Про хакеров и шляпы, как и обещали
@Michaelzhm всё правильно написал: 1E, 2D, 3F, 4C, 5A, 6B. Миша, мы свяжемся, чтобы вручить книгу Евгения @bladerunnerblues «Форма жизни №4» 🙂
Чёрные и белые шляпы взялись из вестернов, где по ним легко отличить хороших парней от злодеев. Впервые шляпы появились ещё в 1903-м, в «Большом ограблении поезда». В основе сюжета – реальная история банды «Дырка в стене», Hole-in-the-wall Gang.
Традиции есть традиции: где есть дыры, будут и большие ограбления. В августе 2021-го хакер Mr. White Hat украл около $610 млн в криптовалюте, использовав уязвимость блокчейн-платформы Poly Network. Потом он заявил, что взломал сеть ради забавы, вернул активы и даже отказался от вознаграждения в $500 тыс.
Хакеры и шляпы:
1. Black Hat E. Киберпреступники
2. White Hat D. Этичные хакеры
3. Grey Hat F. Хакеры на грани добра и зла
4. Red Hat C. Хакеры, которые охотятся на киберпреступников
5. Blue Hat A. Хакеры с личными мотивами и независимые консультанты
6. Green Hat B. Новички
@Michaelzhm всё правильно написал: 1E, 2D, 3F, 4C, 5A, 6B. Миша, мы свяжемся, чтобы вручить книгу Евгения @bladerunnerblues «Форма жизни №4» 🙂
Чёрные и белые шляпы взялись из вестернов, где по ним легко отличить хороших парней от злодеев. Впервые шляпы появились ещё в 1903-м, в «Большом ограблении поезда». В основе сюжета – реальная история банды «Дырка в стене», Hole-in-the-wall Gang.
Традиции есть традиции: где есть дыры, будут и большие ограбления. В августе 2021-го хакер Mr. White Hat украл около $610 млн в криптовалюте, использовав уязвимость блокчейн-платформы Poly Network. Потом он заявил, что взломал сеть ради забавы, вернул активы и даже отказался от вознаграждения в $500 тыс.
Хакеры и шляпы:
1. Black Hat E. Киберпреступники
2. White Hat D. Этичные хакеры
3. Grey Hat F. Хакеры на грани добра и зла
4. Red Hat C. Хакеры, которые охотятся на киберпреступников
5. Blue Hat A. Хакеры с личными мотивами и независимые консультанты
6. Green Hat B. Новички
👍37❤3
31 марта Италия временно заблокировала ChatGPT за сбор личных данных граждан. И пока Германия, Франция и Ирландия тоже подумывают так сделать, итальянский инженер Лоренцо Челла создал PizzaGPT – клон ChatGPT, доступный в Италии.
Как пишет Лоренцо: «Я итальянец, живущий за границей, поэтому у меня есть доступ к ChatGPT, но у моих родителей и друзей, живущих там, нет. Я считаю, что ИИ — это революционный инструмент, который должен быть доступен каждому».
Лоренцо можно задонатить € 9 на пиццу 🍕 Кстати, некоторые приняли pizzagpt.it за сервис заказа пиццы.
Полностью согласны, что интересные технологии должны быть доступны всем, в любой точке мира. К тому же, создатель PizzaGPT утверждает, что сервис не хранит историю запросов пользователей, так дешевле поддерживать его работу. Звучит неплохо, однако нет гарантии, что сервис действительно не хранит историю. Также нет гарантии, что её не хранит OpenAI. Но если вы готовы поделиться данными ради общения с умным чат-ботом, просто скажите PizzaGPT Buongiorno!
Как пишет Лоренцо: «Я итальянец, живущий за границей, поэтому у меня есть доступ к ChatGPT, но у моих родителей и друзей, живущих там, нет. Я считаю, что ИИ — это революционный инструмент, который должен быть доступен каждому».
Лоренцо можно задонатить € 9 на пиццу 🍕 Кстати, некоторые приняли pizzagpt.it за сервис заказа пиццы.
Полностью согласны, что интересные технологии должны быть доступны всем, в любой точке мира. К тому же, создатель PizzaGPT утверждает, что сервис не хранит историю запросов пользователей, так дешевле поддерживать его работу. Звучит неплохо, однако нет гарантии, что сервис действительно не хранит историю. Также нет гарантии, что её не хранит OpenAI. Но если вы готовы поделиться данными ради общения с умным чат-ботом, просто скажите PizzaGPT Buongiorno!
❤24🔥8😁4
Media is too big
VIEW IN TELEGRAM
6 апреля в Старт Хабе на Красном Октябре в Москве был Data Day 2023 – форум о том, как превращать данные в деньги. Вместе с экспертами из ИТ и других индустрий поговорили о защите данных, о КПД в Data Science и о прогнозировании экстремальных событий.
Алексей Кузнецов, CTO Cicada 8, рассказал о типах кибератак, с которыми бизнес столкнулся в этом году, и о том, как на них реагировать.
Когда компания экономит на техподдержке и сотрудники обращаются к компьютерному мастеру по объявлению на двери подъезда – такой человек без лишних проблем может получить доступ к внутрикорпоративным ресурсам. Казалось бы, кто бы мог подумать о таком риске.
Вот 1,5 минуты о том, что нужно знать о защите от внешних угроз. Не только бизнесу.
Посмотреть выступление Алексея целиком можно на YouTube.
Алексей Кузнецов, CTO Cicada 8, рассказал о типах кибератак, с которыми бизнес столкнулся в этом году, и о том, как на них реагировать.
Когда компания экономит на техподдержке и сотрудники обращаются к компьютерному мастеру по объявлению на двери подъезда – такой человек без лишних проблем может получить доступ к внутрикорпоративным ресурсам. Казалось бы, кто бы мог подумать о таком риске.
