3side кибербезопасности

Кратко про 16 млрд паролей Судя по тому, что я видел и читал, всё это — данные со стиллеров. То есть получены они были с устройств пользователей, причем за длительный период. Совсем просто: вирус заразил устройство, выкачал оттуда все пароли, какие есть, и эти данные продавали. И вот их собрали в огромную базу. Если сравнивать их именно с утечками с сервисов, процент новых будет действительно высоким! Но корректнее всего их сравнивать со старыми логами стиллеров. Ведь, судя по всему, эти 16 млрд паролей к сервисам собирались длительное время. Какой процент полезных для атакующих? Явно небольшой. Ведь идеальная учетная запись — это: - Она не была ранее куплена и использована. А стоят логи со стиллеров копейки. - На ней нет двухфакторной аутентификации в любом виде. - Сервис не отслеживает «подозрительные попытки входа» и не отправляет пуш/код даже без двухфакторки. - Пароль актуален и не был сменен. Нужно ли срочно менять пароли? Сменить пароль никогда не лишнее, но если вы попали в базу, значит, у вас на устройстве было или даже есть вредоносное ПО. И это главная проблема.

#созвон_сообщества Запись созвона На созвоне узнали: - Как работает полиграф? - Что обычно спрашивает полиграфолог? - Как определить, перед вами профессионал или человек с игрушкой в руках? - Можно ли обойти полиграф? - Можно ли детектировать ложь без полигрфафа? - Почему компании используют полиграф? - Если полиграф не субъективщина, почему он не используется в суде? - Что важнее: сам полиграф или то, что перед ним? - Когда стоит использовать полиграф, а когда нет? Смотреть на: - 📹Youtube - 💰Boosty - 📺VK - 📺Rutube Предыдущий Созвон сообщества с участием Антона 👀@ever_secure

Запись нашего подкаста по моему доп. обучению! Разобрали полиграф и верификацию лжи с точки зрения науки, ограничений метода и нюансов использования.

Войны будущего https://www.defensenews.com/land/2025/06/13/tech-execs-enlist-in-army-reserve-for-new-innovation-detachment/ Американская армия создала новое военное подразделение - Detachment 201. В него входят топ-менеджеры из Palantir, OpenAI, Meta и других…

Войны будущего https://www.defensenews.com/land/2025/06/13/tech-execs-enlist-in-army-reserve-for-new-innovation-detachment/ Американская армия создала новое военное подразделение - Detachment 201. В него входят топ-менеджеры из Palantir, OpenAI, Meta и других технологических гигантов. Не как консультанты. А как офицеры резерва, принимающие непосредственное участие в формировании будущих боевых систем США. В погонах. С присягой. «Их присяга - это только начало более масштабной миссии, чтобы вдохновить больше технических профессионалов на службу, не покидая свою карьеру, показывая следующему поколению, как изменить ситуацию для тех, кто в форме» Это не просто сотрудничество государства и частного сектора. Это новая архитектура войны, где алгоритмы, код и ИИ выходят на первый план.

«Ваше лицо скомпрометировано!» В одном из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков: 1. По одноразовому QR-коду 2. По биометрии, а именно лицу И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох? Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки! Отличить настоящего человека от: - Фотки на телефоне - Распечатанного фото - Человека в накладной маске - Человека в тонкой (проводящей тепло) маске И иных способов мимикрии. Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал. Партнеры предъявили это охране, и как они отреагировали? Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ. Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?

Продолжая тему про книгу, и отвечая на множество вопросов о том, что будет дальше и когда ее уже можно наконец-то получить, у нас для вас вторая супер новость! 20 июня мы организуем Ever Secure Meetup — живой вечер безопасности. Пройдет он в Москве, в музее криптографии, который любезно согласился помочь нам с площадкой. При поддержке @ArtemiyUeax и сообщества Слономойка! 🕔 Сбор гостей — с 17:00 🕡 Старт докладов — в 18:00 🕖 Нетворкинг — с 19:00 В программе: – Вступительное слово – Доклад "История появления книги" George K – Доклад "Почему безопасность не опция" от меня А еще: – 📚 Выдача предзаказанных экземпляров книги «НХБ» – ✍️ Автограф-сессия – 🤝 Нетворкинг с единомышленниками - 🏛 Возможность посетить экскурсию по музею и окунуться в удивительный мир криптографии (билет на экскурсию приобретается отдельно) 📍 Место встречи — https://cryptography-museum.ru. Вход для участников митапа будет бесплатный, а регистрация скоро будет открыта P.S. С теми, кто не сможет присутствовать, мы свяжемся по поводу выдачи и доставки заказов P.P.S. Нам нужно понимать примерное количество гостей, пожалуйста проголосуйте в опросе ниже 👇 👀@ever_secure | 💪Мерч

Ну и да, у оценки стоимости активов через ransom появился достойный конкурент — оценка стоимости данных через штраф!

