package_security | Unsorted

Telegram-канал package_security - Пакет Безопасности

21391

Авторский канал, где всё полезное из мира IT и ИБ, а также мнение автора сквозь призму кибербеза, аккуратно сложены в Пакет Безопасности. Вопросы – @romanpnn Реклама – @romanpnn0 или telega.in/channels/package_security/card Реестр: clck.ru/3FsiMj

Subscribe to a channel

Пакет Безопасности

На WWDC 2026 (это одна из ежегодных презентаций Apple) кстати показали довольно интересную новую функцию по замене слабых или слитых паролей на сайтах самим приложением Passwords (это централизованная хранилка паролей на iOS и macOS) в автоматическом режиме.

То есть, если приложение замечает (а оно регулярно проверяет), что ваш пароль на одном из сайтов или приложений давно не менялся, что он слабый или был где-то слит, оно само берет и меняет его на сайте, прописывая его в Passwords и подтягивая на все ваши устройства.

Кажется, что выглядит очень круто, если ты полностью живешь в экосистеме Apple и просто ужасно, если нет. Что думаете?

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

А что ты оставишь после себя, кроме рабочих чатов?

Сегодня затронем для многих не самую комфортную, но важную тему. А именно – кому достанутся наши данные и подписки после того, как нас не станет. Мы привыкли завещать квартиры, машины и сбережения. Но мало кто задумывается о том, что случится с нашим смартфоном и всем его содержимым после нашей кончины.

Фото, переписки, банки, криптокошельки, аккаунты в соцсетях с тысячами подписок, игровые библиотеки Steam на сотни тысяч рублей, облачные хранилища и много другое - то, что мы копили годами, может просто исчезнуть (ну исчезнет и исчезнет, как говорится). Дело в том, что наши цифровые активы никак не защищены юридически.

Попробуем разобраться. По закону нам не до конца принадлежит то, что мы покупаем в цифре. Оплачивая книгу в ЛитРес или фильм на Кинопоиске, вы получаете не собственность, а лицензию на личное использование. Аккаунт в соцсети – это не имущество, а «договор оказания услуг». И срок действия таких договоров истекает со смертью владельца.

Показательный пример: сын профессиональной скрипачки решил собрать архив ее выступлений. Но не смог получить доступ к ее почтовому ящику, где хранились фото и видео. Техподдержка отказалась выдавать личные данные даже близкому родственнику.

По сути миллионы людей до сих пор не знают, как передать цифровую собственность наследникам. И этим активно пользуются мошенники. Пока семья в трауре, мошенник может получить доступ к номеру телефона покойного, а вслед за ним и к банкам, госуслугам и любым финансовым операциям.

Еще одна распространенная схема – кража личности и соцсетей покойного. Боты, обученные на голосе и манерах реального человека, обзванивают родственников (которые еще не успели узнать о кончине) и просят перевести денег на лечение или поставить электронную подпись на документах.

Так как же избежать того, чтобы наши данные не пропали даром и не попали в руки мошенникам? Обсудим, что можно сделать уже сейчас:

1. Назначьте «цифрового наследника». У Apple – Digital Legacy, у Google – Inactive Account Manager (в рус.версии - На всякий случай). Вы можете выбрать одного или несколько доверенных лиц, которые получат доступ к вашей почте, фотогалерее, облаку и некоторым сервисам.
2. Храните список сервисов и паролей. Поговорите с самым близким человеком, у которого будет доступ к ним. Чтобы все лежало в одном месте, можно использовать менеджеры паролей (рассказывал о них тут).
3. Если у вас есть крипто-кошелек (а вы работаете в криптовалюте?), не храните ключ только в голове. Разделите seed-фразу на части, отдайте доверенному лицу или положите в банковскую ячейку. (Иначе ваши средства просто навсегда застрянут где-то в цифровом лимбе).

Что поделать, рано или поздно каждый из нас перестанет заходить в свои аккаунты. Вопрос лишь в том, получат ли ваши близкие доступ к важным данным или их опередят те, кому вы этого точно не желали.

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

К Филу, конечно, все еще много вопросов, но иногда он выдает действительно годный контент 😏

👨‍🏫 Менторство ИБ | Отзывы | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Сбер, кстати, рассказал, как студентам и молодым специалистам зайти в кибербез. Не в формате «родился с Kali Linux в руках — добро пожаловать», а вполне по-человечески: как собрать резюме, к чему готовиться, какие навыки подтянуть и какие варианты стажировок вообще бывают.

