The Trends - 100% рекомендасьон!
20 спикеров прилетают в Россию
из 15 стран мира и некоторые выступят здесь впервые!
Да, много новых связей ТОП уровня.
Мы подсчитали, что у спикеров The Trends более 100 млн подписчиков в соцсетях.
Вот лишь часть спикеров:
1. Иван Чебесков, Заместитель министра Министерство Финансов РФ;
2. Evan Luthra, Forbes 30 under 30, один из топов в крипте (India, UAE);
3. Эрик Китуашвили, тот самый "Давидыч";
4. Karim Usama, Лучший инфлюэнсер ОАЭ 2024 (Egypt, UAE);
5. Сергей Марков, Директор по ИИ, ПАО «Сбербанк»;
6. Andressah Catty, Известная медиа-персона, спикер ЮНЕСКО (Brazil);
7. Эдгар Григорян и Alex Gajic, Сооснователи WEB3 социальной сети DAOPEOPLE
И еще 100+ лидеров со всего мира.
—————————————
За 1,5 года ребята выросли
с 2 до 11 тысяч посетителей.
И обещают остаться ламповыми.
28-29 мая будем в Москве.
100% рекомендасьон!
Скидка 20% на все виды билетов тут (цена автоматом меняется перед оплатой)
20 спикеров прилетают в Россию
из 15 стран мира и некоторые выступят здесь впервые!
Да, много новых связей ТОП уровня.
Вот лишь часть спикеров:
1. Иван Чебесков, Заместитель министра Министерство Финансов РФ;
2. Evan Luthra, Forbes 30 under 30, один из топов в крипте (India, UAE);
3. Эрик Китуашвили, тот самый "Давидыч";
4. Karim Usama, Лучший инфлюэнсер ОАЭ 2024 (Egypt, UAE);
5. Сергей Марков, Директор по ИИ, ПАО «Сбербанк»;
6. Andressah Catty, Известная медиа-персона, спикер ЮНЕСКО (Brazil);
7. Эдгар Григорян и Alex Gajic, Сооснователи WEB3 социальной сети DAOPEOPLE
И еще 100+ лидеров со всего мира.
—————————————
За 1,5 года ребята выросли
с 2 до 11 тысяч посетителей.
И обещают остаться ламповыми.
28-29 мая будем в Москве.
100% рекомендасьон!
Скидка 20% на все виды билетов тут (цена автоматом меняется перед оплатой)
3side кибербезопасности
The Trends - 100% рекомендасьон! 20 спикеров прилетают в Россию из 15 стран мира и некоторые выступят здесь впервые! Да, много новых связей ТОП уровня. Мы подсчитали, что у спикеров The Trends более 100 млн подписчиков в соцсетях. Вот лишь часть спикеров:…
Кстати, как у информационного партнера у нас есть три гостевых билета!
Если вы сегодня будете на фестивале PHDays, найдите Антона Бочкарева где-то у стойки нашего конкурса SEQuest, и я их раздам первым троим!)
Если вы сегодня будете на фестивале PHDays, найдите Антона Бочкарева где-то у стойки нашего конкурса SEQuest, и я их раздам первым троим!)
Сегодня завершается PHDays, и соответственно наш конкурс по социальной инженерии SEQuest!
Кто еще не доехал до нас, приходите! Задания еще активны, а мы еще на стенде до 18 часов.
Пока выводы делать рано, но участников нашего конкурса много, очень много)
Кто еще не доехал до нас, приходите! Задания еще активны, а мы еще на стенде до 18 часов.
Пока выводы делать рано, но участников нашего конкурса много, очень много)
Кибериспытание: багбаунти 2.0 или что-то большее?
Вышло видео с нашей пленарной сессии на PHDays!
Обсуждали опыт Кибериспытаний с разных сторон, немного спорили о багбаунти, но вышло в целом интересно!
Смотреть на:
VK Видео
YouTube
Вышло видео с нашей пленарной сессии на PHDays!
Обсуждали опыт Кибериспытаний с разных сторон, немного спорили о багбаунти, но вышло в целом интересно!
Смотреть на:
VK Видео
YouTube
VK Видео
"Кибериспытание: багбаунти 2.0 или что-то большее? "
Мы провели «Кибериспытание-экспресс»: 100 компаний на 3 месяца стали целью для этичных хакеров. Во время дискуссии расскажем, что представляет из себя это кибериспытание с точки зрения исследователя и как участвовать в нем максимально эффективно: что отличает…
Партнерство с ITSumma
Мы еще в начале года писали, что именно эффективные партнерства становятся для нас главной целью в 2025 году и основой стратегии продаж.
