Киберучения для студентов
Легальная практика для студентов это очень важно для обучения и особенно вдохновения!
Если нужно что-то техническое, то вперед на CTF соревнования или решать HackThebox.
А организационное?
А организационные соревнования в Калининграде проводим вместе с КодИБ!
От нас будет один практический кейс на разбор и помощь одной из команд на кейсах других партнеров.
В будущем постараемся почаще участвовать в подобных партнерствах и активностях.
Легальная практика для студентов это очень важно для обучения и особенно вдохновения!
Если нужно что-то техническое, то вперед на CTF соревнования или решать HackThebox.
А организационное?
А организационные соревнования в Калининграде проводим вместе с КодИБ!
От нас будет один практический кейс на разбор и помощь одной из команд на кейсах других партнеров.
В будущем постараемся почаще участвовать в подобных партнерствах и активностях.
О цифровом следе для всех
Мы все чаще слышим понятие "цифровой след", особенно в контексте слежки за всеми нами. Самое смешное, что история о цифровом следе каждого из нас — это чаще всего не про теорию заговора, а про желание продать нам побольше всего.
Простыми словами о том, что это такое и почему это не "мировое зло" с которым каждый должен бороться, а лишь инструмент, который используют очень по разному и во вред, и во благо.
В подкасте "Люди и Код"
Мы все чаще слышим понятие "цифровой след", особенно в контексте слежки за всеми нами. Самое смешное, что история о цифровом следе каждого из нас — это чаще всего не про теорию заговора, а про желание продать нам побольше всего.
Простыми словами о том, что это такое и почему это не "мировое зло" с которым каждый должен бороться, а лишь инструмент, который используют очень по разному и во вред, и во благо.
В подкасте "Люди и Код"
Telegram
Люди и Код
73-й выпуск подкаста
Цифровой след: что рассказывают о нас браузеры, смартфоны, компьютеры и банковские карты
Слушать:
YouTube
mave
«Яндекс Музыка»
Apple
Castbox
Google Podcasts
Содержание:
— Что такое активный цифровой след.
— Что такое пассивный…
Цифровой след: что рассказывают о нас браузеры, смартфоны, компьютеры и банковские карты
Слушать:
YouTube
mave
«Яндекс Музыка»
Apple
Castbox
Google Podcasts
Содержание:
— Что такое активный цифровой след.
— Что такое пассивный…
Moonlighter — космический полигон для хакеров
Несколько недель назад мы писали о взломе небольшого европейского спутника. Хакеры смогли получить контроль над системами кубсата, а главное — над его двигателями. Подобное событие ещё больше обозначило проблему в современной ИБ, а именно — безопасность орбитальных систем. Ведь они также могут стать объектами атак.
В США начали решать эту проблему, выделив деньги на постройку «хакерской песочницы» в космосе, а именно небольшого кубсата массой около 5 кг. Создателем спутника выступила корпорация The Aerospace Corporation, а отправила аппарат на орбиту Земли ракета Falcon 9 компании SpaceX.
Основная цель этой «песочницы» — это испытание космических систем безопасности в реальных условиях, то есть когда спутник не лежит перед хакером на столе, а находится в движении на расстоянии нескольких сотен километров. И это важно, потому что орбитальная механика вносит свои коррективы в процесс работы со спутником, банальная задержка сигнала это меньшая из проблем, в отличие от той же теневой зоны — когда спутник уходит за радиогоризонт и не может ни принимать команды, ни отправлять данные.
Устройство Moonlighter довольно простое — солнечные панели, несколько датчиков астронавигации и корпус с электроникой. А вот что в этой электронике загружено... Как уже писало выше, это — песочница. Изолированное программное окружение не позволит хакерам нанести критический урон система спутника или взять под контроль его навигацию и управление. Они смогут получить доступ только к заранее установленным системам аппарата. Принцип «песочницы» уже стал обыденностью повсеместно, допустим в той же операционке яблочных мобильных гаджетов — IOS, о чем мы писали ранее.
Американский кубсат будет подвергаться сразу нескольким атакам от разных команд. В этом и суть испытания: 5 команд финалистов состязания Hack-A-Sat в Лас-Вегасе будут ломать Moonlighter, а тройка лучших разделит денежный приз в 100 тысяч долларов. Об итогах конкурса и всего эксперимента мы узнаем в конце лета.
Как сказал один из участников прошлых конкурсов: «С Moonlighter мы пытаемся решить проблему до того, как она станет проблемой».
Несколько недель назад мы писали о взломе небольшого европейского спутника. Хакеры смогли получить контроль над системами кубсата, а главное — над его двигателями. Подобное событие ещё больше обозначило проблему в современной ИБ, а именно — безопасность орбитальных систем. Ведь они также могут стать объектами атак.
В США начали решать эту проблему, выделив деньги на постройку «хакерской песочницы» в космосе, а именно небольшого кубсата массой около 5 кг. Создателем спутника выступила корпорация The Aerospace Corporation, а отправила аппарат на орбиту Земли ракета Falcon 9 компании SpaceX.
Основная цель этой «песочницы» — это испытание космических систем безопасности в реальных условиях, то есть когда спутник не лежит перед хакером на столе, а находится в движении на расстоянии нескольких сотен километров. И это важно, потому что орбитальная механика вносит свои коррективы в процесс работы со спутником, банальная задержка сигнала это меньшая из проблем, в отличие от той же теневой зоны — когда спутник уходит за радиогоризонт и не может ни принимать команды, ни отправлять данные.
Устройство Moonlighter довольно простое — солнечные панели, несколько датчиков астронавигации и корпус с электроникой. А вот что в этой электронике загружено... Как уже писало выше, это — песочница. Изолированное программное окружение не позволит хакерам нанести критический урон система спутника или взять под контроль его навигацию и управление. Они смогут получить доступ только к заранее установленным системам аппарата. Принцип «песочницы» уже стал обыденностью повсеместно, допустим в той же операционке яблочных мобильных гаджетов — IOS, о чем мы писали ранее.
Американский кубсат будет подвергаться сразу нескольким атакам от разных команд. В этом и суть испытания: 5 команд финалистов состязания Hack-A-Sat в Лас-Вегасе будут ломать Moonlighter, а тройка лучших разделит денежный приз в 100 тысяч долларов. Об итогах конкурса и всего эксперимента мы узнаем в конце лета.
Как сказал один из участников прошлых конкурсов: «С Moonlighter мы пытаемся решить проблему до того, как она станет проблемой».
Telegram
3side кибербезопасности
Все можно сломать — но ломали ли спутники?
Мы когда — то уже писали обо всей этой истории: 24 февраля 2022 используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости…
Мы когда — то уже писали обо всей этой истории: 24 февраля 2022 используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости…
Использование шпионского софта может привести к отставке главы государства
По крайней мере, в Мексике такое вполне возможно. История простая — в телефоне местного уполномоченного по правам человека нашли следы израильского шпионского софта. Причем случай далеко не первый — до этого жертвами становились другие политики. Причина активизации простая — в Мексике огромные проблемы с правами человека, и если начать глубоко копать, можно накопать очень многое.
Что характерно, мексиканские власти отрицают какую-либо связь с израильской NSO Group за последние годы при том, что по неофициальным данным на покупку софта было потрачено около 0,3 млрд долларов. Кто конкретно применял софт, военные или прокуратура — не понятно, но история пахнет довольно неприятно. Самое смешное, что мексиканцы с радостью покупали Pegasus при любых президентах.