Шантаж регулятором в деле - украинские хакеры начинают шантажировать бизнес штрафами Роскомнадзора На прошлой неделе вступили в силу обновлённые штрафы за нарушения в сфере персональных данных. Теперь за утечки можно влететь на миллионы рублей — теоретически. На практике никто пока вообще не представляет, как все это будет работать. И тут начинается самое интересное. Украинские (и, видимо, не только) преступные группировки начинают публиковать (видимо) сэмплы уже утекших баз под видом новых. С совершенно понятным посылом к ... Роскомнадзору. "Штрафуйте их, они потеряли данные". И вот кажется, что постепенное введение оборотных штрафов может привести к тому, что законодательный инструмент превращается в элемент шантажа, где на кону не только данные, но и репутация, и финансы. Дословная цитата из тг-канала одной из украинских группировок (ссылку приводить не будем): ... Нужно привыкать к новым реалиям юридической "опасности" в [России], а потому напоминаем [вам]: если вы не хотите получить [по голове] от ФСБ и регуляторов, то заплатите [нам] 50-60% от суммы штрафа. Мы найдем, куда эти деньги использовать, а вы избавитесь от проблем, которые мы вместе с вашими [правоохранительными органами] можем вам создать. Обратите внимание, что тут стоимость выкупа конкретно так привязана к величине штрафа: ну а что, такой вот прайсинг в деле. Причем на объем публикуемых утекших данных (а значит на оценку величины штрафа) злоумышленники тоже могут влиять. Кстати, выплата злоумышленникам не даст вообще никаких гарантий — это и шифровальщика тоже касается. В общем, вот такие удивительные истории. Почему-то кажется, что с появлением судебной практики по оборотным штрафам количество таких историй будет только расти.

😎📱Cyber: ДОБРЫЙ ХАКЕР — ЭТО ОН! 🔥 💬Знакомьтесь: Антон Бочкарев — тот самый «Добрый Хакер», который взламывает системы, но только чтобы их защитить. 🛡Кто он? 🟡Не просто CEO «Третьей Стороны» (3side.org), а настоящий white hat с 10+ годами в ИБ 🟡Финалист CTF, спикер и главный разоблачитель мифов о безопасности 🟡Работал в Jet Infosystems, Bi.Zone, СИБУР, а теперь делится знаниями с вами 🟡Спец по пентесту, Red Team и социнженерии — знает, как вас взломать, но научит, как защититься 💡Почему «Добрый»? Миссия Антона — не навредить, а предупредить. Его лекции — это безопасность без воды, только реальные кейсы и рабочие методы. 📌О чем расскажет Антон на курсе? 🟡Что такое тестирование на проникновение 🟡Виды (black box, white box, grey box) 🟡Red Team vs Blue Team vs Purple Team 🟡Как работает командная симуляция атак 🟡Что делает Security Operation Center 🟡Bug bounty и программы поиска уязвимостей 🟡Как бизнес привлекает этичные хаκеров 🟡Примеры юридических и этических конфликтов 🟡SSDLC и безопасная разработка 📱А вот и канал Антона Cybersecurity in Privacy

Созвон сообщества в Zoom 10.06 в 19:00 Гость выпуска: Антон Бочкарев (3side, 4Security) Тема: Полиграф 😱 Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный спросить обо всем, что вы хотели! На созвоне…

Созвон сообщества в Zoom 10.06 в 19:00 Гость выпуска: Антон Бочкарев (3side, 4Security) Тема: Полиграф 😱 Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный спросить обо всем, что вы хотели! На созвоне узнаем: - Как работает полиграф? - Что обычно спрашивает полиграфолог? - Как определить, перед вами профессионал или человек с игрушкой в руках? - Можно ли обойти полиграф? - Можно ли детектировать ложь без полигрфафа? - Почему компании используют полиграф? - Если полиграф не субъективщина, почему он не используется в суде? - Что важнее: сам полиграф или то, что перед ним? - Когда стоит использовать полиграф, а когда нет? + Ответы на вопросы зрителей! Подключаться по ссылке Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉 👀@ever_secure | 💪Мерч