Одно из ключевых направлений — IT-интеграторы и MSSP. Мы рады сообщить о подписании партнерского соглашения с ITSumma — прекрасной компанией, услугами которой мы пользуемся сами. Если что — да, именно они 4sec помогают нам делать.
В общем, рекомендуем!
Мы еще в начале года писали, что именно эффективные партнерства становятся для нас главной целью в 2025 году и основой стратегии продаж.
Одно из ключевых направлений — IT-интеграторы и MSSP. Мы рады сообщить о подписании партнерского соглашения с ITSumma — прекрасной компанией, услугами которой мы пользуемся сами. Если что — да, именно они 4sec помогают нам делать.
В общем, рекомендуем!
Telegram
ITSumma
🦏☁️🍇😳🦝 🏴☠️🍍🤟🌫🦏🦝🤟😳
#Партнеры@itsumma
Ещё больше внимания к безопасности: партнёрство с 3side
🔐 Заключили партнёрство с компанией 3side — экспертами в области информационной безопасности. Благодаря этому сотрудничеству, теперь мы можем предложить нашим…
#Партнеры@itsumma
Ещё больше внимания к безопасности: партнёрство с 3side
🔐 Заключили партнёрство с компанией 3side — экспертами в области информационной безопасности. Благодаря этому сотрудничеству, теперь мы можем предложить нашим…
ИИ в кибербезе — рынок и правда вырастет в 10 раз за 10 лет?
Мы тут периодически читаем разное про американский венчурный ИБ-рынок. В первую очередь потому, что на наш взгляд если кто и "предугадает" будущее, то это он — с их Секвойями и Y комбинаторами, опыт поиска от отбора единорогов там самый большой в мире. Так вот, мы тут наткнулись на один февральский прогноз, где предсказывается рост рынка кибербеза на основе ИИ в 10+ раз. То есть CAGR они оценивают в 24,1% — это ОЧЕНЬ много.
Для понимания, это на уровне самых перспективных направлений — от ИИ в разработке лекарств (CAGR под 29.6%) до нанофибры (26%) и генетической терапии (26,4%). Ну и примеров огромных вложений вагон — вот пару дней назад вышла новость что американский стартап-автопентестер horizon3 поднял раунд в $100 млн, с оценкой (видимо post-money для тех, кто понимает) $750 млн. Чисто для сравнения, капитализация Positive Technologies сейчас около миллиарда долларов. В конце мая Pixee (AI для Appsec) подняли $15 млн. Цифры для российской индустрии астрономические, но для США в целом норм, да и у Китая инвестиции в кибербез более чем сопоставимые.
Что будет в итоге? Тут вопрос интересный. Мы не уверены, что полноценную замену человеку в ИБ вообще можно создать. Особенно в атакующем ИБ, где работа творческая и достаточно слабо детерминированная. Сделать помощника — да, безусловно, эра co-pilots у нас в самом разгаре. Сделать ИИ-агентов? Да, вполне реально. Но сделать что-то большее ... не знаем. На наш взгляд, автоматизировать можно 60-70% работы. Но "последний километр" все равно должен проходить человек.
Тут очень показательная история xbow.com (кстати, поднявших год назад раунд на $15 млн у той самой Секвойи) — получить результат они пока так и не смогли при очень хороших бенчмарках.
А вот с ИИ агентами история действительно другая, и на наш взгляд именно они в итоге станут самым перспективным направлением в ИИ-ИБ. Нам будет что рассказать про применение ИИ в 4sec (он там есть и вполне хорошо работает), но это будет отдельный большой пост.
Мы тут периодически читаем разное про американский венчурный ИБ-рынок. В первую очередь потому, что на наш взгляд если кто и "предугадает" будущее, то это он — с их Секвойями и Y комбинаторами, опыт поиска от отбора единорогов там самый большой в мире. Так вот, мы тут наткнулись на один февральский прогноз, где предсказывается рост рынка кибербеза на основе ИИ в 10+ раз. То есть CAGR они оценивают в 24,1% — это ОЧЕНЬ много.
Для понимания, это на уровне самых перспективных направлений — от ИИ в разработке лекарств (CAGR под 29.6%) до нанофибры (26%) и генетической терапии (26,4%). Ну и примеров огромных вложений вагон — вот пару дней назад вышла новость что американский стартап-автопентестер horizon3 поднял раунд в $100 млн, с оценкой (видимо post-money для тех, кто понимает) $750 млн. Чисто для сравнения, капитализация Positive Technologies сейчас около миллиарда долларов. В конце мая Pixee (AI для Appsec) подняли $15 млн. Цифры для российской индустрии астрономические, но для США в целом норм, да и у Китая инвестиции в кибербез более чем сопоставимые.