Вот 1,5 минуты о том, что нужно знать о защите от внешних угроз. Не только бизнесу.
Посмотреть выступление Алексея целиком можно на YouTube.
🔥12👍6
[55.5% vs 44.5% или О РЕЛИГИИ В КОМАНДЕ]
Вчера на планете Земля была Пасха (всех, кто празднует - сердечно с праздником!).
На фоне стука православных яиц мы решили провести анонимный опрос в команде, чтобы понять, кого у нас сколько. И вот, что получилось:
- 47.5% - научные атеисты
- 8% - джедаи (между прочим, официально признанная в мире религия, но мы причисляем джедаев к научным атеистам, верующим в большой взрыв и физику)
- 30% - христиане
- 2% - мусульмане
- 0.25% - буддисты (мы очень удивились)
- 0.25% - иудеи, живущие в 5783 году (они не удивились)
- 12% - те, кто ответил “моя вера - моя тайна” (мы решили называть эту группу “те, кто любит секс в темноте”)
В сухом остатке, 55.5% команды верят в объективную истину (наука, 47.5+8%), 44.5%,(все остальные) соответственно, - в смесь объективной и субъективной (то есть, статистически, размер команды подходит к моменту, когда у нас появится хотя бы 1 верующий в плоскую Землю, но пока наши HR держат оборону:)). Еще в этой новости есть слово “яйца”, что для компании, входящей в группу МТС, - няшно и кавайно:)
Если наша аналитика о доле конфессий в инженерно-продуктовых компаниях с яйцами - не повод для первой полосы КоммерсантЪ и фичи в Телекоммуналке, то что?:))
p.s. Даже не пытайтесь что-то говорить про оскорбление чувств верующих, ибо истинно верующие - люди с чувством юмора:)
*** авторские права на иллюстрацию принадлежат Pitsburgh Post-Gazette
Вчера на планете Земля была Пасха (всех, кто празднует - сердечно с праздником!).
На фоне стука православных яиц мы решили провести анонимный опрос в команде, чтобы понять, кого у нас сколько. И вот, что получилось:
- 47.5% - научные атеисты
- 8% - джедаи (между прочим, официально признанная в мире религия, но мы причисляем джедаев к научным атеистам, верующим в большой взрыв и физику)
- 30% - христиане
- 2% - мусульмане
- 0.25% - буддисты (мы очень удивились)
- 0.25% - иудеи, живущие в 5783 году (они не удивились)
- 12% - те, кто ответил “моя вера - моя тайна” (мы решили называть эту группу “те, кто любит секс в темноте”)
В сухом остатке, 55.5% команды верят в объективную истину (наука, 47.5+8%), 44.5%,(все остальные) соответственно, - в смесь объективной и субъективной (то есть, статистически, размер команды подходит к моменту, когда у нас появится хотя бы 1 верующий в плоскую Землю, но пока наши HR держат оборону:)). Еще в этой новости есть слово “яйца”, что для компании, входящей в группу МТС, - няшно и кавайно:)
Если наша аналитика о доле конфессий в инженерно-продуктовых компаниях с яйцами - не повод для первой полосы КоммерсантЪ и фичи в Телекоммуналке, то что?:))
p.s. Даже не пытайтесь что-то говорить про оскорбление чувств верующих, ибо истинно верующие - люди с чувством юмора:)
*** авторские права на иллюстрацию принадлежат Pitsburgh Post-Gazette
🤩45😁35👍27❤8🕊1🐳1
Хочешь стать частью команды кибербезопасности и инноваций МТС RED – Future Crew? Напиши, познакомимся.
Кого мы очень-очень ждём прямо сейчас:
Системный аналитик
Для нас системный аналитик – не просто генератор требований, но и исследователь, способный быстро обучаться и погружаться в новые для себя области знаний. Нам не нужно, чтобы ты писал ТЗ по ГОСТ, для нас гораздо важнее твои технические знания, способность рассуждать логически и готовность пользоваться продуктом, над которым работает команда.
Инженер по автоматизированному тестированию
В нашей команде QA-инженер – это человек, способный сгенерировать сценарии и методику тестирования для любой, даже самой космической функциональности. Мы предпочитаем максимально автоматизировать тестирование, но готовы помочь тебе с переходом в автоматизацию, если ты пока еще в начале пути.
DevOps-инженер
DevOps-инженер – один из ключевых членов нашего экипажа, делающий жизнь всех участников команды комфортнее. Для нас максимально важны твой опыт построения продуктовой инфраструктуры разработки, адекватный подход к вопросам безопасности и способность решать нетиповые задачи.
Откликайся здесь или отправь этот пост своему талантливому другу.
Тебе с нами понравится 😎
Кого мы очень-очень ждём прямо сейчас:
Системный аналитик
Для нас системный аналитик – не просто генератор требований, но и исследователь, способный быстро обучаться и погружаться в новые для себя области знаний. Нам не нужно, чтобы ты писал ТЗ по ГОСТ, для нас гораздо важнее твои технические знания, способность рассуждать логически и готовность пользоваться продуктом, над которым работает команда.
Инженер по автоматизированному тестированию
В нашей команде QA-инженер – это человек, способный сгенерировать сценарии и методику тестирования для любой, даже самой космической функциональности. Мы предпочитаем максимально автоматизировать тестирование, но готовы помочь тебе с переходом в автоматизацию, если ты пока еще в начале пути.
DevOps-инженер
DevOps-инженер – один из ключевых членов нашего экипажа, делающий жизнь всех участников команды комфортнее. Для нас максимально важны твой опыт построения продуктовой инфраструктуры разработки, адекватный подход к вопросам безопасности и способность решать нетиповые задачи.