Что самое смешное, применение софта против наркокартелей с их тотальной паранойей в части ИБ не факт, что будет достаточно эффективной — мы уже писали о том, как картели даже строили собственные вышки сотовой связи, чтобы избежать слежки. А вот следить за потенциальными конкурентами в правительстве гораздо проще и удобнее. А с учетом того, что мексиканские власти с наркотрафиком как минимум не борются (а в некоторых случаях просто находятся в доле), выбор целей для взлома вызывает все больше вопросов.
Какой вывод мы можем сделать? Кибероружие — такое же оружие, как и любое другое. И мы уверены, что в ближайшем будущем его оборот станет все большей проблемой.
По крайней мере, в Мексике такое вполне возможно. История простая — в телефоне местного уполномоченного по правам человека нашли следы израильского шпионского софта. Причем случай далеко не первый — до этого жертвами становились другие политики. Причина активизации простая — в Мексике огромные проблемы с правами человека, и если начать глубоко копать, можно накопать очень многое.
Что характерно, мексиканские власти отрицают какую-либо связь с израильской NSO Group за последние годы при том, что по неофициальным данным на покупку софта было потрачено около 0,3 млрд долларов. Кто конкретно применял софт, военные или прокуратура — не понятно, но история пахнет довольно неприятно. Самое смешное, что мексиканцы с радостью покупали Pegasus при любых президентах.
Что самое смешное, применение софта против наркокартелей с их тотальной паранойей в части ИБ не факт, что будет достаточно эффективной — мы уже писали о том, как картели даже строили собственные вышки сотовой связи, чтобы избежать слежки. А вот следить за потенциальными конкурентами в правительстве гораздо проще и удобнее. А с учетом того, что мексиканские власти с наркотрафиком как минимум не борются (а в некоторых случаях просто находятся в доле), выбор целей для взлома вызывает все больше вопросов.
Какой вывод мы можем сделать? Кибероружие — такое же оружие, как и любое другое. И мы уверены, что в ближайшем будущем его оборот станет все большей проблемой.
Telegram
3side кибербезопасности
Мексиканские наркокартели похищали инженеров, чтобы построить секретную систему связи
Мы тут наткнулись на старую новость о том, как мексиканские наркокартели похитили несколько десятков инженеров для того, чтобы построить собственную систему сотовой связи.…
Мы тут наткнулись на старую новость о том, как мексиканские наркокартели похитили несколько десятков инженеров для того, чтобы построить собственную систему сотовой связи.…
Угроза руководителям/основателям
Руководитель/основатель компании такой же человек, со своими слабостями и заблуждениями, которые часто эксплуатируют. Но иногда от рядовой угрозы, к которой мы все уже привыкли и зачастую относимся с иронией, может пострадать весь бизнес, партнеры, сотрудники, да вообще все причастные.
Я говорю о тех, кого часто называют «инфоцыгане», а корректнее «мошенники из сферы инфобизнеса». Казалось бы, человек, который основал бизнес и руководит им, мало подвержен подобному. Но, к сожалению, даже умудренный опытом человек может попасть под их влияние, поверить в «сказку» и поставить под угрозу не только свое финансовое благополучие, но и свою фирму. Прецеденты уже случались.
Краткая памятка о них в следующем посте. Поделитесь ей с друзьями и близкими!
Важно, чтобы человек узнал об этом, что это ДО попадания к ним на крючок, иначе вытащить его оттуда будет гораздо сложнее.
Руководитель/основатель компании такой же человек, со своими слабостями и заблуждениями, которые часто эксплуатируют. Но иногда от рядовой угрозы, к которой мы все уже привыкли и зачастую относимся с иронией, может пострадать весь бизнес, партнеры, сотрудники, да вообще все причастные.
Я говорю о тех, кого часто называют «инфоцыгане», а корректнее «мошенники из сферы инфобизнеса». Казалось бы, человек, который основал бизнес и руководит им, мало подвержен подобному. Но, к сожалению, даже умудренный опытом человек может попасть под их влияние, поверить в «сказку» и поставить под угрозу не только свое финансовое благополучие, но и свою фирму. Прецеденты уже случались.
Краткая памятка о них в следующем посте. Поделитесь ей с друзьями и близкими!
Важно, чтобы человек узнал об этом, что это ДО попадания к ним на крючок, иначе вытащить его оттуда будет гораздо сложнее.
Мошенники из инфобизнеса — как это работает?
Их много, они продают курсы/тренинги/коучинг/марафоны. Любой «информационный» бизнес продаёт «бесценную» информацию, которая на деле не стоит ничего, а покупают её лишь благодаря обману. Они подобны сектам. Они — типичные представители инфобизнеса, в народе — инфоцыгане.
Часто паразитируют на темах «бизнес», «отношения», «психология», «исполнение желаний», «мотивация». На одного действительно стоящего бизнес-тренера или коуча приходятся десятки инфоцыган. И это проблема.
— Как цепляют своих жертв?
Стратегии две, и их могут комбинировать.
1. Разочарование в себе. Мошенники обращают внимание на проблемы в жизни: финансовые или личные. Основной посыл: тебе нужна помощь — ты говно.
2. Жадность. Говорят, что каждый может легко стать богатым и успешным, но раз ты сам не смог, тебе нужна наша помощь.
На деле человека можно зацепить за любую ситуацию, когда его ожидания от жизни не совпадают с действительностью. Тогда мошенники искусственно раздувают это до «проблемы» и предлагают максимально простое решение. И нет, как правило это не стоящее образование или смена работы.
— Как завоевывают доверие?
1. Создают иллюзию того, что они способны решить все проблемы и/или привести жертву к «успешному успеху», чтобы это ни значило.
Они вас «научат как», а сами вы уже не справились, раз пришли к ним. А в качестве «подтверждения» используют множество уже ранее завербованных людей.
2. Особенно эффективно работают массовые коммуникации между жертвами, которые сами убеждают друг друга в реальности этой иллюзии. Например, на тренингах, марафонах, мероприятиях, премиях, где каждый говорит то, что хочет услышать сам и хотят услышать другие. Правда, реальные миллионеры там встречаются не то чтобы часто.
3. Обязательно демонстрируют, что каждый может стать таким же успешным как они: снимая постановочные ролики об «историях успеха» и культивируя культ своей личности или приближенных. Принцип тот же, что и у финансовой пирамиды.
«У нее исполнились её мечты всего за пару месяцев»
«Она нашла себе богатого и красивого принца»
«Год назад пришел к нам бедный студент и вот у него уже Бентли и квартира в Дубае»
И завербованные будут это подтверждать, хотя и это не так.
— Что хотят?
Денег, и помощи в обработке новых последователей. Больше им не нужно ничего, им плевать на своих жертв.
То есть плати, и проявляй пиар-активность. Пиши посты, рассказывай друзьям, участвуй в мероприятиях. Тех, кто помогает приводить людей и убеждать их, они подпускают поближе, как самых ценных.
Деньги могут быть не сразу, как «платные материалы к бесплатному курсу» или «расширенную практику», чтобы не отпугнуть.
— Что делать, если ваш друг/знакомый попал в подобное?
Возможно он, потеряв время и деньги, выйдет оттуда сам и научится на своих ошибках. Большинство людей всё-таки учатся на ошибках.
Если не научится, объясните, что случилось и помогите ему научиться.
Вытащить же кого-либо самостоятельно крайне сложно. Формально такие организации могут и не нарушать никаких законов, поэтому придется обращаться к специалистам-психологам.