Что будет в итоге? Тут вопрос интересный. Мы не уверены, что полноценную замену человеку в ИБ вообще можно создать. Особенно в атакующем ИБ, где работа творческая и достаточно слабо детерминированная. Сделать помощника — да, безусловно, эра co-pilots у нас в самом разгаре. Сделать ИИ-агентов? Да, вполне реально. Но сделать что-то большее ... не знаем. На наш взгляд, автоматизировать можно 60-70% работы. Но "последний километр" все равно должен проходить человек.
Тут очень показательная история xbow.com (кстати, поднявших год назад раунд на $15 млн у той самой Секвойи) — получить результат они пока так и не смогли при очень хороших бенчмарках.
А вот с ИИ агентами история действительно другая, и на наш взгляд именно они в итоге станут самым перспективным направлением в ИИ-ИБ. Нам будет что рассказать про применение ИИ в 4sec (он там есть и вполне хорошо работает), но это будет отдельный большой пост.
Forwarded from Ever Secure (Aleksey Fedulaev)
Созвон сообщества в Zoom 10.06 в 19:00
Гость выпуска: Антон Бочкарев (3side, 4Security)
Тема: Полиграф 😱
Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный спросить обо всем, что вы хотели!
На созвоне узнаем:
- Как работает полиграф?
- Что обычно спрашивает полиграфолог?
- Как определить, перед вами профессионал или человек с игрушкой в руках?
- Можно ли обойти полиграф?
- Можно ли детектировать ложь без полигрфафа?
- Почему компании используют полиграф?
- Если полиграф не субъективщина, почему он не используется в суде?
- Что важнее: сам полиграф или то, что перед ним?
- Когда стоит использовать полиграф, а когда нет?
+ Ответы на вопросы зрителей!
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
👀 @ever_secure | 💪 Мерч
Гость выпуска: Антон Бочкарев (3side, 4Security)
Тема: Полиграф 😱
Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный спросить обо всем, что вы хотели!
На созвоне узнаем:
- Как работает полиграф?
- Что обычно спрашивает полиграфолог?
- Как определить, перед вами профессионал или человек с игрушкой в руках?
- Можно ли обойти полиграф?
- Можно ли детектировать ложь без полигрфафа?
- Почему компании используют полиграф?
- Если полиграф не субъективщина, почему он не используется в суде?
- Что важнее: сам полиграф или то, что перед ним?
- Когда стоит использовать полиграф, а когда нет?
+ Ответы на вопросы зрителей!
Подключаться по ссылке
Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉
Please open Telegram to view this post
VIEW IN TELEGRAM
3side кибербезопасности
Созвон сообщества в Zoom 10.06 в 19:00 Гость выпуска: Антон Бочкарев (3side, 4Security) Тема: Полиграф 😱 Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный спросить обо всем, что вы хотели! На созвоне…
Кто не знал, я учился на эту тему и даже получил повышение квалификации!
Это было в рамках глубокого увлечения социальной инженерией, само собой)
Это было в рамках глубокого увлечения социальной инженерией, само собой)
Forwarded from RPPA PRO: Privacy • AI • Cybersecurity • IP
Миссия Антона — не навредить, а предупредить. Его лекции — это безопасность без воды, только реальные кейсы и рабочие методы.
Cybersecurity in Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM
Шантаж регулятором в деле - украинские хакеры начинают шантажировать бизнес штрафами Роскомнадзора
На прошлой неделе вступили в силу обновлённые штрафы за нарушения в сфере персональных данных. Теперь за утечки можно влететь на миллионы рублей — теоретически. На практике никто пока вообще не представляет, как все это будет работать.
И тут начинается самое интересное. Украинские (и, видимо, не только) преступные группировки начинают публиковать (видимо) сэмплы уже утекших баз под видом новых. С совершенно понятным посылом к ... Роскомнадзору. "Штрафуйте их, они потеряли данные".
И вот кажется, что постепенное введение оборотных штрафов может привести к тому, что законодательный инструмент превращается в элемент шантажа, где на кону не только данные, но и репутация, и финансы.
Дословная цитата из тг-канала одной из украинских группировок (ссылку приводить не будем):
... Нужно привыкать к новым реалиям юридической "опасности" в [России], а потому напоминаем [вам]: если вы не хотите получить [по голове] от ФСБ и регуляторов, то заплатите [нам] 50-60% от суммы штрафа. Мы найдем, куда эти деньги использовать, а вы избавитесь от проблем, которые мы вместе с вашими [правоохранительными органами] можем вам создать.
Обратите внимание, что тут стоимость выкупа конкретно так привязана к величине штрафа: ну а что, такой вот прайсинг в деле. Причем на объем публикуемых утекших данных (а значит на оценку величины штрафа) злоумышленники тоже могут влиять. Кстати, выплата злоумышленникам не даст вообще никаких гарантий — это и шифровальщика тоже касается.