Откликайся здесь или отправь этот пост своему талантливому другу.
Тебе с нами понравится 😎
🔥78👍24❤18
This media is not supported in your browser
VIEW IN TELEGRAM
Пришло время раскрыть один секрет. Уже можно.
Но для начала – загадка 😏
Что в снаряжении для путешествий помогает не замёрзнуть, но и не запариться? Что в кофейной капсуле помогает выжать максимум из вкуса и аромата зёрен?
Да, вы знаете. Мембрана. Именно этот принцип лежит в основе приватной связи.
Membrana обеспечивает избирательную проницаемость для информационного потока, чтобы вы могли сосредоточиться на том, что важно. Звонок от любимого человека? Соединяем ❤️ Неважный звонок? Направим на секретаря и сохраним для вас разговор. Спам или реклама? Даже не будем тратить ваше время, заблокируем сразу.
Что ещё под капотом?
• 3 виртуальных мобильных номера. Используйте для авторизации в любых сервисах, чтобы сохранить анонимность и не передавать посторонним настоящий номер.
• Приоритетное подключение в сети и скорость выше в 2 раза минимум. Вот так это работает.
• Группы контактов. В Membrana вы сами определяете, кто и когда может говорить с вами лично. Для каждой группы свои правила.
Будет ещё несколько важных фич, но хватит секретов на сегодня. Обо всех правилах игры расскажем чуть позже.
Предзаказы на Membrana собираем тут.
Но для начала – загадка 😏
Что в снаряжении для путешествий помогает не замёрзнуть, но и не запариться? Что в кофейной капсуле помогает выжать максимум из вкуса и аромата зёрен?
Да, вы знаете. Мембрана. Именно этот принцип лежит в основе приватной связи.
Membrana обеспечивает избирательную проницаемость для информационного потока, чтобы вы могли сосредоточиться на том, что важно. Звонок от любимого человека? Соединяем ❤️ Неважный звонок? Направим на секретаря и сохраним для вас разговор. Спам или реклама? Даже не будем тратить ваше время, заблокируем сразу.
Что ещё под капотом?
• 3 виртуальных мобильных номера. Используйте для авторизации в любых сервисах, чтобы сохранить анонимность и не передавать посторонним настоящий номер.
• Приоритетное подключение в сети и скорость выше в 2 раза минимум. Вот так это работает.
• Группы контактов. В Membrana вы сами определяете, кто и когда может говорить с вами лично. Для каждой группы свои правила.
Будет ещё несколько важных фич, но хватит секретов на сегодня. Обо всех правилах игры расскажем чуть позже.
Предзаказы на Membrana собираем тут.
🔥92👍30❤13👾9🏆1
Представьте: вы заходите в банк для закрытия счёта. На нём лежит значительная часть ваших средств. Какой из способов аутентификации как владельца счёта самый удобный и безопасный для вас?
Anonymous Poll
37%
Паспорт и договор в моих руках, я не верю в новые технологии
30%
Биометрия: голос/лицо/отпечатки пальцев
31%
Мультифакторная аутентификация, ключом которой выступает мой смартфон
3%
Я знаю вариант получше и расскажу в комментариях 🙂
👍3❤2
О самой безопасной аутентификации: с минимальным отрывом у нас победили консерваторы, которые верят в силу двух бумаг: паспорта и договора. А самый проверенный метод предложила Евгения: «Микрочип, встроенный в коронку на зубе».
Баланс между безопасностью и удобством найти и правда сложно. Ремень безопасности не так уж удобен, но в критичных авариях в 70% случаев именно он поможет выжить. И как внешний вид такого ремня многократно менялся с 1885 года, так и правила защиты данных постоянно совершенствуются. Часто благодаря неприятным инцидентам.
Про перехват SMS. Ещё несколько лет назад можно было купить новую симку для номера человека по его поддельным данным, чтобы получить доступ к подтверждению его банковских операций. Сейчас банки стараются отслеживать такие истории, главное – не отвечать на звонки из ненастоящего банка.
Можно ли подделать биометрию? Конечно. В «Гаттаке» герой Итана Хоука показал, что, если очень хочется, то можно всё. Именно так это и делается: похожее лицо или даже фотография лица, слепок отпечатков пальца. И нейросеть ошибётся. (У них вообще с пальцами проблемы). Так что близнецы могут друг за друга не только экзамены сдавать, но и разблокировать доступ.
Но надо отдать должное ИИ: сейчас он зачастую лучше охранника определяет, действительно ли это тот человек, чья фотография есть в базе данных. Для этого системы распознавания анализируют не только черты лица, но и liveness – живой перед камерой человек или нет и как он движется. И определяют степень риска при открытии доступа.
Мультифакторная аутентификация позволяет сразу несколькими способами подтвердить, что вы – это действительно вы, стоите в банке с телефоном в руке:
• Know – уникальное знание;
• Have – принадлежащий вам смартфон;
• Are – ваше свойство. Бесподобный цвет глаз.
Важно: имя вашего кота – это не очень секретное знание. (Предъявите кота в комментариях, пожалуйста).
Если нужно защитить что-то важное, ключ должен состоять из нескольких элементов. А пятый элемент – это любовь ❤️ К мультифакторной аутентификации.
Баланс между безопасностью и удобством найти и правда сложно. Ремень безопасности не так уж удобен, но в критичных авариях в 70% случаев именно он поможет выжить. И как внешний вид такого ремня многократно менялся с 1885 года, так и правила защиты данных постоянно совершенствуются. Часто благодаря неприятным инцидентам.
Про перехват SMS. Ещё несколько лет назад можно было купить новую симку для номера человека по его поддельным данным, чтобы получить доступ к подтверждению его банковских операций. Сейчас банки стараются отслеживать такие истории, главное – не отвечать на звонки из ненастоящего банка.