Главное минимизировать финансовые потери. Да, человек без денег мошенникам не особо интересен, если он не стал там «звездой вербовки». Тогда уже все плохо — он стал одним из них, и покинуть «секту инфоцыган» гораздо сложнее.
Их много, они продают курсы/тренинги/коучинг/марафоны. Любой «информационный» бизнес продаёт «бесценную» информацию, которая на деле не стоит ничего, а покупают её лишь благодаря обману. Они подобны сектам. Они — типичные представители инфобизнеса, в народе — инфоцыгане.
Часто паразитируют на темах «бизнес», «отношения», «психология», «исполнение желаний», «мотивация». На одного действительно стоящего бизнес-тренера или коуча приходятся десятки инфоцыган. И это проблема.
— Как цепляют своих жертв?
Стратегии две, и их могут комбинировать.
1. Разочарование в себе. Мошенники обращают внимание на проблемы в жизни: финансовые или личные. Основной посыл: тебе нужна помощь — ты говно.
2. Жадность. Говорят, что каждый может легко стать богатым и успешным, но раз ты сам не смог, тебе нужна наша помощь.
На деле человека можно зацепить за любую ситуацию, когда его ожидания от жизни не совпадают с действительностью. Тогда мошенники искусственно раздувают это до «проблемы» и предлагают максимально простое решение. И нет, как правило это не стоящее образование или смена работы.
— Как завоевывают доверие?
1. Создают иллюзию того, что они способны решить все проблемы и/или привести жертву к «успешному успеху», чтобы это ни значило.
Они вас «научат как», а сами вы уже не справились, раз пришли к ним. А в качестве «подтверждения» используют множество уже ранее завербованных людей.
2. Особенно эффективно работают массовые коммуникации между жертвами, которые сами убеждают друг друга в реальности этой иллюзии. Например, на тренингах, марафонах, мероприятиях, премиях, где каждый говорит то, что хочет услышать сам и хотят услышать другие. Правда, реальные миллионеры там встречаются не то чтобы часто.
3. Обязательно демонстрируют, что каждый может стать таким же успешным как они: снимая постановочные ролики об «историях успеха» и культивируя культ своей личности или приближенных. Принцип тот же, что и у финансовой пирамиды.
«У нее исполнились её мечты всего за пару месяцев»
«Она нашла себе богатого и красивого принца»
«Год назад пришел к нам бедный студент и вот у него уже Бентли и квартира в Дубае»
И завербованные будут это подтверждать, хотя и это не так.
— Что хотят?
Денег, и помощи в обработке новых последователей. Больше им не нужно ничего, им плевать на своих жертв.
То есть плати, и проявляй пиар-активность. Пиши посты, рассказывай друзьям, участвуй в мероприятиях. Тех, кто помогает приводить людей и убеждать их, они подпускают поближе, как самых ценных.
Деньги могут быть не сразу, как «платные материалы к бесплатному курсу» или «расширенную практику», чтобы не отпугнуть.
— Что делать, если ваш друг/знакомый попал в подобное?
Возможно он, потеряв время и деньги, выйдет оттуда сам и научится на своих ошибках. Большинство людей всё-таки учатся на ошибках.
Если не научится, объясните, что случилось и помогите ему научиться.
Вытащить же кого-либо самостоятельно крайне сложно. Формально такие организации могут и не нарушать никаких законов, поэтому придется обращаться к специалистам-психологам.
Главное минимизировать финансовые потери. Да, человек без денег мошенникам не особо интересен, если он не стал там «звездой вербовки». Тогда уже все плохо — он стал одним из них, и покинуть «секту инфоцыган» гораздо сложнее.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
Радикальный инсайд — открытая диверсия сотрудников
Нелояльные сотрудники — проблема для компании. Особенно когда из просто "нелояльных" они превращаются в "изначально вредителей". Такую проблему мы называем "радикальным инсайдов" — ситуацией, когда сотрудник из политических или иных убеждений начинает наносить ущерб работодателю.
Тут недавно всплыла потрясающая история: была в Управлении по цифровизации Росавиации практически рядовая сотрудница. Она уволилась и уехала из России — а вскоре атака на сервера организации вынудила ее перейти на бумажный документооборот. О последствиях судить сложно, но на рынке говорят о том, что проблемы есть и их много.
В итоге выяснилось, что у сотрудницы было украинское гражданство. И нет, само по себе оно стоп-фактором не является, но HR-службам и коллегам стоит как-то мониторить состояние сотрудников и ставить хоть какой-то фильтр на входе. Да и в процессе работы мониторинг действий сотрудников важен, для предотвращения подобного.
Это же обычный инсайд! Не совсем, ранее инсайд был делом скрытным, чаще всего финансово мотивированным, злоумышленники боялись быть пойманными.
А с февраля 2022 года, появился инсайд радикальный, в первую очередь политически мотивированный. При это инсайдер не боится быть пойманным, ведь после злонамеренных действий он просто уезжает в аэропорт. И остановить его практически невозможно, скорости реакции компании, да и силовых структур скорее всего будет недостаточной. Запустил шифровальщик и в аэропорт.
Нелояльные сотрудники — проблема для компании. Особенно когда из просто "нелояльных" они превращаются в "изначально вредителей". Такую проблему мы называем "радикальным инсайдов" — ситуацией, когда сотрудник из политических или иных убеждений начинает наносить ущерб работодателю.
Тут недавно всплыла потрясающая история: была в Управлении по цифровизации Росавиации практически рядовая сотрудница. Она уволилась и уехала из России — а вскоре атака на сервера организации вынудила ее перейти на бумажный документооборот. О последствиях судить сложно, но на рынке говорят о том, что проблемы есть и их много.
В итоге выяснилось, что у сотрудницы было украинское гражданство. И нет, само по себе оно стоп-фактором не является, но HR-службам и коллегам стоит как-то мониторить состояние сотрудников и ставить хоть какой-то фильтр на входе. Да и в процессе работы мониторинг действий сотрудников важен, для предотвращения подобного.
Это же обычный инсайд! Не совсем, ранее инсайд был делом скрытным, чаще всего финансово мотивированным, злоумышленники боялись быть пойманными.
А с февраля 2022 года, появился инсайд радикальный, в первую очередь политически мотивированный. При это инсайдер не боится быть пойманным, ведь после злонамеренных действий он просто уезжает в аэропорт. И остановить его практически невозможно, скорости реакции компании, да и силовых структур скорее всего будет недостаточной. Запустил шифровальщик и в аэропорт.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
Optic ID — новая технология защиты Apple
В начале этого месяца прошла традиционная (хотя здесь вопрос интересный) презентация Apple WWDC2023. На ней было представлено несколько новых гаджетов, в числе которых были очки Apple Vision Pro. Они позиционируются как устройство смешанной реальности, позволяющее окунаться в виртуальный мир не выпадая из реального. Зачем оно нужно? Компания презентует эти очки для дизайнеров, 3D моделистов, инженеров и многих других профессий. Благодаря единой экосистеме Apple, AVP элементарно взаимодействует с обычными рабочими приложениями на тех же маках: фотошоп, видеоредактор, звукоредактор и прочие программы работают в едином пространстве. Но нас интересует другое — система защиты очков.