В общем, вот такие удивительные истории. Почему-то кажется, что с появлением судебной практики по оборотным штрафам количество таких историй будет только расти.
На прошлой неделе вступили в силу обновлённые штрафы за нарушения в сфере персональных данных. Теперь за утечки можно влететь на миллионы рублей — теоретически. На практике никто пока вообще не представляет, как все это будет работать.
И тут начинается самое интересное. Украинские (и, видимо, не только) преступные группировки начинают публиковать (видимо) сэмплы уже утекших баз под видом новых. С совершенно понятным посылом к ... Роскомнадзору. "Штрафуйте их, они потеряли данные".
И вот кажется, что постепенное введение оборотных штрафов может привести к тому, что законодательный инструмент превращается в элемент шантажа, где на кону не только данные, но и репутация, и финансы.
Дословная цитата из тг-канала одной из украинских группировок (ссылку приводить не будем):
... Нужно привыкать к новым реалиям юридической "опасности" в [России], а потому напоминаем [вам]: если вы не хотите получить [по голове] от ФСБ и регуляторов, то заплатите [нам] 50-60% от суммы штрафа. Мы найдем, куда эти деньги использовать, а вы избавитесь от проблем, которые мы вместе с вашими [правоохранительными органами] можем вам создать.
Обратите внимание, что тут стоимость выкупа конкретно так привязана к величине штрафа: ну а что, такой вот прайсинг в деле. Причем на объем публикуемых утекших данных (а значит на оценку величины штрафа) злоумышленники тоже могут влиять. Кстати, выплата злоумышленникам не даст вообще никаких гарантий — это и шифровальщика тоже касается.
В общем, вот такие удивительные истории. Почему-то кажется, что с появлением судебной практики по оборотным штрафам количество таких историй будет только расти.
Forwarded from Ever Secure (Aleksey Fedulaev)
Продолжая тему про книгу, и отвечая на множество вопросов о том, что будет дальше и когда ее уже можно наконец-то получить, у нас для вас вторая супер новость!
20 июня мы организуем Ever Secure Meetup — живой вечер безопасности.
Пройдет он в Москве, в музее криптографии, который любезно согласился помочь нам с площадкой.
При поддержке @ArtemiyUeax и сообщества Слономойка!
🕔 Сбор гостей — с 17:00
🕡 Старт докладов — в 18:00
🕖 Нетворкинг — с 19:00
В программе:
– Вступительное слово
– Доклад "История появления книги" George K
– Доклад "Почему безопасность не опция" от меня
А еще:
– 📚 Выдача предзаказанных экземпляров книги «НХБ»
– ✍️ Автограф-сессия
– 🤝 Нетворкинг с единомышленниками
- 🏛 Возможность посетить экскурсию по музею и окунуться в удивительный мир криптографии (билет на экскурсию приобретается отдельно)
📍 Место встречи — https://cryptography-museum.ru.
Вход для участников митапа будет бесплатный, а регистрация скоро будет открыта
P.S. С теми, кто не сможет присутствовать, мы свяжемся по поводу выдачи и доставки заказов
P.P.S. Нам нужно понимать примерное количество гостей, пожалуйста проголосуйте в опросе ниже 👇
👀 @ever_secure | 💪 Мерч
20 июня мы организуем Ever Secure Meetup — живой вечер безопасности.
Пройдет он в Москве, в музее криптографии, который любезно согласился помочь нам с площадкой.
При поддержке @ArtemiyUeax и сообщества Слономойка!
🕔 Сбор гостей — с 17:00
🕡 Старт докладов — в 18:00
🕖 Нетворкинг — с 19:00
В программе:
– Вступительное слово
– Доклад "История появления книги" George K
– Доклад "Почему безопасность не опция" от меня
А еще:
– 📚 Выдача предзаказанных экземпляров книги «НХБ»
– ✍️ Автограф-сессия
– 🤝 Нетворкинг с единомышленниками
- 🏛 Возможность посетить экскурсию по музею и окунуться в удивительный мир криптографии (билет на экскурсию приобретается отдельно)
📍 Место встречи — https://cryptography-museum.ru.
Вход для участников митапа будет бесплатный, а регистрация скоро будет открыта
P.S. С теми, кто не сможет присутствовать, мы свяжемся по поводу выдачи и доставки заказов
P.P.S. Нам нужно понимать примерное количество гостей, пожалуйста проголосуйте в опросе ниже 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
«Ваше лицо скомпрометировано!»