Можно ли подделать биометрию? Конечно. В «Гаттаке» герой Итана Хоука показал, что, если очень хочется, то можно всё. Именно так это и делается: похожее лицо или даже фотография лица, слепок отпечатков пальца. И нейросеть ошибётся. (У них вообще с пальцами проблемы). Так что близнецы могут друг за друга не только экзамены сдавать, но и разблокировать доступ.
Но надо отдать должное ИИ: сейчас он зачастую лучше охранника определяет, действительно ли это тот человек, чья фотография есть в базе данных. Для этого системы распознавания анализируют не только черты лица, но и liveness – живой перед камерой человек или нет и как он движется. И определяют степень риска при открытии доступа.
Мультифакторная аутентификация позволяет сразу несколькими способами подтвердить, что вы – это действительно вы, стоите в банке с телефоном в руке:
• Know – уникальное знание;
• Have – принадлежащий вам смартфон;
• Are – ваше свойство. Бесподобный цвет глаз.
Важно: имя вашего кота – это не очень секретное знание. (Предъявите кота в комментариях, пожалуйста).
Если нужно защитить что-то важное, ключ должен состоять из нескольких элементов. А пятый элемент – это любовь ❤️ К мультифакторной аутентификации.
🔥62❤21👍9👌1
Membrana можно не только любоваться – её можно создавать. Вместе с нами.
Если в прошлом посте с вакансиями вы не узнали себя – возможно, в этот раз всё сложится.
4 человека, для которых мы уже приготовили места в нашем экипаже (с очень красивым видом):
Старший системный аналитик с инженерным складом ума, который свяжет бизнес-потребности и разработку. С чем предстоит работать: проработка сценариев и реализации, сложные интерфейсы, диаграммы последовательностей и схемы.
Старший архитектор, который будет помогать разрабатывать сложные архитектуры сервисов с высокой нагрузкой. K8, Kafka, S3, gRPC, сокеты и вот это всё.
DevOps – инженер, помогающий нам в построении полной инфраструктуры разработки. Используем Gitlab CI, Kubernetes, Kafka, S3, сервисы на Java, Python, Rust.
Android разработчик. Перфекционист мобильной разработки, который поможет нам сделать приложение Membrana быстрым, удобным и надёжным. Поддерживаем только современные версии ОС, clean architecture, Compose, coroutines/flow.
Откликнуться можно по ссылкам. Ещё больше вакансий в команде Future Crew есть здесь.
О пентестерах расскажем чуть позже 🙂 Но резюме уже можно присылать.
Если в прошлом посте с вакансиями вы не узнали себя – возможно, в этот раз всё сложится.
4 человека, для которых мы уже приготовили места в нашем экипаже (с очень красивым видом):
Старший системный аналитик с инженерным складом ума, который свяжет бизнес-потребности и разработку. С чем предстоит работать: проработка сценариев и реализации, сложные интерфейсы, диаграммы последовательностей и схемы.
Старший архитектор, который будет помогать разрабатывать сложные архитектуры сервисов с высокой нагрузкой. K8, Kafka, S3, gRPC, сокеты и вот это всё.
DevOps – инженер, помогающий нам в построении полной инфраструктуры разработки. Используем Gitlab CI, Kubernetes, Kafka, S3, сервисы на Java, Python, Rust.
Android разработчик. Перфекционист мобильной разработки, который поможет нам сделать приложение Membrana быстрым, удобным и надёжным. Поддерживаем только современные версии ОС, clean architecture, Compose, coroutines/flow.
Откликнуться можно по ссылкам. Ещё больше вакансий в команде Future Crew есть здесь.
О пентестерах расскажем чуть позже 🙂 Но резюме уже можно присылать.
👍42👎2❤1
Ну что, где проведёте выходные? Впрочем, это не наше дело. И ничьё.
А чтобы не делиться геолокацией со всеми подряд и не получать потом предложения оценить ресторан, АЗС или отель в горах – стоит отключить отслеживание в фоновом режиме.
В настройках геолокации и на Android, и на iPhone можно как полностью отключить её, так и определить для каждого приложения: предоставлять доступ к местоположению при использовании или всегда. По умолчанию сервисы стараются 24/7 следить, что, где, когда и с кем вы делаете.
Чтобы Google забыл о вас хотя бы ненадолго – зайдите свой аккаунт – Конфиденциальность и персонализация – Что вы делали и где бывали. Здесь можно поиграть с настройками истории приложений и веб-поиска, историей местоположений и YouTube. Кстати, какое последнее видео вы там посмотрели?🙂
А если на iPhone зайти в Настройки – Конфиденциальность – Службы геолокации – Системные службы – Важные геопозиции, можно узнать о местах, которые устройство считает важными для вас, и где вы недавно проводили время. Эти следы тоже можно стереть.
Мы не знаем, где вы будете на выходных. Но мы уверены, что вы знаете лучшие секретные места.
А чтобы не делиться геолокацией со всеми подряд и не получать потом предложения оценить ресторан, АЗС или отель в горах – стоит отключить отслеживание в фоновом режиме.
В настройках геолокации и на Android, и на iPhone можно как полностью отключить её, так и определить для каждого приложения: предоставлять доступ к местоположению при использовании или всегда. По умолчанию сервисы стараются 24/7 следить, что, где, когда и с кем вы делаете.
Чтобы Google забыл о вас хотя бы ненадолго – зайдите свой аккаунт – Конфиденциальность и персонализация – Что вы делали и где бывали. Здесь можно поиграть с настройками истории приложений и веб-поиска, историей местоположений и YouTube. Кстати, какое последнее видео вы там посмотрели?
А если на iPhone зайти в Настройки – Конфиденциальность – Службы геолокации – Системные службы – Важные геопозиции, можно узнать о местах, которые устройство считает важными для вас, и где вы недавно проводили время. Эти следы тоже можно стереть.
Мы не знаем, где вы будете на выходных. Но мы уверены, что вы знаете лучшие секретные места.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍80🔥19👌8❤7😁1
Но если не секрет – какие планы?
(Можно выбрать не один 🙂)
(Можно выбрать не один 🙂)
Anonymous Poll
26%
Буду трудиться
18%
Шашлыкиии!
9%
Выставки, театр, кино, концерты
13%
Я на спорте: велосипед, волейбол и всё такое
19%
А у меня огород
3%
А я иду в поход
13%
Путешествие ✈️
41%
Дома отдохну 😌
❤30👍2
Эх, грустно будет без Тиндера 🥺
Он делал всё, чтобы узнать нас как можно лучше, и хранит тонны секретной и не очень информации.
- С кем вы хотели бы познакомиться;
- Когда, где и с кем вы переписывались;
- Что именно вы обсуждали;
- Как менялись (или оставались неизменными) ваши предпочтения в жизни;
- Ваши фотографии из профиля и из связанных соцсетей;
- Ваши друзья в связанных соцсетях;
- Ваше образование и места работы;
- Что вы слушаете, что вы едите, места, где вы бываете;
- История лайков во всех связанных аккаунтах.
Но самое главное – зная это всё, помог ли он вам найти любовь или хотя бы немного нежности? ❤️
Сейчас узнаем в опросе.
P.S. Где теперь вечеринки для тех, кому немного за 30?
Он делал всё, чтобы узнать нас как можно лучше, и хранит тонны секретной и не очень информации.
- С кем вы хотели бы познакомиться;
- Когда, где и с кем вы переписывались;
- Что именно вы обсуждали;
- Как менялись (или оставались неизменными) ваши предпочтения в жизни;
- Ваши фотографии из профиля и из связанных соцсетей;
- Ваши друзья в связанных соцсетях;
- Ваше образование и места работы;
- Что вы слушаете, что вы едите, места, где вы бываете;
- История лайков во всех связанных аккаунтах.
Но самое главное – зная это всё, помог ли он вам найти любовь или хотя бы немного нежности? ❤️
Сейчас узнаем в опросе.
P.S. Где теперь вечеринки для тех, кому немного за 30?
😁51💔9👍6🥴5❤3🌚1
Будем скучать по Тиндеру?
Anonymous Poll
8%
Да, есть что вспомнить 😁
5%
Да, он помог найти любовь
13%
Нет, мне там встречались странные люди
74%
Нет, меня там не было и не будет
❤2🤮1
На неделе многие СМИ и Telegram-каналы облетела новость о том, что хакеры впервые в истории получили контроль над спутником и человечество в опасности.
Действительно ли это так? Не совсем.
Во-первых, не впервые. Ещё в 1998 году хакеры направили солнечные панели спутника ROSAT X-Ray прямо на Солнце, что привело к завершению миссии.
А во-вторых, это специалисты из французской компании Thales провели показательную атаку на специально созданном тестовом стенде Европейского космического агентства. Но если бы у них была задача получить контроль над действующими спутниками – они бы тоже с ней справились: это дало бы возможность изменять данные, отправляемые на Землю, в том числе незаметно модифицировать изображения.
Устаревшие, но действующие на орбите спутники ещё более уязвимы. Именно на это и обратил внимание вице-президент Thales по решениям в кибербезопасности Пьер-Ив Жоливе: «С ростом количества военных и гражданских приложений, которые сегодня зависят от спутниковых систем, космическая отрасль должна учитывать кибербезопасность на каждом этапе жизненного цикла спутника, от первоначального проектирования до разработки и обслуживания систем».
Помимо атак на сами спутники, хакеры охотятся и за данными космических компаний. Так, в марте вымогательская группировка LockBit заявила , что украла 3000 чертежей, созданных инженерами SpaceX. Прекрасно зная о подобных угрозах, в 2022 году SpaceX запустила программу выплаты вознаграждений белым хакерам за обнаруженные уязвимости в своих системах, а самых талантливых исследователей они приглашают к себе работать.
Если хакеры захотят захватить все спутники и сделают это, то они смогут организовать массовый сбой систем навигации. Интернет не пропадёт, но значительно замедлится. Худшие сценарии применения спутников не по назначению сейчас не рассматриваем.
Почему хакеры не взламывают спутники, если могут? Нет мотивации. А ещё – дорогостоящего оборудования и знания протоколов. А это значит, что нет повода преувеличивать риски: космические компании готовы к разным сценариям.
Действительно ли это так? Не совсем.
Во-первых, не впервые. Ещё в 1998 году хакеры направили солнечные панели спутника ROSAT X-Ray прямо на Солнце, что привело к завершению миссии.
А во-вторых, это специалисты из французской компании Thales провели показательную атаку на специально созданном тестовом стенде Европейского космического агентства. Но если бы у них была задача получить контроль над действующими спутниками – они бы тоже с ней справились: это дало бы возможность изменять данные, отправляемые на Землю, в том числе незаметно модифицировать изображения.
Устаревшие, но действующие на орбите спутники ещё более уязвимы. Именно на это и обратил внимание вице-президент Thales по решениям в кибербезопасности Пьер-Ив Жоливе: «С ростом количества военных и гражданских приложений, которые сегодня зависят от спутниковых систем, космическая отрасль должна учитывать кибербезопасность на каждом этапе жизненного цикла спутника, от первоначального проектирования до разработки и обслуживания систем».