Optic ID — именно так назвали в Купертино новую технологию, которая отвечает за конфиденциальность устройства. Чтобы получить доступ к очкам, Optic ID сканирует радужную оболочку человеческого глаза и таким образом определяет владельца. Как? Несколько лампочек, расположенных в окулярах очках, проецируют инфракрасный свет на каждый глаз. После этого камеры производят серию снимков зрачка с разной экспозицией, и сопроцессор сверяет полученные рисунки радужки с сохраненными данными в системе. Если совпадение есть — пользователь получает доступ к очкам. Данные об оболочке в зашифрованном виде находятся в отдельном хранилище Secure Enclave. Никто, включая саму компанию Apple, не может получить доступ к этой информации.
Эта технология защиты не нова — ещё в Samsung Galaxy Note 7, флагмане мира телефонов на тот момент, была применена эта технология. Вплоть до Galaxy S9 корейцы использовали распознавание радужной оболочки глаза. Но после сканер был убран — он занимал слишком много места, что не сочеталось с концепцией безрамочного экрана у новых моделей Galaxy.
На Apple Vision Pro такой способ идентификации, наверное, наилучший вариант из возможных — Face ID был бы непрактичным вариантом, а для Touch ID нужна ещё одна внешняя кнопка. Как заявляют в компании, Optic ID — наиболее безопасный и быстрый способ получения доступа к очкам.
Помимо нового способа разблокировки устройства, в Apple позаботились о приватности взгляда пользователя. Просматривая какой-либо сайт никто не будет знать о тех областях, куда был направлен ваш взгляд. Информация будет передаваться только о кликах, как это было бы с обычным курсором.
Optic ID фактически полностью исключает сторонний взлом Vision Pro. Если Touch ID и Face ID люди, при должном старании, могли обмануть, то сканер сетчатки провести практически невозможно. Так как даже у близнецов радужная оболочка отличается друг от друга. Осталось дождаться выхода AVP и узнать, как оно работает у реальных пользователей.
В начале этого месяца прошла традиционная (хотя здесь вопрос интересный) презентация Apple WWDC2023. На ней было представлено несколько новых гаджетов, в числе которых были очки Apple Vision Pro. Они позиционируются как устройство смешанной реальности, позволяющее окунаться в виртуальный мир не выпадая из реального. Зачем оно нужно? Компания презентует эти очки для дизайнеров, 3D моделистов, инженеров и многих других профессий. Благодаря единой экосистеме Apple, AVP элементарно взаимодействует с обычными рабочими приложениями на тех же маках: фотошоп, видеоредактор, звукоредактор и прочие программы работают в едином пространстве. Но нас интересует другое — система защиты очков.
Optic ID — именно так назвали в Купертино новую технологию, которая отвечает за конфиденциальность устройства. Чтобы получить доступ к очкам, Optic ID сканирует радужную оболочку человеческого глаза и таким образом определяет владельца. Как? Несколько лампочек, расположенных в окулярах очках, проецируют инфракрасный свет на каждый глаз. После этого камеры производят серию снимков зрачка с разной экспозицией, и сопроцессор сверяет полученные рисунки радужки с сохраненными данными в системе. Если совпадение есть — пользователь получает доступ к очкам. Данные об оболочке в зашифрованном виде находятся в отдельном хранилище Secure Enclave. Никто, включая саму компанию Apple, не может получить доступ к этой информации.
Эта технология защиты не нова — ещё в Samsung Galaxy Note 7, флагмане мира телефонов на тот момент, была применена эта технология. Вплоть до Galaxy S9 корейцы использовали распознавание радужной оболочки глаза. Но после сканер был убран — он занимал слишком много места, что не сочеталось с концепцией безрамочного экрана у новых моделей Galaxy.
На Apple Vision Pro такой способ идентификации, наверное, наилучший вариант из возможных — Face ID был бы непрактичным вариантом, а для Touch ID нужна ещё одна внешняя кнопка. Как заявляют в компании, Optic ID — наиболее безопасный и быстрый способ получения доступа к очкам.
Помимо нового способа разблокировки устройства, в Apple позаботились о приватности взгляда пользователя. Просматривая какой-либо сайт никто не будет знать о тех областях, куда был направлен ваш взгляд. Информация будет передаваться только о кликах, как это было бы с обычным курсором.
Optic ID фактически полностью исключает сторонний взлом Vision Pro. Если Touch ID и Face ID люди, при должном старании, могли обмануть, то сканер сетчатки провести практически невозможно. Так как даже у близнецов радужная оболочка отличается друг от друга. Осталось дождаться выхода AVP и узнать, как оно работает у реальных пользователей.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
Конспирологический взлом 1С Битрикс
Многие ТГ-каналы, пишущие о безопасности, разгоняют следующих тезис:
«В последнее время все громкие утечки были выгружены из 1С Битрикс, это не просто так, судя по всему существует какая-то эксплуатируемая и неизвестная широкой общественности уязвимость»
Но доказательств никто не приводит, а тезис этот откровенно спорный. Сейчас очень многие веб-приложения работают на Битриксе, даже Госуслуги РФ. Тогда почему утекают одни, но не утекают другие? Чтобы показать отсутствие причинно-следственной связи перенесу этот тезис на Windows. «Во всех взломанных и зашифрованных компаниях использовали Windows! Совпадение? Не думаю!»
Канал Некасперский один из первых начал разгонять этот тезис, но сейчас уже изменил свою точку зрения. Там пишут, что якобы проблема в том, что Битрикс пиратят и обновления не ставят. Доказательств пока тоже не привели, да и найти их будет затруднительно.
Что может быть с Битриксом не так? Есть известная уязвимость в модуле для голосований «vote», под номером CVE-2022-27228. Она прошлогодняя, давно устраненная, и даже не обновляя Битрикс, ее можно устранить просто отключив модуль. Эту уязвимость успешно эксплуатировали весь прошлый год, поэтому маловероятно, что многие утечки этого года с ней связаны, но все бывает.
Сотрудники ФСТЭК тоже читают ТГ-каналы, надеемся, что наш тоже. Поэтому, на всякий случай разослали предупреждения для госструктур, о том, что Битрикс могут атаковать. Но будучи людьми осмотрительными, бездоказательных утверждений не делали, а лишь напомнили о CVE-2022-27228. И попросили удостовериться, что ей структуры не подвержены.
Ну а подробнее об известных атаках на Битрикс без конспирологии и домыслов можно прочитать тут.
Многие ТГ-каналы, пишущие о безопасности, разгоняют следующих тезис:
«В последнее время все громкие утечки были выгружены из 1С Битрикс, это не просто так, судя по всему существует какая-то эксплуатируемая и неизвестная широкой общественности уязвимость»
Но доказательств никто не приводит, а тезис этот откровенно спорный. Сейчас очень многие веб-приложения работают на Битриксе, даже Госуслуги РФ. Тогда почему утекают одни, но не утекают другие? Чтобы показать отсутствие причинно-следственной связи перенесу этот тезис на Windows. «Во всех взломанных и зашифрованных компаниях использовали Windows! Совпадение? Не думаю!»
Канал Некасперский один из первых начал разгонять этот тезис, но сейчас уже изменил свою точку зрения. Там пишут, что якобы проблема в том, что Битрикс пиратят и обновления не ставят. Доказательств пока тоже не привели, да и найти их будет затруднительно.
Что может быть с Битриксом не так? Есть известная уязвимость в модуле для голосований «vote», под номером CVE-2022-27228. Она прошлогодняя, давно устраненная, и даже не обновляя Битрикс, ее можно устранить просто отключив модуль. Эту уязвимость успешно эксплуатировали весь прошлый год, поэтому маловероятно, что многие утечки этого года с ней связаны, но все бывает.