В одном из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
В одном из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
Forwarded from Максимов | ЗАПИСКИ
Please open Telegram to view this post
VIEW IN TELEGRAM
3side кибербезопасности
В истории разных стран есть примеры, когда государства привлекали специалистов из частного сектора (включая технологические компании) для усиления военных или разведывательных возможностей. Самый показательный пример как раз программа США "Executive Innovation Corps" (Detachment 201), описанная Максимовым в посте выше.
А что в других странах?
Израиль: Unit 8200 и сотрудничество с хай-тек-сектором
Израильский аналог NSA — Unit 8200 — активно привлекает выпускников в технологические стартапы (например, Check Point, NSO Group). Многие основатели этих компаний — бывшие военные, а их продукты (киберразведка, системы слежения) позже используются армией.
Великобритания: GCHQ и сотрудничество с хай-тек-сектором
Британская разведка GCHQ сотрудничает с компаниями вроде BAE Systems и Darktrace для разработки кибероружия и защиты. Бывшие сотрудники GCHQ часто переходят в частный сектор, сохраняя связи с государством. А программа National Cyber Force объединяет военных, спецслужбы и частные фирмы для киберопераций.
Китай: Гибридные военно-гражданские проекты
Китай внедряет модель "военно-гражданской интеграции", где компании вроде Huawei, DJI, SenseTime работают над технологиями двойного назначения (например, ИИ для распознавания лиц или дроны для разведки). например, компания DJI поставляет дроны Народно-освободительной армии Китая (НОАК), а её алгоритмы используются для мониторинга границ.
Эти примеры показывают глобальный тренд: война всё чаще ведётся не только солдатами, но и алгоритмами. Государства либо создают гибридные структуры (как Detachment 201), либо интегрируют коммерческие технологии через контракты и кадровый обмен. Разница лишь в степени формализации, где-то это люди в погонах и офицеры резерва, где-то коммерческие фирмы основанные уже после карьеры в армии, а где-то интеграция госпредприятий.
P.S. Да, это Юра Максимов запустил канал в ТГ. Тот самый, который основатель Positive Technologies и наших партнеров - фонда Сайберус
А еще Юра - один из крутейших визионеров в современном кибербезе.
А что в других странах?
Израиль: Unit 8200 и сотрудничество с хай-тек-сектором
Израильский аналог NSA — Unit 8200 — активно привлекает выпускников в технологические стартапы (например, Check Point, NSO Group). Многие основатели этих компаний — бывшие военные, а их продукты (киберразведка, системы слежения) позже используются армией.
Великобритания: GCHQ и сотрудничество с хай-тек-сектором
Британская разведка GCHQ сотрудничает с компаниями вроде BAE Systems и Darktrace для разработки кибероружия и защиты. Бывшие сотрудники GCHQ часто переходят в частный сектор, сохраняя связи с государством. А программа National Cyber Force объединяет военных, спецслужбы и частные фирмы для киберопераций.
Китай: Гибридные военно-гражданские проекты
Китай внедряет модель "военно-гражданской интеграции", где компании вроде Huawei, DJI, SenseTime работают над технологиями двойного назначения (например, ИИ для распознавания лиц или дроны для разведки). например, компания DJI поставляет дроны Народно-освободительной армии Китая (НОАК), а её алгоритмы используются для мониторинга границ.
Эти примеры показывают глобальный тренд: война всё чаще ведётся не только солдатами, но и алгоритмами. Государства либо создают гибридные структуры (как Detachment 201), либо интегрируют коммерческие технологии через контракты и кадровый обмен. Разница лишь в степени формализации, где-то это люди в погонах и офицеры резерва, где-то коммерческие фирмы основанные уже после карьеры в армии, а где-то интеграция госпредприятий.
P.S. Да, это Юра Максимов запустил канал в ТГ. Тот самый, который основатель Positive Technologies и наших партнеров - фонда Сайберус
А еще Юра - один из крутейших визионеров в современном кибербезе.
Запись нашего подкаста по моему доп. обучению!
Разобрали полиграф и верификацию лжи с точки зрения науки, ограничений метода и нюансов использования.
Разобрали полиграф и верификацию лжи с точки зрения науки, ограничений метода и нюансов использования.
Forwarded from Ever Secure (Aleksey Fedulaev)
#созвон_сообщества
Запись созвона
На созвоне узнали:
- Как работает полиграф?
- Что обычно спрашивает полиграфолог?
- Как определить, перед вами профессионал или человек с игрушкой в руках?
- Можно ли обойти полиграф?
- Можно ли детектировать ложь без полигрфафа?
- Почему компании используют полиграф?
- Если полиграф не субъективщина, почему он не используется в суде?
- Что важнее: сам полиграф или то, что перед ним?
- Когда стоит использовать полиграф, а когда нет?
Смотреть на:
-📹 Youtube
-💰 Boosty
-📺 VK
-📺 Rutube
Предыдущий Созвон сообщества с участием Антона
👀 @ever_secure
Запись созвона
На созвоне узнали:
- Как работает полиграф?
- Что обычно спрашивает полиграфолог?
- Как определить, перед вами профессионал или человек с игрушкой в руках?
- Можно ли обойти полиграф?
- Можно ли детектировать ложь без полигрфафа?
- Почему компании используют полиграф?
- Если полиграф не субъективщина, почему он не используется в суде?
- Что важнее: сам полиграф или то, что перед ним?
- Когда стоит использовать полиграф, а когда нет?
Смотреть на:
-
-
-
-
Предыдущий Созвон сообщества с участием Антона
Please open Telegram to view this post
VIEW IN TELEGRAM
Кратко про 16 млрд паролей
Судя по тому, что я видел и читал, всё это — данные со стиллеров. То есть получены они были с устройств пользователей, причем за длительный период.
Совсем просто: вирус заразил устройство, выкачал оттуда все пароли, какие есть, и эти данные продавали. И вот их собрали в огромную базу.
Если сравнивать их именно с утечками с сервисов, процент новых будет действительно высоким! Но корректнее всего их сравнивать со старыми логами стиллеров. Ведь, судя по всему, эти 16 млрд паролей к сервисам собирались длительное время.
Какой процент полезных для атакующих? Явно небольшой. Ведь идеальная учетная запись — это:
- Она не была ранее куплена и использована. А стоят логи со стиллеров копейки.
- На ней нет двухфакторной аутентификации в любом виде.
- Сервис не отслеживает «подозрительные попытки входа» и не отправляет пуш/код даже без двухфакторки.
- Пароль актуален и не был сменен.
Нужно ли срочно менять пароли? Сменить пароль никогда не лишнее, но если вы попали в базу, значит, у вас на устройстве было или даже есть вредоносное ПО. И это главная проблема.
Судя по тому, что я видел и читал, всё это — данные со стиллеров. То есть получены они были с устройств пользователей, причем за длительный период.
Совсем просто: вирус заразил устройство, выкачал оттуда все пароли, какие есть, и эти данные продавали. И вот их собрали в огромную базу.
Если сравнивать их именно с утечками с сервисов, процент новых будет действительно высоким! Но корректнее всего их сравнивать со старыми логами стиллеров. Ведь, судя по всему, эти 16 млрд паролей к сервисам собирались длительное время.
Какой процент полезных для атакующих? Явно небольшой. Ведь идеальная учетная запись — это:
- Она не была ранее куплена и использована. А стоят логи со стиллеров копейки.
- На ней нет двухфакторной аутентификации в любом виде.
- Сервис не отслеживает «подозрительные попытки входа» и не отправляет пуш/код даже без двухфакторки.
- Пароль актуален и не был сменен.
Нужно ли срочно менять пароли? Сменить пароль никогда не лишнее, но если вы попали в базу, значит, у вас на устройстве было или даже есть вредоносное ПО. И это главная проблема.
Типичный взгляд на ИБ со стороны
Мы подписаны на много разных пабликов, большинство из которых к кибербезу не имеют прямого отношения. И там регулярно всплывают мнения, которые вызывают ... не знаю, недоумение. И вот яркий пример.
"Мы на 100% уверены, что в мессенджере будет столько косяков, сколько придумать невозможно в принципе. И уязвимостей для пролома доступа к аккаунтам людей тоже будет масса. Ну нет веры в то, что сейчас есть и инфраструктура, и ПО для защиты такого рода приложений. Вон, экраны в метро починить не могут второй месяц - то работают, то нет."
Начнем с простого: в России есть опыт разработки действительно хорошо защищенных приложений и защищенной инфраструктуры. Причем (внезапно) государством. Примеры: Госуслуги, пруфов утечек напрямую с которых до сих пор нет. ГАС "Выборы". И многое другое.
Другой вопрос, что на госуслугах не дали распилить много всего на защите, а в случае с мессенджером — совершенно не понятно, что будет. И могут сделать хорошо, а могут сделать плохо. И да, это гадание на кофейной гуще.
Так что говорить, что "дорогие россияне не умеют в защищенные приложения" глупо — нет, умеют. Говорить "процесс разработки будет построен так, что утечек не будет" — нет, тоже нельзя.
Тут же все проще. Нормально делай — нормально будет. Экономь на безопасности, забивай на интеграцию с другими приложениями — будет плохо. А в российский суперапп на горизонте в 3-5 лет мы верим слабо, но это другая история.
Мы подписаны на много разных пабликов, большинство из которых к кибербезу не имеют прямого отношения. И там регулярно всплывают мнения, которые вызывают ... не знаю, недоумение. И вот яркий пример.
"Мы на 100% уверены, что в мессенджере будет столько косяков, сколько придумать невозможно в принципе. И уязвимостей для пролома доступа к аккаунтам людей тоже будет масса. Ну нет веры в то, что сейчас есть и инфраструктура, и ПО для защиты такого рода приложений. Вон, экраны в метро починить не могут второй месяц - то работают, то нет."
Начнем с простого: в России есть опыт разработки действительно хорошо защищенных приложений и защищенной инфраструктуры. Причем (внезапно) государством. Примеры: Госуслуги, пруфов утечек напрямую с которых до сих пор нет. ГАС "Выборы". И многое другое.
Другой вопрос, что на госуслугах не дали распилить много всего на защите, а в случае с мессенджером — совершенно не понятно, что будет. И могут сделать хорошо, а могут сделать плохо. И да, это гадание на кофейной гуще.
Так что говорить, что "дорогие россияне не умеют в защищенные приложения" глупо — нет, умеют. Говорить "процесс разработки будет построен так, что утечек не будет" — нет, тоже нельзя.
Тут же все проще. Нормально делай — нормально будет. Экономь на безопасности, забивай на интеграцию с другими приложениями — будет плохо. А в российский суперапп на горизонте в 3-5 лет мы верим слабо, но это другая история.
Telegram
Экономизм
Бумага о создании российского "национального многофункционального сервиса" подписана. Прекрасно. Непонятно только, почему для аналога телеги нужны указы президента и деньги бюджета.
Речь не об этом.
Можно делать что угодно. Можно взять и скопировать интерфейс…
Речь не об этом.
Можно делать что угодно. Можно взять и скопировать интерфейс…
Заблокируем, запретим и заживем? Невозможно
Снова в воздухе витает идея: ограничим каналы связи, введём белые списки ресурсов, и заживём безопаснее. Всё это — ради «защиты граждан» и «информационного суверенитета». Звучат ссылки на зарубежный опыт — особенно на Китай. Но стоит разобраться: существует ли вообще такой успешный опыт?
В первую очередь все всегда кивают на КНР: «великий файервол стоит и не шатается!».
На первый взгляд — да. Китайский «Золотой щит» выглядит как символ тотального контроля: запрет VPN, миллионы модераторов, интеграция цензуры в таможню и ПО. Но приглядевшись, становится ясно — это не неприступная стена, а скорее гигантский механизм, постоянно латающий дыры.
Современный интернет — это не форум 2005 года. Это потоки трафика, зашифрованные туннели, бизнес-процессы и API между странами. Даже Китай, изначально строивший автономную цифровую экосистему, вынужден учитывать интересы международной торговли и внутреннего рынка. Примеров много: от ограниченного допуска к ресурсам в туристических зонах до компромиссов с локализованными версиями приложений.
При этом Китай продолжает тратить огромные ресурсы на поддержание «Золотого щита» как средства цензуры. В его работе задействованы миллионы людей и государственные функции, включая таможню, которая контролирует ввоз техники. И с каждым годом эта система запрашивает всё больше ресурсов, просто чтобы сохранять текущий уровень контроля. Вызвано это падением эффективности, либо желанием выпросить очередное финансирование — снаружи не понять, но сути это не меняет: затрат больше, эффекта — меньше.
Еще раз: в большинстве случае при обходе ограничений от КНР речь идет не про хакерские атаки или «тлетворное влияние запада» — Автор этого поста для одного легального проекта российского бизнеса успешно использовал довольно простые технологии для проброса сетевых туннелей в компанию в Китае. Это было необходимо для удаленного выполнения проекта. Власти КНР точно также прекрасно понимают сложность баланса между цензурой и запросами бизнеса. Даже показательные рейды против граждан, использующих VPN, остаются точечными — контроль существует, но не принимает форму повсеместной цифровой охоты.
Очевидно: запретить всё невозможно. Даже временное отключение интернета — как в Египте в 2011-м или Беларуси в 2020-м — не остановило протестных коммуникаций. Египтяне наладили связь через Dial-UP, в Беларуси использовали Bluetooth-меш-сети вроде Bridgefy и Wi-Fi Direct. Медленно? Да. Но хватило, чтобы передавать информацию и координироваться. В итоге при отключении интернета больше урон получают оперативные службы, лишающиеся возможности быстро получать запросы от простых граждан.