Помимо атак на сами спутники, хакеры охотятся и за данными космических компаний. Так, в марте вымогательская группировка LockBit заявила , что украла 3000 чертежей, созданных инженерами SpaceX. Прекрасно зная о подобных угрозах, в 2022 году SpaceX запустила программу выплаты вознаграждений белым хакерам за обнаруженные уязвимости в своих системах, а самых талантливых исследователей они приглашают к себе работать.
Если хакеры захотят захватить все спутники и сделают это, то они смогут организовать массовый сбой систем навигации. Интернет не пропадёт, но значительно замедлится. Худшие сценарии применения спутников не по назначению сейчас не рассматриваем.
Почему хакеры не взламывают спутники, если могут? Нет мотивации. А ещё – дорогостоящего оборудования и знания протоколов. А это значит, что нет повода преувеличивать риски: космические компании готовы к разным сценариям.
👍46🤔12❤4🔥2🤓2
А вы обращаете внимание на домен сайта, где покупаете авиабилеты? Чем экзотичнее домен, тем выше вероятность, что такому ресурсу не стоит передавать данные банковской карты. Даже если билеты там дешевле.
В этом году фишинговые ресурсы реже регистрируются в доменной зоне .ru и чаще в малоизвестных .ml, .tk и подобных. Мошенникам так удобнее вести дела: дешевле оформить адрес, сложнее его заблокировать.
Почему так – рассказывает Алексей Кузнецов, технический руководитель направления анализа защищённости центра инноваций Future Crew.
Количество фишинговых ресурсов в российском сегменте сети исчисляется тысячами, в сегменте .com – десятками тысяч. Фишинг и скам продолжают набирать популярность, активно эксплуатируя новые актуальные в инфополе темы.
Продолжает расти спрос на доменные имена в экзотических доменных зонах: .ml, .tk, .cf, .ga и .gq, благодаря простоте регистрации доменов в этих зонах. Действительно, «Роскомнадзору» проще дотянуться до мошеннических ресурсов в доменах .ru, .rf и .su, что отчасти сдерживает рост объема фишинговых сайтов в рунете.
Дело в том, что есть домены верхнего уровня gtld, которые управляются централизованно, и домены cctld, которые зачастую управляются различными частными организациями. В доменных зонах cctld сложнее добраться до регистратора и вынудить его разыменовать фишинговый домен.
В материале «Коммерсанта» – подробнее об этой тенденции со статистикой и мнениями наших коллег из кибербеза.
В этом году фишинговые ресурсы реже регистрируются в доменной зоне .ru и чаще в малоизвестных .ml, .tk и подобных. Мошенникам так удобнее вести дела: дешевле оформить адрес, сложнее его заблокировать.
Почему так – рассказывает Алексей Кузнецов, технический руководитель направления анализа защищённости центра инноваций Future Crew.
Количество фишинговых ресурсов в российском сегменте сети исчисляется тысячами, в сегменте .com – десятками тысяч. Фишинг и скам продолжают набирать популярность, активно эксплуатируя новые актуальные в инфополе темы.
Продолжает расти спрос на доменные имена в экзотических доменных зонах: .ml, .tk, .cf, .ga и .gq, благодаря простоте регистрации доменов в этих зонах. Действительно, «Роскомнадзору» проще дотянуться до мошеннических ресурсов в доменах .ru, .rf и .su, что отчасти сдерживает рост объема фишинговых сайтов в рунете.
Дело в том, что есть домены верхнего уровня gtld, которые управляются централизованно, и домены cctld, которые зачастую управляются различными частными организациями. В доменных зонах cctld сложнее добраться до регистратора и вынудить его разыменовать фишинговый домен.
В материале «Коммерсанта» – подробнее об этой тенденции со статистикой и мнениями наших коллег из кибербеза.
Коммерсантъ
Хакеры нащупали точку роста
Фишинг переходит с доменов .ru
👍49🔥14❤10❤🔥3💯1
Пентестер? Ждём тебя во Future Crew
Мы создаём Cicada 8 – продукт по мониторингу уязвимостей и поиску угроз для внешнего периметра.
Сейчас в команде нам нужны:
• Penetration Tester
• DevOps
• Senior Python developer
• Ведущий эксперт (DFIR)
Senior Python developer – это человек с опытом работы с продуктами в кибербезопасности (возможно, с профильным образованием) или же с большим интересом к этой сфере. Желателен опыт работы 3+ лет и опыт в построении команд и процессов с нуля. Желателен навык работы с оптимизацией SQL запросов и структур данных. В продукте планируем использовать Python 3.9, FastAPI, Postgres, k8s, Cold data storage.
Для пентестеров: мы строим большую и сильную команду и ищем талантливых ребят, желательно с опытом в CTF и поиске нестандартных решений. Работаем с проектами по пентестам и Red Team (самые разные инфраструктуры – от банков до производства). Также есть возможность поучаствовать в создании продукта для автоматизации рутинных работ пентестера, нормально поресерчить и повыступать с этим на конференцияхпо новым технологиям и защите компьютерных программ. Кстати, весь код писать не нужно – этим занимается отдельная команда разработки.
Почему с нами круто:
• Экспресс-погружение во всякие offensive cybersecurity и threat intelligence штуки.
• Команда растёт и возможен быстрый карьерный рост.
• Во всём поможем, не только в решении сложных технических проблем.
• Нет техдолга/можно выбрать технологии по своему вкусу.
• Гибкий график, удалённая работа, но есть и офис в Москве со спортзалом и клубничным мороженым.
• Бюджеты на обучение и конференции.
• ДМС и корпоративная связь.
• У нас аккредитованная IT-компания.
• Зарплата тоже есть. Очень хорошая.
Откликайся по ссылкам выше или отправь этот пост другу.
P.S. В команде есть экспертиза в самых разных сферах :)
Мы создаём Cicada 8 – продукт по мониторингу уязвимостей и поиску угроз для внешнего периметра.
Сейчас в команде нам нужны:
• Penetration Tester
• DevOps
• Senior Python developer
• Ведущий эксперт (DFIR)
Senior Python developer – это человек с опытом работы с продуктами в кибербезопасности (возможно, с профильным образованием) или же с большим интересом к этой сфере. Желателен опыт работы 3+ лет и опыт в построении команд и процессов с нуля. Желателен навык работы с оптимизацией SQL запросов и структур данных. В продукте планируем использовать Python 3.9, FastAPI, Postgres, k8s, Cold data storage.
Для пентестеров: мы строим большую и сильную команду и ищем талантливых ребят, желательно с опытом в CTF и поиске нестандартных решений. Работаем с проектами по пентестам и Red Team (самые разные инфраструктуры – от банков до производства). Также есть возможность поучаствовать в создании продукта для автоматизации рутинных работ пентестера, нормально поресерчить и повыступать с этим на конференциях
Почему с нами круто:
• Экспресс-погружение во всякие offensive cybersecurity и threat intelligence штуки.
• Команда растёт и возможен быстрый карьерный рост.
• Во всём поможем, не только в решении сложных технических проблем.
• Нет техдолга/можно выбрать технологии по своему вкусу.
• Гибкий график, удалённая работа, но есть и офис в Москве со спортзалом и клубничным мороженым.
• Бюджеты на обучение и конференции.
• ДМС и корпоративная связь.
• У нас аккредитованная IT-компания.
• Зарплата тоже есть. Очень хорошая.
Откликайся по ссылкам выше или отправь этот пост другу.
P.S. В команде есть экспертиза в самых разных сферах :)
❤34👍15🔥8
Уязвимость в Telegram: у кого есть доступ к камере?
Инженер Google Дэн Рева (Dan Revah) рассказал в своём блоге, что приложение Telegram для macOS содержит уязвимость, позволяющую злоумышленнику обойти механизмы защиты Apple и получить доступ к веб-камере и микрофону ноутбука.
Уязвимость была обнаружена ещё в начале февраля, и тогда же команда безопасности Telegram получила письма об этом, но никак на них не отреагировала. Поэтому Рева решил рассказать о проблеме всем. На этот раз Telegram ответил в Twitter, что обновление с патчем уже на проверке у Apple, а Павел Дуров объяснил в Telegram, что угрозы для приватности пользователей нет.
На чьей стороне возникла проблема?
Возможность получить неправомерные полномочия возникла из-за уязвимости в приложении Telegram: в него можно заинжектить стороннюю динамическую библиотеку (Dylib). Такая динамическая библиотека может быть запущена от имени Telegram, чтобы копировать звук и видео и сохранять их в файл. Причём она запускается сама после перезагрузки ноутбука, необязательно даже открывать мессенджер.
В этом случае Telegram обходит механизмы Apple Hardened Runtime и Entitlement, которые отвечают за защиту от вредоносного кода, а также контроль доступа к микрофону, камере и другим компонентам устройства. К тому же на macOS нет жесткого требования по поддержке Hardened Runtime, а на iOS есть.
Стоит ли этого опасаться?
Не стоит. Для эксплуатации нужно, чтобы ноутбук уже был заражен. По сути это подъем привилегий, который позволяет получить доступ к камере.
Что всё-таки предпринять?
1. Скачайте новую версию Telegram, где будет устранена уязвимость.
2. Не доверяйте свой ноутбук посторонним и не скачивайте сомнительные приложения. Эти рекомендации актуальны всегда🙂
Инженер Google Дэн Рева (Dan Revah) рассказал в своём блоге, что приложение Telegram для macOS содержит уязвимость, позволяющую злоумышленнику обойти механизмы защиты Apple и получить доступ к веб-камере и микрофону ноутбука.
Уязвимость была обнаружена ещё в начале февраля, и тогда же команда безопасности Telegram получила письма об этом, но никак на них не отреагировала. Поэтому Рева решил рассказать о проблеме всем. На этот раз Telegram ответил в Twitter, что обновление с патчем уже на проверке у Apple, а Павел Дуров объяснил в Telegram, что угрозы для приватности пользователей нет.
На чьей стороне возникла проблема?
Возможность получить неправомерные полномочия возникла из-за уязвимости в приложении Telegram: в него можно заинжектить стороннюю динамическую библиотеку (Dylib). Такая динамическая библиотека может быть запущена от имени Telegram, чтобы копировать звук и видео и сохранять их в файл. Причём она запускается сама после перезагрузки ноутбука, необязательно даже открывать мессенджер.
В этом случае Telegram обходит механизмы Apple Hardened Runtime и Entitlement, которые отвечают за защиту от вредоносного кода, а также контроль доступа к микрофону, камере и другим компонентам устройства. К тому же на macOS нет жесткого требования по поддержке Hardened Runtime, а на iOS есть.
Стоит ли этого опасаться?
Не стоит. Для эксплуатации нужно, чтобы ноутбук уже был заражен. По сути это подъем привилегий, который позволяет получить доступ к камере.
Что всё-таки предпринять?
1. Скачайте новую версию Telegram, где будет устранена уязвимость.
2. Не доверяйте свой ноутбук посторонним и не скачивайте сомнительные приложения. Эти рекомендации актуальны всегда
Please open Telegram to view this post
VIEW IN TELEGRAM
👌26❤12👍7
19 и 20 мая в Парке Горького в Москве пройдёт масштабный киберфестиваль Positive Hack Days 12. Мы тоже заглянем.
Вадим Шелест, ведущий эксперт по тестированию на проникновение в команде Cicada 8, выступит с докладом «Red Teaming: Методики фишинговых атак».
Вместе со зрителями Вадим проведёт разбор всех этапов эффективных фишинговых атак и расскажет, как написать сообщение, которое точно захочется открыть.
Темы встречи:
• планирование, подготовка и активная фаза социотехнического тестирования;
• современные подходы к созданию инфраструктуры;
• эффективные каналы взаимодействия;
• варианты пейлоадов и способы их доставки;
• методы сокрытия и противодействия обнаружению при проведении фишинговых кампаний;
• требования к содержанию аналитических отчётов и рекомендации по итогам кампаний.
📍Встретимся в субботу в 11:00 в Зале боевых искусств на лекции Вадима.
Вход в тематический парк Кибергород свободный, а на площадки для профессионалов – по билетам. Подробности о конкурсах и лекциях есть на сайте фестиваля.
P.S. Сейчас команда профессионалов Cicada 8 активно растёт, мы нанимаем талантливых исследователей ИБ со всей России. Вакансии в команде здесь. Возможно, ты один из нас? 😉
Вадим Шелест, ведущий эксперт по тестированию на проникновение в команде Cicada 8, выступит с докладом «Red Teaming: Методики фишинговых атак».
Вместе со зрителями Вадим проведёт разбор всех этапов эффективных фишинговых атак и расскажет, как написать сообщение, которое точно захочется открыть.
Темы встречи:
• планирование, подготовка и активная фаза социотехнического тестирования;
• современные подходы к созданию инфраструктуры;
• эффективные каналы взаимодействия;
• варианты пейлоадов и способы их доставки;
• методы сокрытия и противодействия обнаружению при проведении фишинговых кампаний;
• требования к содержанию аналитических отчётов и рекомендации по итогам кампаний.
📍Встретимся в субботу в 11:00 в Зале боевых искусств на лекции Вадима.
Вход в тематический парк Кибергород свободный, а на площадки для профессионалов – по билетам. Подробности о конкурсах и лекциях есть на сайте фестиваля.
P.S. Сейчас команда профессионалов Cicada 8 активно растёт, мы нанимаем талантливых исследователей ИБ со всей России. Вакансии в команде здесь. Возможно, ты один из нас? 😉
🔥18👍9❤6👏1
Как мы используем МТС Ocean и К8 в разработке – рассказывает CTO Membrana Пётр Левшин
Мы работаем в режиме стартапа. Создаём новые технологии для приватной связи и интегрируем наработки в существующую инфраструктуру. Быстрый старт невозможен без инструментов быстрого разворачивания инфраструктуры проекта – это пространства для командной работы, ландшафты для микросервисов, базы данных, Kafka и т.д.
У нас в МТС есть платформа, которая закрывает все эти потребности – МТС Ocean. Мы используем её с первых дней, за несколько минут можно развернуть кластер Kubernetes, базы данных и отдельные виртуальные машины для интеграционных сервисов, а также Kafka и сервисы для аутентификации и хранения секретов.
Ключевой частью наших ландшафтов является Kubernetes, он же К8, он же «кубик». Мы в процессе роста команды, поэтому знание К8 – важный навык для нас.
Кубик позволяет быстро стартовать разработку, обеспечивает отказоустойчивость и много чего ещё. Вот пара видео об этом инструменте:
• What is Kubernetes?
• Kubernetes Explained in 100 Seconds
(Да, знание английского – тоже важный навык, но можно выбрать автоматический перевод в настройках).
Одним из преимуществ Ocean является быстрая настройка CI/CD. Пишем мы, кстати, в основном на Java, с щепоткой Rust и C++. Мы легко интегрируем наши ландшафты Ocean с Gitlab.
Важная фишка МТС Ocean для разработчиков – это хорошая документация. В таком океане никто не потонет.
Первичные пайплайны и процесс сборки описали сами наши разработчики, но мы ищем DevOps-инженеров, которые смогут развить и улучшить нашу инфраструктуру. Особенно это касается более экзотичных контуров и инструментов, о которых мы расскажем в следующих постах.
Мы работаем в режиме стартапа. Создаём новые технологии для приватной связи и интегрируем наработки в существующую инфраструктуру. Быстрый старт невозможен без инструментов быстрого разворачивания инфраструктуры проекта – это пространства для командной работы, ландшафты для микросервисов, базы данных, Kafka и т.д.
У нас в МТС есть платформа, которая закрывает все эти потребности – МТС Ocean. Мы используем её с первых дней, за несколько минут можно развернуть кластер Kubernetes, базы данных и отдельные виртуальные машины для интеграционных сервисов, а также Kafka и сервисы для аутентификации и хранения секретов.
Ключевой частью наших ландшафтов является Kubernetes, он же К8, он же «кубик». Мы в процессе роста команды, поэтому знание К8 – важный навык для нас.
Кубик позволяет быстро стартовать разработку, обеспечивает отказоустойчивость и много чего ещё. Вот пара видео об этом инструменте:
• What is Kubernetes?
• Kubernetes Explained in 100 Seconds
(Да, знание английского – тоже важный навык, но можно выбрать автоматический перевод в настройках).
Одним из преимуществ Ocean является быстрая настройка CI/CD. Пишем мы, кстати, в основном на Java, с щепоткой Rust и C++. Мы легко интегрируем наши ландшафты Ocean с Gitlab.
Важная фишка МТС Ocean для разработчиков – это хорошая документация. В таком океане никто не потонет.
Первичные пайплайны и процесс сборки описали сами наши разработчики, но мы ищем DevOps-инженеров, которые смогут развить и улучшить нашу инфраструктуру. Особенно это касается более экзотичных контуров и инструментов, о которых мы расскажем в следующих постах.
👍21🔥6❤3