Сотрудники ФСТЭК тоже читают ТГ-каналы, надеемся, что наш тоже. Поэтому, на всякий случай разослали предупреждения для госструктур, о том, что Битрикс могут атаковать. Но будучи людьми осмотрительными, бездоказательных утверждений не делали, а лишь напомнили о CVE-2022-27228. И попросили удостовериться, что ей структуры не подвержены.
Ну а подробнее об известных атаках на Битрикс без конспирологии и домыслов можно прочитать тут.
GitHub
writeups/attacking_bitrix.pdf at main · cr1f/writeups
some thoughts. Contribute to cr1f/writeups development by creating an account on GitHub.
Внимание, провокации!
На фоне всего происходящего, мошеннические колл-центры активно подключились к повышению общей напряженности. Обзванивают абонентов по своим базам, призывают много к чему, например выходить на акции протеста. Представляются структурами ЧВК "Вагнер".
Не поддавайтесь на провокации! Не забывайте, что вам звонят мошенники.
Кладите трубку.
На фоне всего происходящего, мошеннические колл-центры активно подключились к повышению общей напряженности. Обзванивают абонентов по своим базам, призывают много к чему, например выходить на акции протеста. Представляются структурами ЧВК "Вагнер".
Не поддавайтесь на провокации! Не забывайте, что вам звонят мошенники.
Кладите трубку.
Итоги взлома сети преступной связи Encochat
В июле 2020 Европол провёл операцию по взлому и ликвидации защищенной сети связи, используемой преступниками. Мы привыкли, что самые крутые операции проводит ФБР, но не в этом случае. Тут постарались Нидерланды и Франция.
Encochat был, по сути, телефонной сетью с максимальным уровнем защиты и анонимности. Каждый защищенный крипто-телефон на Андроид стоит 1000 евро, а подписка на сервисы связи стоила 1500 евро за полгода.
На днях были раскрыты данные о пользователях и об итогах работы правоохранителей.
Кто пользовался их услугами?
— Участники классических ОПГ (34,8%)
— Участники наркотрафика (33,29%)
— Специалисты по отмыванию денег (14%)
— Киллеры (11,5%)
— Торговцы оружием (6,4%)
— Остальные (00,01%).
Но что в итоге?
Ошибки создателей сети привели к её взлому и следующим результатам:
— Арестованы 6558 человек, из которых 197 были особенно ценны для следствия.
— Суммарно им грозит 7134 года тюрьмы.
— Конфискованы 739,7 миллионов евро наличными.
— Заморожены активы на счета на 154,1 миллионов евро.
— Изъято 30,5 миллионов наркотических таблеток.
— Изъято: 103,5 тонны кокаина, 163,4 тонны каннабиса и 3,3 тонны героина.
— Конфискованы: 971 автомобиль, 83 лодки и 40 самолетов.
— Наложен арест на 271 объект недвижимости.
— Изъято: 923 единицы оружия, 21 750 единиц патронов и 68 взрывчатых боеприпасов.
Видимо создатели недооценили риск взлома.
В июле 2020 Европол провёл операцию по взлому и ликвидации защищенной сети связи, используемой преступниками. Мы привыкли, что самые крутые операции проводит ФБР, но не в этом случае. Тут постарались Нидерланды и Франция.
Encochat был, по сути, телефонной сетью с максимальным уровнем защиты и анонимности. Каждый защищенный крипто-телефон на Андроид стоит 1000 евро, а подписка на сервисы связи стоила 1500 евро за полгода.
На днях были раскрыты данные о пользователях и об итогах работы правоохранителей.
Кто пользовался их услугами?
— Участники классических ОПГ (34,8%)
— Участники наркотрафика (33,29%)
— Специалисты по отмыванию денег (14%)
— Киллеры (11,5%)
— Торговцы оружием (6,4%)
— Остальные (00,01%).
Но что в итоге?
Ошибки создателей сети привели к её взлому и следующим результатам:
— Арестованы 6558 человек, из которых 197 были особенно ценны для следствия.
— Суммарно им грозит 7134 года тюрьмы.
— Конфискованы 739,7 миллионов евро наличными.
— Заморожены активы на счета на 154,1 миллионов евро.
— Изъято 30,5 миллионов наркотических таблеток.
— Изъято: 103,5 тонны кокаина, 163,4 тонны каннабиса и 3,3 тонны героина.
— Конфискованы: 971 автомобиль, 83 лодки и 40 самолетов.
— Наложен арест на 271 объект недвижимости.
— Изъято: 923 единицы оружия, 21 750 единиц патронов и 68 взрывчатых боеприпасов.
Видимо создатели недооценили риск взлома.
Утечка данных шпионского ПО
Если и ставить приложения «родительского контроля», то легально и известных компаний. Чтобы не случилось как с LetMeSpy. Это классическое Android -приложение для слежки, которое устанавливалось на разблокированный смартфон, старалось скрывать себя в системе и отсылало данные своему хозяину.
Формально, если установить его, не имея на это прав, можно попасть под статью УК РФ, а то и под несколько статей. В 2023 году официальный сайт приложения гордо заявлял, что ПО успешно выполнило свою задачу на 236 000 устройств!
И вот произошла утечка, что утекло?
- Информация о 26 000 клиентах бесплатной версии, включая хэши их паролей.
- 13 400 точек геолокации (России не видно, но видна Беларусь)
- Журналы звонков, смс-сообщения. Включая коды двухфакторной аутентификации и пароли от сервисов!
При этом часть данных хранилось аж с 2013 года, хотя разработчики утверждают, что удаляют данные через 2 месяца бездействия.
К слову, разработчик ПО проживает в Польше и не скрывает свою личность, интересно не нарушает ли ПО законодательство ЕС? Ему пришлось уведомить об утечке польских регуляторов, возможно к его компании теперь присмотрятся.
Инцидент этот не уникальный, в 2018 году был взлом похожего приложения «TheTruthSpy», в 2020 утекло из приложения «KidsGuard» и так далее.
Администрация канала в целом не разделяет подобные методы контроля и скрытой слежки за детьми, но при острой необходимости ищите легальные решения от известных производителей. Такие на рынке есть.
Если и ставить приложения «родительского контроля», то легально и известных компаний. Чтобы не случилось как с LetMeSpy. Это классическое Android -приложение для слежки, которое устанавливалось на разблокированный смартфон, старалось скрывать себя в системе и отсылало данные своему хозяину.
Формально, если установить его, не имея на это прав, можно попасть под статью УК РФ, а то и под несколько статей. В 2023 году официальный сайт приложения гордо заявлял, что ПО успешно выполнило свою задачу на 236 000 устройств!
И вот произошла утечка, что утекло?
- Информация о 26 000 клиентах бесплатной версии, включая хэши их паролей.
- 13 400 точек геолокации (России не видно, но видна Беларусь)
- Журналы звонков, смс-сообщения. Включая коды двухфакторной аутентификации и пароли от сервисов!
При этом часть данных хранилось аж с 2013 года, хотя разработчики утверждают, что удаляют данные через 2 месяца бездействия.
К слову, разработчик ПО проживает в Польше и не скрывает свою личность, интересно не нарушает ли ПО законодательство ЕС? Ему пришлось уведомить об утечке польских регуляторов, возможно к его компании теперь присмотрятся.
Инцидент этот не уникальный, в 2018 году был взлом похожего приложения «TheTruthSpy», в 2020 утекло из приложения «KidsGuard» и так далее.
Администрация канала в целом не разделяет подобные методы контроля и скрытой слежки за детьми, но при острой необходимости ищите легальные решения от известных производителей. Такие на рынке есть.
Лицензия ТЗКИ — как выглядит «шапочка из бумаги»
Сегодня хорошие люди в очередной раз спросили нас о том, есть ли у нас лицензия ТЗКИ. И услышав «нет» — задали вопрос, в чём причина. Так вот — мы точно знаем, что наша деятельность не попадает под требования ТЗКИ. Но, кажется, скоро мы её оформим просто для того, чтобы избежать вопросов, благо это не сложно.
Теперь о том, что это такое. ТЗКИ — это лицензия ФСТЭК, дающая возможность заниматься работами в области кибербезопасности. Чтобы её получить, нужно иметь 3 сотрудников (одного на полный день) с релевантным опытом и образованием, а также иметь соответствующее помещение. Ещё софт, компьютер, юристы, подготовка заявки, но это всё вопросы технические, и их решение давно отработано.
О чём говорит наличие у компании, занимающейся ИБ, такой лицензии? О том, что она потратила немного времени и немного денег, чтобы её получить. Говорит ли она о компетенциях компании? Нет. Приведу простой пример.
Допустим, я (Артём), хочу создать интегратор ООО «Рога и Копыта». Я думаю — окей, мне нужна лицензия! Я нанимаю Антона (на полный день), ещё пару знакомых парней с опытом в ИБ на part-time, снимаю офис в Ново-Мухоморово, трачу немного денег на аутсорс всего остального и... всё. Через 3 месяца у меня есть лицензия. При этом сотрудники (кроме главного) будут числиться у меня номинально, и платить я им буду 3 копейки — они всё равно на меня не работают.
Вот только реальных сотрудников у меня всё ещё не будет — я могу прикрываться сертификатами Антона и парней, участвовать в тендерах, но в реальности всё, что я могу — перепродавать контракты. Причём если я совсем жадный, то продавать я их буду студентам (зря что ли Антон лекции свои читает), а парней попрошу посмотреть, совсем треш они сделали или прокатит.
При этом с точки зрения наличия лицензии — я молодец. А с точки зрения здравого смысла — не очень. Тут классическое «автомат купил, воевать не купил», и лицензия в реальности превращается в подобие патента, необходимого для работы. А для клиента, лицензия у исполнителя работ — это шапочка из бумаги. Она не защищает ни от чего и ничего не гарантирует.
В общем, мы это всё к чему. Лицензию мы, конечно, получим. Вот только от её наличия мы ни лучше, ни хуже не станем.
Сегодня хорошие люди в очередной раз спросили нас о том, есть ли у нас лицензия ТЗКИ. И услышав «нет» — задали вопрос, в чём причина. Так вот — мы точно знаем, что наша деятельность не попадает под требования ТЗКИ. Но, кажется, скоро мы её оформим просто для того, чтобы избежать вопросов, благо это не сложно.
Теперь о том, что это такое. ТЗКИ — это лицензия ФСТЭК, дающая возможность заниматься работами в области кибербезопасности. Чтобы её получить, нужно иметь 3 сотрудников (одного на полный день) с релевантным опытом и образованием, а также иметь соответствующее помещение. Ещё софт, компьютер, юристы, подготовка заявки, но это всё вопросы технические, и их решение давно отработано.
О чём говорит наличие у компании, занимающейся ИБ, такой лицензии? О том, что она потратила немного времени и немного денег, чтобы её получить. Говорит ли она о компетенциях компании? Нет. Приведу простой пример.
Допустим, я (Артём), хочу создать интегратор ООО «Рога и Копыта». Я думаю — окей, мне нужна лицензия! Я нанимаю Антона (на полный день), ещё пару знакомых парней с опытом в ИБ на part-time, снимаю офис в Ново-Мухоморово, трачу немного денег на аутсорс всего остального и... всё. Через 3 месяца у меня есть лицензия. При этом сотрудники (кроме главного) будут числиться у меня номинально, и платить я им буду 3 копейки — они всё равно на меня не работают.
Вот только реальных сотрудников у меня всё ещё не будет — я могу прикрываться сертификатами Антона и парней, участвовать в тендерах, но в реальности всё, что я могу — перепродавать контракты. Причём если я совсем жадный, то продавать я их буду студентам (зря что ли Антон лекции свои читает), а парней попрошу посмотреть, совсем треш они сделали или прокатит.
При этом с точки зрения наличия лицензии — я молодец. А с точки зрения здравого смысла — не очень. Тут классическое «автомат купил, воевать не купил», и лицензия в реальности превращается в подобие патента, необходимого для работы. А для клиента, лицензия у исполнителя работ — это шапочка из бумаги. Она не защищает ни от чего и ничего не гарантирует.
В общем, мы это всё к чему. Лицензию мы, конечно, получим. Вот только от её наличия мы ни лучше, ни хуже не станем.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
Почему иногда просят включить телефон/планшет на досмотре?
Ответ для канала Александра Картавых.
С начала 2000-ых телефоны активно взрывались. Чеченские террористы не только активно их использовали как детонатор, но и как вполне самостоятельное взрывное устройство. В таком виде в его корпусе от самого телефона оставалось мало чего, а основной объём занимала взрывчатка. Начиненный подобным образом "телефон-бомба" на проверке не включится, да и зачастую его корпус будет выглядеть необычно. В таком случае сотрудники досмотра, обычно предлагают зарядку, а если проверяемый отказываться от подключения устройства к сети, устройство изымают для изучения.
А были ли те, которые включались?
Да, конечно. Он даже звонил! Доподлинно известно о случае, когда телефон во время разговора передали жертве - высокопоставленному члену ХАМАС. После чего телефон взорвался, это была точечная ликвидация и работа спецслужб. Подобную операцию показали в современном сериале "Тегеран". Но очевидно, охрана в аэропорту и метро не должна ловить шпионов мирового уровня =) Защита от менее квалифицированных угроз.
Почему просят не всегда?
Любая проверка избирательна, да и уровни тщательности досмотра зависят от множества факторов. Поэтому в одном и том же аэропорту/метро в зависимости от "усиления" какие-либо проверки могут быть обязательными, выборочными или их может не быть вовсе.
P.S. Зашел я как-то в аэропорт в Чехии, просто зашел через раздвижные двери. Оказался в зоне регистрации, и меня остановила мысль "Я зашел там, где выход, где охрана? Она меня сейчас остановит?". Через секунду вспомнил, я в Чехии, тут нет проверок на входе в аэропорт, тут аэропорты не взрывали.
Ответ для канала Александра Картавых.
С начала 2000-ых телефоны активно взрывались. Чеченские террористы не только активно их использовали как детонатор, но и как вполне самостоятельное взрывное устройство. В таком виде в его корпусе от самого телефона оставалось мало чего, а основной объём занимала взрывчатка. Начиненный подобным образом "телефон-бомба" на проверке не включится, да и зачастую его корпус будет выглядеть необычно. В таком случае сотрудники досмотра, обычно предлагают зарядку, а если проверяемый отказываться от подключения устройства к сети, устройство изымают для изучения.
А были ли те, которые включались?
Да, конечно. Он даже звонил! Доподлинно известно о случае, когда телефон во время разговора передали жертве - высокопоставленному члену ХАМАС. После чего телефон взорвался, это была точечная ликвидация и работа спецслужб. Подобную операцию показали в современном сериале "Тегеран". Но очевидно, охрана в аэропорту и метро не должна ловить шпионов мирового уровня =) Защита от менее квалифицированных угроз.
Почему просят не всегда?
Любая проверка избирательна, да и уровни тщательности досмотра зависят от множества факторов. Поэтому в одном и том же аэропорту/метро в зависимости от "усиления" какие-либо проверки могут быть обязательными, выборочными или их может не быть вовсе.
P.S. Зашел я как-то в аэропорт в Чехии, просто зашел через раздвижные двери. Оказался в зоне регистрации, и меня остановила мысль "Я зашел там, где выход, где охрана? Она меня сейчас остановит?". Через секунду вспомнил, я в Чехии, тут нет проверок на входе в аэропорт, тут аэропорты не взрывали.
Telegram
Картавых Александр
Сегодня в метро еду и тормозят меня на рамке, сумочку проверить. Ну, проверили, как обычно. После чего я из карманов достал телефон, зажигалку, чутка мелочи и сам через рамку прошел.
А вот потом случилась странность. Скрипт сломался и сотрудник меня попросил…
А вот потом случилась странность. Скрипт сломался и сотрудник меня попросил…
Аудит и анализ защищенности vs пентест — как понять, что вам нужно?
Далеко не все компании на рынке понимают, какие ИБ-услуги им нужны (и нужны ли вообще). Но самый яркий пример — это пара "аудит/анализ защищенности vs пентест". Как-то пришел к нам клиент и уверенно сказал: "мне нужен пентест". В целом идея понятна, людей на рынке много, вроде бы все просто. Вот только мы начали копаться и поняли, что пентест клиенту не нужен. Ему нужно несколько иное.
Начнем с терминологии. Пентест (тестирование на проникновение) — это работы, которые (с некоторыми допущениями) можно назвать симуляцией действий злоумышленника. На самом деле, полноценная симуляция это red team, да и пентест бывает "белым" и "черным" ящиком, но суть не меняется. Задача пентестера — получить доступ или другие права к объекту исследования самым простым и быстрым способом. Найти все уязвимости — не задача пентестера.
Анализ защищенности — это комплекс мер, направленный на поиск максимального количества уязвимостей. То есть мы делаем очень широкое исследование именно для того, чтобы закрыть все возможные "дыры". Ну, а аудит — это разной степени детальности попытка понять "как у нас дела", зачастую на уровне методологии.
По-хорошему, если есть бюджет и понимание целевого процесса, то процесс надо строить так: сначала аудит (чтобы разобраться в ситуации/оценить свои силы), потом анализ защищенности (чтобы устранить уязвимости), а потом уже пентест, в идеале "черным ящиком", то есть в максимально реалистичных условиях. Проблема в том, что обычно на то, чтобы сразу сделать все хорошо, не хватает или денег, или времени.
На наш взгляд, самая недооцененная часть нашей работы — это именно разбор инфраструктуры клиента и формирование рекомендаций, как делать "прямо сейчас", исходя из списка угроз и задач бизнеса. Но об этом в другой раз.
Далеко не все компании на рынке понимают, какие ИБ-услуги им нужны (и нужны ли вообще). Но самый яркий пример — это пара "аудит/анализ защищенности vs пентест". Как-то пришел к нам клиент и уверенно сказал: "мне нужен пентест". В целом идея понятна, людей на рынке много, вроде бы все просто. Вот только мы начали копаться и поняли, что пентест клиенту не нужен. Ему нужно несколько иное.
Начнем с терминологии. Пентест (тестирование на проникновение) — это работы, которые (с некоторыми допущениями) можно назвать симуляцией действий злоумышленника. На самом деле, полноценная симуляция это red team, да и пентест бывает "белым" и "черным" ящиком, но суть не меняется. Задача пентестера — получить доступ или другие права к объекту исследования самым простым и быстрым способом. Найти все уязвимости — не задача пентестера.
Анализ защищенности — это комплекс мер, направленный на поиск максимального количества уязвимостей. То есть мы делаем очень широкое исследование именно для того, чтобы закрыть все возможные "дыры". Ну, а аудит — это разной степени детальности попытка понять "как у нас дела", зачастую на уровне методологии.
По-хорошему, если есть бюджет и понимание целевого процесса, то процесс надо строить так: сначала аудит (чтобы разобраться в ситуации/оценить свои силы), потом анализ защищенности (чтобы устранить уязвимости), а потом уже пентест, в идеале "черным ящиком", то есть в максимально реалистичных условиях. Проблема в том, что обычно на то, чтобы сразу сделать все хорошо, не хватает или денег, или времени.
На наш взгляд, самая недооцененная часть нашей работы — это именно разбор инфраструктуры клиента и формирование рекомендаций, как делать "прямо сейчас", исходя из списка угроз и задач бизнеса. Но об этом в другой раз.
С чего начать построение ИБ в компании
Как ни странно, одна из частых причин, по которой бизнес не занимается ИБ, звучит так: "мы не знаем, что делать". ИБ — это дорого, страшно, требует специфических знаний итд итп. На самом деле — и да, и нет, и все немного иначе.
Первое, о чем надо понять, задумавшись об ИБ в компании — это о рисках. Что может случиться с инфраструктурой? Какой ущерб будет нанесен? Сколько это будет стоить? Без хотя бы приблизительного ответа на эти вопросы, бегать по рынку, покупать софт и искать подрядчиков смысла нет. Более того, есть очень много компаний, которым услуги по ИБ вообще не нужны. О чем мы им периодчески и говорим.
Второе — надо честно ответить на вопрос "как у меня сейчас обстоят дела". Если бизнес не занимался ИБ — это нормально. Если бизнес не понимает, что такое ИБ — это тоже нормально. Главное — правильно оценить уровень защищенности, и вот тут можно пробовать находить подрядчика (если есть инфраструктура) или разбираться самому (если есть компетенции).
Третье — активные действия. Вот только на этом этапе, когда понятны и возможные потери, и состояние дел — имеет смысл пробовать идти на рынок и что-то искать. Нет, можно идти и раньше, если деньги есть. Но все равно есть неиллюзорные шансы нарваться на продажу очередной DLP-системы для компании по перевозке пылесосов.
Четвертое — повышать компетенции. Здесь все очень просто, чем более компетентен заказчик, тем более эффективно он потратит деньги. Разбираться самому, нанимать профильного сотрудника или стороннего директора по ИБ на part time (кстати, CISO как услуга у нас тоже есть) — каждый решает для себя сам.
А вообще, на наш взгляд ИБ риски — это вполне типичный пример рисков операционных, и работать с ними надо примерно так же. Здесь самое главное это здравая и адекватная оценка состояния собственной инфраструктуры и величины возможного ущерба.
Как ни странно, одна из частых причин, по которой бизнес не занимается ИБ, звучит так: "мы не знаем, что делать". ИБ — это дорого, страшно, требует специфических знаний итд итп. На самом деле — и да, и нет, и все немного иначе.
Первое, о чем надо понять, задумавшись об ИБ в компании — это о рисках. Что может случиться с инфраструктурой? Какой ущерб будет нанесен? Сколько это будет стоить? Без хотя бы приблизительного ответа на эти вопросы, бегать по рынку, покупать софт и искать подрядчиков смысла нет. Более того, есть очень много компаний, которым услуги по ИБ вообще не нужны. О чем мы им периодчески и говорим.