Вице-президент по кибербезопасности Сбербанка Сергей Лебедь на ПМЭФ-2026 объяснил, что безопасность уже давно не живёт где-то в конце процесса по принципу «ну продукт сделали, теперь пусть безопасники посмотрят». Сейчас это часть разработки с самого начала: DevSecOps, AppSec, SOC, управление уязвимостями, автоматизация процессов, аналитика угроз — вот это всё, только теперь ещё и с плотной привязкой к ИИ.

Современная кибербезопасность всё сильнее строится на ИИ: автоматизация реагирования на инциденты, безопасной разработки, ассистенты и копайлоты для экспертов. То есть не «ИИ заменит безопасников», а скорее «без ИИ безопасник скоро будет грустно смотреть на объём логов».

Для тех, кто хочет попасть в профессию, у Сбера есть гайд на «Кибрарии». А если вы уже не студент и не джун, но внезапно поняли, что хотите в команду, там же есть кнопка «Хочу в команду» — можно отправить резюме буквально в пару действий.

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

ИБТУСА

Читать полностью…

Пакет Безопасности

Меня одного кстати выносят эти нейрослопные заголовки секлаба?

Читать полностью…

Пакет Безопасности

#КиберМем

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Уволен — не вор, или лекция об архитектуре компании Atlassian

После сокращения в Atlassian бывший старший системный инженер Василиос Сиракис опубликовал на YouTube 40‑минутное видео, где подробно рассказал о проектах, которые создавал и поддерживал в течение 8 лет работы. Ролик быстро стал вирусным — его посмотрели более 1,6 млн раз.

В видео инженер не слил исходники и не раскрыл конфиденциальные данные, а описал высокоуровневую архитектуру систем: как работали балансировка нагрузки, DNS, edge‑прокси, контрольные плоскости и самосервисные инструменты для разработчиков. Среди упомянутых технологий — Python, Kubernetes, DynamoDB, Envoy Proxy и другие. По сути, он задокументировал то, что внутри компании толком не зафиксировали — и теперь эти знания доступны всем желающим.

Лекция, с которой не сбегаешь.

Join our club Cult 👁

Читать полностью…

Пакет Безопасности

А что это тут такое у нас?

Читать полностью…

Пакет Безопасности

А мы тут с вами кстати стали комьюнити-партнерами масштабного Standoff, который пройдет уже скоро (16–19 июня) в Кибердоме.

Обещают очень насыщенную 4-х дневную программу с кибербитвой, багбаунти-хабом, Standoff Talks, Standoff для бизнеса и Endpoint Hack в формате зоны испытаний.

Думаю, что сам загляну к ребятам на огонек в один из дней.

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

«Сага о цифровом Мидгарде»: годовой отчёт CyberThreatTech о киберугрозах 2025

Мы в CyberThreatTech верим не в «сырые данные», а в знания.

Поэтому свой годовой отчёт о ландшафте угроз мы построили не как очередную таблицу с цифрами, а как эпическое повествование — с Хугином (Мыслью) и Мунином (Памятью), двумя воронами Одина, которые облетают мир и приносят мудрость.

За этой метафорой стоит наша технологическая концепция — Озеро знаний CTI (CTI Knowledge Lake).

Мы объединили данные из 280+ открытых источников (отчёты, новости, песочницы, исследования независимых экспертов), очистили от LLM-фейков, сняли дубли и связали разрознную информацию в единую картину.

Что мы увидели в 2025 году?

Сдвиг целей: атаки на госсектор, энергетику и телеком растут. В энергетике вероятность использования скомпрометированных учётных данных достигает 63%.

Различия ВПО: Скоуп ВПО в России и мире различается на 14–40%. При этом набор хакерских утилит (Cobalt Strike, Mimikatz, AnyDesk и тд.) практически идентичен глобальному.

Старые уязвимости не умирают: CVE-2017-11882 (MS Office) — до сих пор в топе. Log4Shell, Zerologon, ProxyShell активно эксплуатируются. Патч-менеджмент пробуксовывает.

LLM-фейки: Мы насчитали не менее 45 отчётов, сгенерированных нейросетями и выданных за оригинальные. А западные ресурсы всё чаще переписывают работы российских компаний без ссылок.

Российские источники — в топе:  наши исследовательские команды входят в Топ50 общемировых, а качество отечественных отчётов полностью соответствует уровню мировых лидеров.

Инфляция отчётов: 2884 полноценных TI-отчёта — на 22% больше, чем в 2024. 11,7 отчёта в день. Ручная обработка обходится компании в 20–25 млн рублей в год только на зарплаты аналитиков.

Почему этот отчёт стоит прочитать?

Он отвечает на главный управленческий ИБ-вопрос: «Что мне нужно знать?»  Фильтрованные сигналы, вероятностные цепочки TTP и оценки рисков.

Читать тут: https://2025.ctt.ru/?utm_source=report_paket

Мы в CyberThreatTech создали Озеро знаний, чтобы вы могли черпать из него мудрость, а не тонуть в данных.

Ваша очередь — задать правильный вопрос.
#CTI #threatintelligence #communitydriven #киберразведка #CyberThreatTech
 

Читать полностью…

Пакет Безопасности

Воскресный дААААААААААйджест

⚡️ Во-первых, на нашем ютубе вышла запись стрима про то, как кибербезопасников ИИ заменяет.

⚡️ Во-вторых, разобрали один громкий инцидент – ссылка

⚡️ В-третьих, мы стали медиа-партнерами конференции Ватерлиния, которая пройдет уже 17 июня в особняке в самом центре Москвы. Обещают и про ИИ рассказать, и про утечки, и про цифровой рубль.

⚡️ В-четвертых, советую вам присмотреться еще к вот этому бесплатному и вендор-независимому митапу про про Identity & Access Management (IAM).

⚡️ В-пятых, в канале по Менторству ИБ продолжаем рассказывать про офферы, которые получают наши ребята.

⚡️ В-шестых, мы записали еще один эпизод нашего подкаста (уже вторую неделю подряд), хотя еще даже не успели домонтировать прошлый...

А еще мне тут накидали новых фоток в нашем мерче, поэтому ловите вперемешку с моими фотокарточками.

Читать полностью…

Пакет Безопасности

Когда должен был бороться со злом, но в итоге примкнул к нему

Представьте, что вы нанимаете специалиста по переговорам (такие кстати существуют, да), чтобы он договорился с хакерами, которые украли ваши данные, о снижении выкупа. А он в это время тайно работает на тех самых хакеров и помогает им содрать с вас побольше денег, чтобы затем получить побольше «откатов». Звучит, как плод воспаленного воображения, но есть нюанс.

Скандал, который пошатнул всю индустрию кибербеза, разгорелся в США. Выяснилось, что трое сотрудников компаний по кибербезопасности DigitalMint и Sygnia (специализируются как раз на ведении переговоров с хакерами и расследованиях киберпреступлений) сами помогали организовывать атаки с использованием вирусов-шифровальщиков (те самые, о которых чаще всего и пишут в новостях).

ФБР установило, что подозреваемые действовали в интересах хакерской группы ALPHV/BlackCat (организацию уже прикрыли). Они совершали атаки на медицинские, фармацевтические и инженерные компании, требуя за расшифровку данных серьезные суммы денег. Например, в одном из подтвержденных кейсов сумма выкупа была увеличена с 6 до 26 млн долларов.

На данный момент все трое горе-безопасников уволены из компаний, находятся под стражей и ожидают обвинительного приговора. Эта история стала редким, но крайне показательным прецедентом: индустрии кибербезопасности предстоит не только защищать заказчиков, но и гораздо тщательнее проверять собственный персонал.

Теперь компании внедряют куда более жесткие контроли, проводят внеплановые аудиты, а каждый кейс лично контролирует один из основателей, что по факту не сильно кому-то поможет, но ладно. Теперь перед тем, как нанять себе адвоката, нужно еще проверить, не прокурор ли он. Кроме того, список всех "переговорщиков" планируют передать в Министерство внутренней безопасности США, чтобы создать единый реестр и сделать сферу более прозрачной. В общем, дозрели до реестра гарантов.

А вы бы доверили свои переговоры постороннему человеку?

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Flipper One — нам нужна ваша помощь


Мы наконец готовы рассказать про Flipper One — проект, над которым корпим уже много лет и который несколько раз полностью переделывали с нуля. Это очень сложный проект как экономически, так и технически. Поэтому сегодня мы выходим в паблик не с триумфальным анонсом, а чтобы рассказать все как есть. Скажем честно — нам тупо страшно и нам нужна ваша помощь.


https://habr.com/ru/companies/flipperdevices/articles/1033162/

Читать полностью…

Пакет Безопасности

#КиберМем, честно украденный из нашего чата.

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Тем временем все паблики Телеграма. Даже те, которые с безопасностью не связаны. Да, даже кулинарные. Да, вообще все.

Читать полностью…

Пакет Безопасности

Пакет Безопасности x 😊 Avito

ПОООООООДКАСТ!

https://youtu.be/5Xpb3Hq7sgU
https://youtu.be/5Xpb3Hq7sgU
https://youtu.be/5Xpb3Hq7sgU

А вот и он, очередной и очень долгожданный выпуск нашего подкаста. На этот раз к нам на огонек заглянули гости из AvitoTech, чтобы обсудить цепочки поставок, оборотные штрафы и конфликты между кибербезопасниками и айтишниками.

Как и всегда, мы есть на всех нужных площадках
📹 Youtube
📺 VK Video
📺 Rutube

И в аудио-формате – тоже
🎧 Я.Музыка
🎧 Apple Podcasts
🎧 Mave

Читать полностью…

Пакет Безопасности

И полгода не прошло. А нет, прошло уже больше полугода после громкого инцидента в Страховом доме ВСК, как там уволили руководящий ИТ и ИБ состав.

Это к слову о том, какие риски и ответственность лежат на тех же CISO, о которых я говорил в тирлисте.

Читать полностью…

Пакет Безопасности

Тем временем на ПМЭФ. Ну что, верим Касперскому про то, что они сделали операционную систему, которую невозможно взломать?

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Может ты еще и отсюда его удалишь, ЭппСтор?

Читать полностью…

Пакет Безопасности

Крестовый поход против цифровых мошенников продолжается.

Если вы считаете себя самым умным на свете и что мошенники никогда в жизни вас не разведут — вспомните новости про всяких высокопоставленных банковских работников, которые переводили им миллионы.

Нужно понять и признать, что с той стороны сидят тоже довольно креативные ребята, которые постоянно придумывают что-то новое, поэтому очень важно всегда быть начеку.

В этой связи очень радует, что за проблему мошенников наконец-то взялись массово. Этот тренд сегодня усиливает Яндекс, который запустил бесплатный курс против ИИ-мошенничества на своей платформе Практикум.

Всех желающих научат распознавать дипфейки, поддельные голоса и прочие прелести генеративного зла. Яндекс объясняет массам, что на том конце провода может быть не «мама, срочно переведи деньги», а хитрое применение доступных технологий, которые в злодейских руках могут стать опасными.

Авторы — эксперты Яндекса по кибербезопасности. Кроме того, в курсе принял участие их директор по информбезопасности Александр Каледа.

Рекомендую посмотреть, даже если считаете себя скамонепробиваемым.

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Ну вы посмотрите на них

Мы тут кстати с менторами дошли до ручки того, чтобы начать экспансию по различным вендорами различных кибербезопасных инструментов, СЗИ и прочих импортозамещенных технологий нашей галактики.

Делаем мы это для того, чтобы наши менти могли ломать свои руки не только о гитхабовский опенсорс, но и знакомились с теми коммерческими решениями, которые они встретят уже в инфраструктуре своего будущего работодателя.

Ну а еще, когда мы закончим с нашим рынком, есть у нас в планах отправиться на рынок зарубежный, а то через нас прошло уже порядка 15 менти из Европы, Штатов и Азии (той что справа, да), а их тоже надо как-то и с инструментами знакомить, и на работу устраивать.

А, ну и да, если вы вендор, и вы хотите поделиться своими решениями с нами для того, чтобы помочь начинающим ребятам освоиться в нашей сфере, то не сдерживайте себя и пишите мне либо сюда, либо на почту rvpanin@securitymentor.ru

#Updates

👨‍🏫 Менторство ИБ | Отзывы | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Вы кстати видели новость о том, что через ваш любимый мессенджер теперь будут рассылаться медицинские справки?

Если вас от этой новости передернуло, то это нормально, потому что если задуматься, то это, пожалуй, наиболее чувствительная информация из всего, что только возможно придумать. Я тут долго растекаться мыслью по древу не буду, потому что зачем. Небольшие умозаключения на эту тему можете глянуть тут, например.

Я вообще вот к чему – думается мне, что МАХ в ближайшем будущем станет именно чатом для Госуслуг, нежели заменой средствам коммуникации с друзьями и родными. Что это будет сугубо утилитарная штука для взаимодействия с муниципальными\гос-сервисами в формате чатов\диалогов.

И дай-ка угадаю, сейчас вы навалите мне тут дизлайков под постом от всего сердца, да?

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

И держите еще шедевр на вечернее чтиво – ШЕДЕВР

Неиронично подписываюсь под каждым словом автора.

Читать полностью…

Пакет Безопасности

А мы тут кстати выложили свой подкаст еще и на стриминговых площадках – Я.Музыка, Apple Podcasts и в Mave.

Так что если вам там удобнее слушать, то вэлкам.

Читать полностью…

Пакет Безопасности

Слышали про формат тирлистов?

Да, я решил раскидать в дофаминовом режиме, на понятном языке и с мемами все направления кибербезопасности по тирлисту. Так что, если ты хочешь понять, как там все устроено внутри, что относится к имбе, а что к Press F, то погнали смотреть эту кринжатину.

https://youtu.be/GFn1skU8ARo
https://youtu.be/GFn1skU8ARo
https://youtu.be/GFn1skU8ARo

Ссылки на ролик
- 📹 Youtube
- 📺 VK Video
- 📺 Rutube

👨‍🏫 Менторство ИБ | Отзывы | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Делаем?

👨‍🏫 Менторство ИБ | Отзывы | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Слышали уже про этот Леший Коннект от Ростелекома, который, как пестрят заголовки всех новостников "БУДЕТ ТЕПЕРЬ КОНТРОЛИРОВАТЬ РОУТЕРЫ МИЛЛИОНОВ РОССИЯН"?

Если вчитаться получше, то окажется, что эта штука просто будет уметь удаленно обновлять прошивки клиентских роутеров и настраивать их конфигурации. Очевидно, касаться это будет только роутеров, которые вам сам Ростелеком и дал. Вот же шок.

Или я чего-то не замечаю в этой новости?

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Я пришел договориться

Внимание всем рекрутерам, нанимающим менеджерам, организаторам стажировок и людям, регулярно ищущим к себе джунов и миддлов (их у нас просто больше всего) в области кибербезопасности.

Мы на нашем Менторстве ИБ готовим много специалистов по достаточно большому спектру направлений: AppSec, DevSecOps, сетевые безопасники, SOC, пентестеры, DFIR, архитекторы ИБ, реверс-инженеры, комплаенс ИБ и многие другие. И делаем мы это качественно (да, у нас даже есть статистика по офферам и удовлетворенности нашими учениями со стороны работодателей).

Так вот, к чему я это все. Кажется, что мы можем друг другу помочь, сократив пусть между кандидатами, которых готовим мы, и открытыми позициями, которые есть у вас. Стажеры, джуны, миддлы, синьоры, лиды. Нам интересны все позиции в домене ИБ.

Мне не нужны реферальные комиссии за приведенных людей, сложные договорные отношения или прочая бюрократия. Я хочу сделать очень простую, но рабочую вин-вин историю как для наших менти, так и для вас.

Какой смысл вам тратить бюджеты на рекламные размещения в Телеграм-каналах или на прочих диджитал-площадках, месяцами мучаться в поисках и в ожидании того самого принца на белом коне, если мы можем дать вам достаточный поток кандидатов для закрытия хотя бы части ваших потребностей?

В общем, напишите мне (@romanpnn), мы все обсудим и найдем формат, который будет комфортен всем.

ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пакет Безопасности

Как усилить ИБ: управление данными и ML-технологии для защиты бизнеса

Когда киберриски растут, а требования к защите данных ужесточаются, перед компаниями стоит вопрос: как обеспечить высокий уровень ИБ без роста бюджета?

Эксперты «Инфосистемы Джет», Arenadata и «Аксель Про» проведут совместный митап, где подтвердят, что ответ в сочетании проверенных решений и современных технологий.

Что в программе?
🔹Реальные кейсы сбора данных в ИБ: когда выгоднее использовать готовые инструменты вместо самостоятельной разработки
🔹Тренды рынка ИБ: кто лидирует, какие технологии набирают популярность и куда двигаться дальше
🔹ML-кейсы для ИБ в реальной ИТ-среде: от анализа логов до задач с LLM
🔹Дата-контракты, карта данных и профилирование — как инструменты управления данными помогают ИБ
🔹Как управление данными и их качество повышают уровень ИБ

Когда: 26 мая в 11:00 МСК
Формат: онлайн

Регистрация на бесплатный митап на сайте.

Читать полностью…
Subscribe to a channel