самых этичных целях, причем без их согласия. Вряд ли школьник в Нидерландах, сканируя подъезд или магазин, соглашался на то, чтобы помогать Пентагону.
P.S. Наткнулся кстати изначально на эту историю у коллеги по цеху – Технологический Болт Генона, после чего и вдохновился на пост. Так что спасибо.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT
Что же это? Все верно, тебе не показалось, это тот самый долгожданный ВОСКРЕСНЫЙ ДАЙДЖЕСТ!!!
⚡ Во-первых, напоминаю всем о том, что у OFFZON-а все еще открыт call for papers, поэтому, если вы хотите податься с докладом, у вас еще есть шанс. С учетом отмены ПХд, упускать его я бы не стал.
📹 Во-вторых, на нашем канале вышел эпизод подкаста с ребятами из АвитоТеха – ссылка
📹 В-третьих, на том же канале вышел мок-собес, которому нет аналогов на ютубе – интервью по реверс-инжинирингу – ссылка
📋 В-четвертых, я начал искать себе человека в команду. На самом деле, вакансий сразу несколько, но найти их смогут только самые внимательные.
⚡ В-пятых, разобрались, что важно сделать со своими цифровыми активами перед неизбежным событием – ссылка
Но самое главное, что произошло за время отсутствия дайджеста – у одного из самых важных людей в моей жизни случился первый день рождения. А, ну и еще спасибо вам за то, что помогли выбрать чехол для айфона 🥰
Фоточки тоже на месте, ловите. И всем добра.
Глянул тут ролик про то, как британские инженеры правят миром, японцы делают бизнес, а все вокруг не могут даже ничего с этим сделать, потому что цена маневра исчисляется годами. В общем да, про историю ARM.
Вообще не реклама, а скорее приглашение к просмотру и одновременно желание высказаться о том, что хочется начать снимать видео такого формата. Но сколько же это требуется подготовки, фактчекинга, ресерча, какой там монтаж – просто жесть.
Надеюсь, что когда-нибудь смогу такое осилить.
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT