Пакет Безопасности

То ли у всех уже есть билеты на PhD, то ли вам не нравятся конкурсы 🤔 Ну да ладно, видимо таков путь. Кстати, если это не нужно вам, то отправьте вашим безопасным корешам – может им пригодится. Неделька, к слову, была супер насыщенной, несмотря на то, что майские праздники никто не отменял. Так что погнали к дайджесту! ⚡️ Кибермем, который мало кто понял – ссылка ⚡️ Благотворительный розыгрыш билетов на PhD для молодого поколения с компенсацией проезда до самого фестиваля – ссылка ⚡️ Безопасные настройки в Телеграм (ну зайди ты уже и настрой там всё) – ссылка ⚡️ Очередная красивая гифка, которая багует с телефонов (про основные домены в ИБ) – ссылка ⚡️ Розыгрыш билетов на PhD уже для всех желающих – ссылка Твой Пакет Безопасности

​Ну вот и настал тот момент, когда мы нашли с ребятами и Позитивов общий язык, и я смог добыть для вас аж 6 бесплатных билетов на их грядущий Positive Hack Days Fest 2 🥳 Так что, если вы еще не успели купить или выиграть где-то заветный проход на это масштабное кибербезопасное мероприятие, то это ваш звёздный час! Для того, чтобы забрать свой билет, накидывайте в комментарии ваши интересные истории из мира ИБ, а если их будет больше, чем нужно (ну вдруг), то я просто выберу самые крутые из них. Это могут быть как реальные инциденты из рабочей практики, так и бытовые ситуации из сферы кибергигиены (вдруг вас кто-то хотел развести или обмануть в интернетах, например). 🚨 Итоги подведем в ближайший четверг – 16-го мая. А еще я вам напоминаю про другую благотворительную активность, связанную с PhD, которую мы затеяли с крутыми ребятами из ИБшного комьюнити – ссылка. Мы договорились немного расширить (или даже упростить) условия участия, и теперь вы можете отправлять не только описание интересных багов с багбаунти, но и реализованные векторы на CTF и собственные ресерчи во всех направлениях ИБ 🔥 В общем, всем удачи и мира во всём мире 🫡 Твой Пакет Безопасности

А вот и очередная красота Да, не так красиво, как в прошлый раз, зато намного шире, чем обычный ДевСекОпс. Эта штука вам понадобится уже для того, чтобы построить в компании полноценный кибербез. Ну а если вы еще на пути становления безопасником (или ЦИСОй), то также сохраняйте – однозначно пригодится, чтобы понять, куда еще можно пойти, что изучить или на что обратить своё внимание. По традиции – бахаем лайк (реакцию, ну), пересылаем друзьям-безопасникам и сохраняем в свои закрома. #Полезное Твой Пакет Безопасности

​Больше настроек Так, настало время тряхнуть стариной и напомнить вам о безопасности в Телеграм. Да, мы говорили с вами об это уже не раз (раз, два, три, четыре), но, во-первых, это было давно, а во-вторых, сейчас мы подробно пройдемся по конкретным настройкам, чтобы сделать всё правильно и с первого раза. Информации много, времени мало, поэтому будет сухо и по пунктам – поехали. ⚡️ Крайне желательно иметь отдельный номер телефона под свой Телеграм-аккаунт (симку можно будет вытащить, но не выбрасывать) ⚡️ Включить двухфакторную аутентификацию (телефон и пароль + приходит смс с одноразовым кодом, если вход был с нового устройства). Настройки –> Конфиденциальность –> Облачный пароль (включаем, записываем и не теряем)  ⚡️ Включаем код-пароль. Настройки –> Конфиденциальность –> Код-пароль (включаем и не забываем)  ⚡️ Скрываем свой номер телефона. Настройки –> Конфиденциальность –> Номер телефона (настраиваем так, чтобы его никто не видел)  ⚡️ Скрываем свои фото. Настройки –> Конфиденциальность –> Фотографии профиля (настраиваем так, чтобы их никто не видел)  ⚡️ Запрещаем себя добавлять в групповые чаты и каналы. Настройки –> Конфиденциальность –> Приглашения (настраиваем так, чтобы никто не мог приглашать)  ⚡️ Запрещаем себе звонить. Настройки –> Конфиденциальность –> Звонки. PEER-TO-PEER (анонимные звонки) вообще отключаем, а обычные – по своему усмотрению, но точно не "для всех"  ⚡️ Ограничиваем доступ из пересылов ваших сообщений. Настройки –> Конфиденциальность –> Пересылка сообщений (делаем так, чтобы при нажатии на ваше имя никто не мог перейти на ваш аккаунт)  ⚡️ Регулярно проверяем, на каких устройствах активен ваш аккаунт. Настройки –> Устройства (если находим аномалии – сразу удаляем подозрительный сеанс) Думаю, что на этот пост хватит. Да, это база, да многие из вас о ней знают, но я уверен, что далеко не у всех дошли руки до того, чтобы нормально сесть и протыкать все эти нужные кнопки. Так что настало время это сделать. Ну и по традиции, ставим лайки и рассылаем своим близким, чтобы и они всё сделали правильно и безопасно. Кстати, наткнулся недавно на статейку с разбором пары фишинговых схем, провёрнутых через Телеграм – ссылка. Там и картиночки, и разбор – так что приятного прочтения, лишним точно не будет. Ну теперь точно всё. Всем мир. #Кибергигиена Твой Пакет Безопасности

Так-так-так А вот и информация об одной из активностей, о которых я недавно упоминал. А именно, о той самой, где я вписался в благотворительный конкурс для начинающих безопасников (школьников и студентов). Если коротко, то разыгрываем 6 билетов на тот самый PhD, который пройдет уже 23-26 мая. Плюс к этому, мы сформировали фонд в 120к на оплату дороги для тех, кто выиграет билеты, чтобы территориальные ограничения вас не остановили. Ну а чтобы поучаствовать – нужно отправить отчет о своей самой интересной/крутой уязвимости/баге в специального бота (в общем, почти как в Pentest Awards). Заявки принимаются до 13 мая, результаты будут уже 17-го мая. Так что берем Если подробно, то всё расписано вот тут – https://t.me/yrrp_official/6 Да пребудет с вами сила 🎩

Думаю, тут обойдемся без лишних комментариев. #КиберМем Твой Пакет Безопасности

А вот и воскресенье Воскресного дайджеста сегодня не будет. Понимаю – грустно, больно, обидно, канал уже не тот, автор обленился, а вот в наши времена было лучше и вот это вот всё. Ну ничего, всё, что нас не убивает, делает нас слабее сильнее. Ну а пока я возвращаюсь на родину и жду в гости ребят из Positive Technologies, чтобы нам наконец-то дали PhD-билеты на розыгрыш, расскажу вам немного о том, что скоро будет в канале и вообще в нашей жизни. Во-первых, скоро уже случится анонс следующего Pentest Awards, куда меня пообещали позвать членом жюри. Во-вторых, мы с парочкой админов других ИБшных каналов заказали для вас Flipper Zero и горстку профильных книг для розыгрыша. В-третьих, скоро опубликую информацию о том, как я решил вписаться в одну благотворительную историю с другими ребятами из мира кибербеза (там будет нечто годное для тех, кто пока не может себе финансово позволить посещать крутые, но платные ИБшные мероприятия). В общем, жизнь кипит, мы движемся вперед и делаем (конечно же вместе) этот мир только лучше. Твой Пакет Безопасности

В общем, это было круто! Спасибо всем, кто послушал доклад, кто не постеснялся подойти (сам я не справился бы), с кем познакомились. Крутая страна, крутой город, крутая конфа. По-дороге успел забежать на подкаст и дать небольшое интервью другим интересным ребятам, поэтому, возможно, скоро поделюсь ссылкой. Как-то так. Ловите небольшой фотоотчет. В следующий раз встретимся на конференции в Майями 😎 Твой Пакет Безопасности

​Крипта – СКАМ Про зарплаты и деньги в ИБ поговорили, теперь настало время поболтать и о том, как всё это добро не потерять. Думаю, что многие из вас слышали или смотрели интервью и выступление Паши Дурова на дубайском криптофоруме. Также, наверняка многие из вас слышали или хоть раз, да пользовались встроенным в Телеграм криптокошельком wallet. Так вот, в последнее время появилось что-то очень много мошеннических схем, связанных с криптой TON (которая якобы никак не связана с основателем Телеграм) и этим встроенным кошельком. Более того, несколько человек из моего окружения даже повелись на такие схемы. Кажется, что всё это также было спровоцированно появлением детища TON – NOT Coin. Да, эта монета и игрушка были призваны популяризировать криптовалюты среди масс, но о побочках, кажется, никто не задумался. Как тыкать на монетку людям объяснили, а вот как свои кошельки защищать – забыли. Так что погнали разбираться, что там за схемы такие. В целом, по классике, никто ничего нового не придумал, просто обернул в свежую оболочку и подогнал под ситуацию. Первая схема – вам пишут якобы от службы поддержки того самого Wallet с просьбой верифицировать свой профиль, чтобы не потерять свой кошелек и защититься от участившихся взломов. Да, процесс верификации действительно существует в этом сервисе, но вот происходит она обычно немного иначе. Тут же вам просто присылают ссылку, где вам надо ввести одноразовый код из сообщения от Телеграма. Дальше ваш аккаунт успешно угоняется, крипта снимается, юзернейм освобождается. Делается это все за считанные минуты. Сам Wallet постоянно напоминает своим пользователям, что его поддержка никогда не связывается с пользователями первая. Ну а я вам напоминаю, что единственный официальный юзернейм этого кошелька – @wallet (не реклама). И там внутри вы уже и криптой покрутить сможете, и в поддержку написать, и пароль поставить (обещали скоро завезти эту функцию, возможно уже есть). Вторая схема связана с тем, что тот самый пресловутый NOT Coin скоро должен появиться на криптовалютных биржах, где им можно будет официально торговать, продавать свои натыканные монетки и вот это вот всё. Во многих чатах, комментариях под постами в каналах (наш канал не исключение) начали появляться сообщения о том, что "ну наконец-то можно продать свои НОТкоины и стать миллионером, скорее переходи по ссылке". Благо тут уж совсем заморачиваться не стали, и схема палится уже по заголовку. В общем, если залезаете в крипту, то будьте готовы к тому, что этот "анонимный" мир не так уж и безопасен. Думаю, что скоро сделаю еще подробный пост про безопасность в Телеграме с описанием детальной настройки своего аккаунта. Если вам такое надо – можете навалить реакций под пост. Ну и по традиции – пересылайте своим криптодрузьям, чтобы они не лишись своих кровно заработанных деняк. #Кибергигиена Твой Пакет Безопасности

Ну что за красота Да, я всё еще слаб на всё красивое. А тут еще и полезное. Если вы вдруг собираетесь строить DevSecOps, пытаетесь в нём разобраться или не уверены, что у вас он полноценный, то беглым взглядом сможете сразу понять, чего не хватает из самого основного. Тут и про управление секретами и уязвимостями, и про контейнерную безопасность, и про моделирование угроз. В общем, всё самое необходимое, чтобы защитить свои активы и спать спокойно, пока продуктовые команды доносят ценность до пользователей. Сохраняем, распространяем и радуемся. #Полезное Твой Пакет Безопасности