Второе — надо честно ответить на вопрос "как у меня сейчас обстоят дела". Если бизнес не занимался ИБ — это нормально. Если бизнес не понимает, что такое ИБ — это тоже нормально. Главное — правильно оценить уровень защищенности, и вот тут можно пробовать находить подрядчика (если есть инфраструктура) или разбираться самому (если есть компетенции).
Третье — активные действия. Вот только на этом этапе, когда понятны и возможные потери, и состояние дел — имеет смысл пробовать идти на рынок и что-то искать. Нет, можно идти и раньше, если деньги есть. Но все равно есть неиллюзорные шансы нарваться на продажу очередной DLP-системы для компании по перевозке пылесосов.
Четвертое — повышать компетенции. Здесь все очень просто, чем более компетентен заказчик, тем более эффективно он потратит деньги. Разбираться самому, нанимать профильного сотрудника или стороннего директора по ИБ на part time (кстати, CISO как услуга у нас тоже есть) — каждый решает для себя сам.
А вообще, на наш взгляд ИБ риски — это вполне типичный пример рисков операционных, и работать с ними надо примерно так же. Здесь самое главное это здравая и адекватная оценка состояния собственной инфраструктуры и величины возможного ущерба.
Форум агентства стратегических инициатив
Мы всегда сложно относились к государственным агентствам. Точнее скажем так — мы привыкли, что они занимаются какими-то социальными историями, и или наглухо забюрократизированные, или просто нищие как церковные мыши. Иннополис (в котором мы зарегистрированы) предложил нам поучаствовать в форуме от АСИ. Мы не то, чтобы рвались, но согласились.
На выходе получилось достаточно любопытное мероприятие (хотя для москвичей участвовать проще), с кучей интересных контактов. Некоторые все еще отрабатываем. Посмотрим, что из всего этого выйдет, но пока работа с АСИ производит достаточно приятное впечатление. Как будут новости - обязательно напишем. Из забавного — очень много людей из медийки, ну и в Ведомости попали.
Точно о статусе партнерства с АСИ мы, я надеюсь, напишем на следующей неделе.
Мы всегда сложно относились к государственным агентствам. Точнее скажем так — мы привыкли, что они занимаются какими-то социальными историями, и или наглухо забюрократизированные, или просто нищие как церковные мыши. Иннополис (в котором мы зарегистрированы) предложил нам поучаствовать в форуме от АСИ. Мы не то, чтобы рвались, но согласились.
На выходе получилось достаточно любопытное мероприятие (хотя для москвичей участвовать проще), с кучей интересных контактов. Некоторые все еще отрабатываем. Посмотрим, что из всего этого выйдет, но пока работа с АСИ производит достаточно приятное впечатление. Как будут новости - обязательно напишем. Из забавного — очень много людей из медийки, ну и в Ведомости попали.
Точно о статусе партнерства с АСИ мы, я надеюсь, напишем на следующей неделе.
Вот, кстати, видео с одного из круглых столов (Артем там начиная с 1:47)
Telegram
WBCMedia
28–29 июня в Центре международной торговли Москвы состоялся форум «Сильные идеи для нового времени».
Организаторами Форума выступили Агентство стратегических инициатив (АСИ) и Фонд Росконгресс, соорганизатор мероприятия — ВЭБ.РФ. Участниками события стали…
Организаторами Форума выступили Агентство стратегических инициатив (АСИ) и Фонд Росконгресс, соорганизатор мероприятия — ВЭБ.РФ. Участниками события стали…
Пять стадий принятия кибербезопасности / Антон Бочкарев (Третья сторона) — запись выступления Антона с Saint HighLoad++ 2023.
Компании приходят к ИБ довольно тернистым путем, как его пройти максимально безболезненно - тот еще вопрос.
Доклад посвящен тому, как избежать ошибок на пути трансформации ИБ-функции в компании от состояния "что такое ИБ" до построения адекватных механизмов защиты.
Антон рассказывал об этом впервые, но далеко не последний раз.
Компании приходят к ИБ довольно тернистым путем, как его пройти максимально безболезненно - тот еще вопрос.
Доклад посвящен тому, как избежать ошибок на пути трансформации ИБ-функции в компании от состояния "что такое ИБ" до построения адекватных механизмов защиты.
Антон рассказывал об этом впервые, но далеко не последний раз.
highload.ru
Профессиональная конференция разработчиков высоконагруженных систем 2023
Как Тинькофф клиентские данные с Госуслуг собирает
Тут Тинькофф начал предлагать пользователям дать им доступ к данным пользователей с Госуслуг, мотивируя это требованиями 115-ФЗ (противодействие легализации доходов, полученных преступным путем). Сам банк пишет о том, что ему нужны данные паспорта, прав и других документов.
Правда, в реальности он запрашивает доступ к ГОРАЗДО большему объему информации. Здесь и доходы, и НДФЛ, соцвыплаты, транспортные средства и недвижимость. В общем, информация выглядит откровенно избыточной.
Объяснений тут может быть два. Наиболее friendly для банка — это упрощение жизни клиентов, по которым финмониторинг обнаружил сомнительные операции. То есть клиент не морочится со сбором документов, банк собирает все сам. Кстати, про 115 ФЗ для физиков они пишут вот так.
Но реальность на наш взгляд куда прозаичнее. Под видом "упрощения жизни клиента", банк просто собирает пользовательские данные. Достаточно посмотреть цель обработки (второй скриншот), и там прямо написано: "формирование финансовых и нефинансовых предложений". То есть банк просто хочет больше данных для того, чтобы его модели работали лучше, а предодобренные кредиты лучше продавались и имели меньший уровень просрочки. Ни к какому 115-ФЗ (на который банк ссылается в письме) эта история, на наш взгляд, отношения не имеет.
Мораль: смотрите, кто и зачем собирает ваши данные. Это история не только про банки (наиболее защищенные с точки зрения ИБ организации), но и про любые другие компании. Их интерес понятен — вопрос в том, хотите ли вы давать им эту информацию.
Тут Тинькофф начал предлагать пользователям дать им доступ к данным пользователей с Госуслуг, мотивируя это требованиями 115-ФЗ (противодействие легализации доходов, полученных преступным путем). Сам банк пишет о том, что ему нужны данные паспорта, прав и других документов.
Правда, в реальности он запрашивает доступ к ГОРАЗДО большему объему информации. Здесь и доходы, и НДФЛ, соцвыплаты, транспортные средства и недвижимость. В общем, информация выглядит откровенно избыточной.
Объяснений тут может быть два. Наиболее friendly для банка — это упрощение жизни клиентов, по которым финмониторинг обнаружил сомнительные операции. То есть клиент не морочится со сбором документов, банк собирает все сам. Кстати, про 115 ФЗ для физиков они пишут вот так.
Но реальность на наш взгляд куда прозаичнее. Под видом "упрощения жизни клиента", банк просто собирает пользовательские данные. Достаточно посмотреть цель обработки (второй скриншот), и там прямо написано: "формирование финансовых и нефинансовых предложений". То есть банк просто хочет больше данных для того, чтобы его модели работали лучше, а предодобренные кредиты лучше продавались и имели меньший уровень просрочки. Ни к какому 115-ФЗ (на который банк ссылается в письме) эта история, на наш взгляд, отношения не имеет.
Мораль: смотрите, кто и зачем собирает ваши данные. Это история не только про банки (наиболее защищенные с точки зрения ИБ организации), но и про любые другие компании. Их интерес понятен — вопрос в том, хотите ли вы давать им эту информацию.