А сегодня появляется ещё один фактор: спутниковый интернет. Starlink и аналогичные решения делают фильтрацию практически бессмысленной. Блокировка таких систем — это не просто политика, это инфраструктурный вызов: глушение, правовое давление, ресурсы, специалисты. И всё это — в ущерб другим секторам ИТ.
Не говоря уже про то, что чем сложнее система, тем чаще пути обхода начинают выстраиваться на социальной коммуникации: советская цензура и тысячи глушилок не привели к всеобщему доверию к официальным каналам власти, а привели к появлению альтернативных каналов в виде перевозчиков иностранных журналов, подпольных типографий, радиолюбителей, умеющих поймать голос Америки и попросту сеянию слухов.
Сегодня «меч» — гибкость, мобильность, децентрализация — во многом превзошёл «щит» — запреты, блокировки, цензуру. И попытки отыгрывать стратегии XX века не создают безопасность — они просто тратят ресурсы, которые можно было бы вложить в просвещение, аналитику и развитие.
Контроль уже не равен устойчивости. А белые списки — не гарантия порядка, а сигнал беспомощности.
Снова в воздухе витает идея: ограничим каналы связи, введём белые списки ресурсов, и заживём безопаснее. Всё это — ради «защиты граждан» и «информационного суверенитета». Звучат ссылки на зарубежный опыт — особенно на Китай. Но стоит разобраться: существует ли вообще такой успешный опыт?
В первую очередь все всегда кивают на КНР: «великий файервол стоит и не шатается!».
На первый взгляд — да. Китайский «Золотой щит» выглядит как символ тотального контроля: запрет VPN, миллионы модераторов, интеграция цензуры в таможню и ПО. Но приглядевшись, становится ясно — это не неприступная стена, а скорее гигантский механизм, постоянно латающий дыры.
Современный интернет — это не форум 2005 года. Это потоки трафика, зашифрованные туннели, бизнес-процессы и API между странами. Даже Китай, изначально строивший автономную цифровую экосистему, вынужден учитывать интересы международной торговли и внутреннего рынка. Примеров много: от ограниченного допуска к ресурсам в туристических зонах до компромиссов с локализованными версиями приложений.
При этом Китай продолжает тратить огромные ресурсы на поддержание «Золотого щита» как средства цензуры. В его работе задействованы миллионы людей и государственные функции, включая таможню, которая контролирует ввоз техники. И с каждым годом эта система запрашивает всё больше ресурсов, просто чтобы сохранять текущий уровень контроля. Вызвано это падением эффективности, либо желанием выпросить очередное финансирование — снаружи не понять, но сути это не меняет: затрат больше, эффекта — меньше.
Еще раз: в большинстве случае при обходе ограничений от КНР речь идет не про хакерские атаки или «тлетворное влияние запада» — Автор этого поста для одного легального проекта российского бизнеса успешно использовал довольно простые технологии для проброса сетевых туннелей в компанию в Китае. Это было необходимо для удаленного выполнения проекта. Власти КНР точно также прекрасно понимают сложность баланса между цензурой и запросами бизнеса. Даже показательные рейды против граждан, использующих VPN, остаются точечными — контроль существует, но не принимает форму повсеместной цифровой охоты.
Очевидно: запретить всё невозможно. Даже временное отключение интернета — как в Египте в 2011-м или Беларуси в 2020-м — не остановило протестных коммуникаций. Египтяне наладили связь через Dial-UP, в Беларуси использовали Bluetooth-меш-сети вроде Bridgefy и Wi-Fi Direct. Медленно? Да. Но хватило, чтобы передавать информацию и координироваться. В итоге при отключении интернета больше урон получают оперативные службы, лишающиеся возможности быстро получать запросы от простых граждан.
А сегодня появляется ещё один фактор: спутниковый интернет. Starlink и аналогичные решения делают фильтрацию практически бессмысленной. Блокировка таких систем — это не просто политика, это инфраструктурный вызов: глушение, правовое давление, ресурсы, специалисты. И всё это — в ущерб другим секторам ИТ.
Не говоря уже про то, что чем сложнее система, тем чаще пути обхода начинают выстраиваться на социальной коммуникации: советская цензура и тысячи глушилок не привели к всеобщему доверию к официальным каналам власти, а привели к появлению альтернативных каналов в виде перевозчиков иностранных журналов, подпольных типографий, радиолюбителей, умеющих поймать голос Америки и попросту сеянию слухов.
Сегодня «меч» — гибкость, мобильность, децентрализация — во многом превзошёл «щит» — запреты, блокировки, цензуру. И попытки отыгрывать стратегии XX века не создают безопасность — они просто тратят ресурсы, которые можно было бы вложить в просвещение, аналитику и развитие.
Контроль уже не равен устойчивости. А белые списки — не гарантия порядка, а сигнал беспомощности.