Максимально несподівано колега архітектор зізнався, що в нього (а тепер в мене 😈 ) є стратегічний запас карт від Адама Шостака для гейміфікації моделювання загроз. Іх доволі багато і, сподіваюсь, власник сам вирішить їх подальшу долю, але одну колоду точно відмучу). Доведеться вчитися грати😁

Ви просто вкиньтеся: людина, зайшовши на великого клієнта як солюшн архітект, купує більше десятка колод, щоб розвинути відповідну культуру у розробників (а їх декілька команд), які будуть втілювати в код його рішення. І він навіть не за безпеку відповідає, а саме солюшн архітект. Вперше бачу таку відповідальність серед солюшн архітекторів. А от до речі серед архітекторів безпеки ще ніколи не бачив, нажаль. Максе, моя повага.

В Інтернеті знайшли базу 2FA кодів переданих через СМС для таких сервісів як Google, WhatsApp, Facebook, та ін.

☝️ СМС це не надійний метод багатофакторної аутентифікації. Починаючи від можливості перехоплення, заволодіння мобільним номером спецслужбами, і закінчуючи от такими історіями як вище. Краще все ж спеціальні додатки використовувати, наприклад той же Google/Microsoft Authenticator.

@secdigestua

Дивився зараз випуск відомого YouTube каналу, там український виробник радарів розповідав про виробництво і бізнес. Під час розповіді про потенційних покупців моя профдеформована свідомість звернула увагу на наявність знайомого паттерну. Там сказали, що військові мають надавати відсіч збройній агресії, але обладнувати населені пункти технікою для захисту, наприклад радарами, і, бажано, забезпечити процеси їх експлуатації, мають територіальні громади та ОВА. Як зробити це якісно? Консультуватися із військовими. Власне ОВА з тергромадами зараз і будують фортифікації.
Все це - ще одна відповідь на пост вище про розподілення відповідальності та обовʼязків в забезпеченні безпеки будь-якої системи, будь-то технологія чи населений пункт, не важливо.

Хочеш безпеки - прикладай власних зусиль, а не сподівайся, що хтось для тебе це зробить, бо шарить в темі.

Так, можна зробити все «під ключ» і передати ризики, але це вже про зовсім інший кост.

ДіЯ таки відкрила свій код в опенсорс (лінка на Github в кінці сторінки): https://opensource.diia.gov.ua/

Життя не готувало мене до такого

Поговорили із законним власником карток для моделювання загроз і вирішили, що треба їх роздати всім бажаючим. А сам власник дуже бажає закрити збір на дрони камікадзе. То ж в наступному пості можна буде отримати колоду. Не перемикайтесь.

[ЗАКРИТО] Маємо: 8 колод на фото в наявності Києві. Всі новенькі і незаймані. Ціна на офіційному сайті на зараз: 907.40 грн (без врахування доставки). Кожна з них може стати вашою за донат 1000 грн на дрони-камікадзе в ось цю баночку: https://send.monobank.ua/jar/9hJpn5iT4C не забувайте робити це не анонімно, щоб ми могли із вами звʼязатися для передачі карт. Бонусом до покупки будемо чекати відео використання пташок (за можливості звісно, залежатиме від військових). Якщо ви кидаєте з моно, то поставте в переказ коментар «на карти». Якщо з іншого банку - то скрін з платіжкою в особисті хлопцю з першого коментаря до цього допису. Памʼятаємо, їх всього вісім.

Нарешті достойне застосування GPT: проєкт DarkGPT. Якщо коротко, то хтось напхав в модель GPT-4 багато витоків БД и теперь по ним можна шукати за допомогою чату і ставити питання. Якщо честно, мені це здається так собі підходом через втрату точності результату, по-перше. А по-друге, не певен що це зручніше ніж просто ввести пошуковий запит у поле в тому ж Aleph. Хоча в цілому думка валідна: е багато даних, а ця модель вміє обробляти багато даних. А от ефективність такого підходу у промисловій експлуатації для мене під великим питанням. Принаймні поки що.
Воно безкоштовне, потрібна лише підписка на ChatGPT Plus щоб отримати токєн. Можна пробувати вдома.

Компания рег.ру занимает одну треть рынка хостинга в россии. Как они сами хвастаются почти четыре миллиона "любимых клиентов". Часть из них мы взяли на покататься. Сэмпл - пятьсот баз https://gofile.io/d/Q3MxxM И мы конечно не прощаемся, а рег.ру пока может спокойно, за час-два сменить все пароли, рассказать пользователям что их данные в Украине и уведомить регулятора и контрразведку.

Невеличкий write-up розпродажу карт
👉 Віддано 11, хоча планувалося 8. Декому довелося відмовитись від своїх колод на користь донатерів.
👉 не зважаючи на вартість в 1к за колоду, зібрано трохи більше 18к.
👉 Всі колоди окрім двох вже в руках донатерів. Одна поїде за кордон, а на ще одну донатер не залишив адерси і не реагує в комментарях. Дмитро К., напиши в ЛС, розшукуємо тебе)
👉 Бійці вже придбали та юзають ретранслятор для FPV.
Наче непогана акція вийшла, мені подобається :)

І листування від ех-власника карт та бійця з новим ретриком :)

Попався мені вчора звіт від ізраїльскої компанії про малварь одну . Дуже класний, детальний, все пророблено, аналіз із скріншотами, проведено трет інтел, атрибуція, все чітко. В звіті описана відносно нова рансомварь від відносно нової стейт-спонсоред групи з россії. Звіт читати цікаво, але спокійно - майже неможливо. Декілька підходів робив і кожен раз кричав як бердянська чайка. Спробуйте і ви.

Історія кохання жаби та гадюки: північнокорейська АПТ всунула бекдор в російське ПЗ для консулів. https://medium.com/@DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3

Дуже кльовий ресурс для генерації фейкових персоналій. Широкий вибір полів, детальне налаштування і навіть вбудована допомога АІ. https://www.mockaroo.com/

Lockheed-martin все не так і все не те) Вони були не задоволені методологією STIDE і трохи доробили її, назвавши STRIDE-LM. Що ці дві букви значать? Lateral movement. Автори кажуть, что первинна методологія була створена для інженерних проєктів та розробки і погано покриває мережеву безпеку. Ну хз, як на мене. Має право на життя, але можна критикувати.

Якщо у вас є час на вивчення 45 сторінкового документу із поясненнями, як вони до цього дійшли. то ось

Для тих, кому, як і мені, треба візуалізувати складні речі, щоб краще їх розуміти, стане в нагоді ось цей ресурс: https://csf.tools/. Вже є багато мапінігів одних фреймворків на інші, візуалізація цих мапінгів, та прості пояснення складних речей. Не знаю, як саме воно може згодитися у практиці виробництва, хіба шо класні презенташки робити, а от для навчання наче і нічо так.

Ну хіба не краса? Воно ще й інтерактивне, і фільттрується.