Size: a a a

Киберпиздец

2017 September 30
Киберпиздец
#Полезное
Работая в ИБ мы остаемся людьми, и ничто человеческое нам не чуждо, в том числе проблемы. Вы сталкивались с усталостью и разочарованием на работе? Когда вроде бы знаете, что нужно делать, но нет ни желания, ни мотивации двигаться дальше? Ладно, если в жизни тяжелый период: рождение ребенка, сезонная активность на работе, проблемы со здоровьем... но все чаще хандра возникает на "пустом" месте. Внешне здоровые люди, без отягощающих обстоятельств, внезапно начинают депрессовать, пьянствовать, а былая увлеченность и желание развиваться в профессии сходят на нет. Почему так происходит?

Думается, что виной всему два ключевых фактора. С одной стороны - гиперподключенность, когда мы все время находимся в сети, отвечаем на телефон и кушаем новости в режиме 24 на 7. В результате наш мозг оказывается перегружен непереваренной информацией, и мы впадаем в ментальный ступор (это похоже на спортивную перетреннировонность, когда забитые без отдыха мышцы начинают деградировать). С другой - отсутствие внутреннего понимания смысла своей жизни. Ответа на вечный вопрос: зачем? Мы не группа психологической помощи, да и вряд ли кто-то кроме самого человека сможет разобраться в проблемах души, но занимаясь консалтингом и воочию наблюдая десятки разочарованных, отчужденных специалистов невольно задаешься вопросом: кто виноват и что делать?

Здесь не может быть универсального ответа, и каждому из нас предстоит найти свой баланс между работой и отдыхом; рутиной и увлеченностью; осмыслением и бессмыслецей. Но если на этих выходных вы отключитесь от гаджетов, интернета и уйдете в "лес", чтобы немного подумать о смысле жизни и отдохнуть от постоянной вовлеченности в сеть, вам наверняка станет лучше, и вы будете работать эффективнее, а главное осмысленнее. Хороших и содержательных вам выходных, дорогие друзья!

P.S. Ниже список рекомендованной литературы по теме
1. https://megaplan.ru/letters/kak-raspoznat-professionalnoe-vygoranie - статья с советами по преодолению профессионального выгорания;
2. https://www.ozon.ru/context/detail/id/33657923/ - монография-гайд по правилам работы с собственным мозгом.
источник
2017 October 01
Киберпиздец
Как зарабатывать на ИБ в США?

1. Выучить основы пентестинга.
2. Основать свою компанию.
3. Продавать лекции по пентестингу.
4. Открыть собственный магазин устройств для хакеров.
5. Profit.

Ну а если серьезно, чуваки реально молодцы и пользуются популярностью в сфере услуг по тестированию на проникновение. А их магазин с Rubber Ducky, Wi-Fi Pineapple и всякими сумочками... Ну прям очень атмосферненько надо сказать.

Источники: YouTube, Сайт hack5, Их магазин
источник
2017 October 02
Киберпиздец
#Полезное
#FYI
Capture the Flag, а в простонародье просто CTF-свистопляска.

Не удивительно, что этот формат стал насколько популярным среди школьников и студентов, обучающихся практической безопасности.

Ведь именно CTF мероприятия позволяют неплохо прокачать себя, заручиться новыми знакомствами ну и конечно же почувствовать себя настоящим хакером из крутых фильмов.

Мы знаем, что многие из наших читателей активно принимают участие в подобного рода мероприятиях, но знаете ли вы о сайте https://ctftime.org, где собраны все челенжы по всему миру?

Кстати, там очень и очень часто мелькают наши соотечественники, что не перестает греть душу. Спасибо!
источник
Киберпиздец
#Событие
Блог безопасности компании Google сегодня пополнился записью о найденых уязвимостях в DNS-сервере Dnsmasq. Там целый букет - и отказ в обслуживании и удаленное выполнение кода, даже утечка информации есть.

Dnsmasq по-умолчанию включен в некоторые дистрибутивы Linux (например Ubuntu), а также встречается на домашних роутерах и IoT устройствах. В интернете сейчас около 1 млн. активных DNS серверов на Dnsmasq, поэтому новость более чем значительная.

Патчи уже находятся на репозитоиях продукта, поэтому либо обновляйтесь  до версии 2.78, либо бегом за заплаткой.

Источник: https://security.googleblog.com/2017/10/behind-masq-yet-more-dns-and-dhcp.html
источник
2017 October 03
Киберпиздец
Утра доброго, дорогие наши киберподписчики! Вот вам очередная порция новостей о слежке, все, как вы любите. Поехали?

#Событие
В лондонском метро запустили программу по отслеживанию телефонов, подключенных к Wi-Fi сети подземки, для того, чтобы потом продавать эти данные рекламодателям. По оценке экспертов, каждый день в лондонском метро используется около 5,6 млн. устройств.

Объяснение классическое: "Эта мера поможет нам получить больше информации о наших пассажирах и улучшить транспортный сервис". Ничего более придумать не смогли, типичная уловка.

К сожалению, документы, полученные на руки активистами, говорят об обратном. Оказывается, что в будущем транспортная компания Лондона допускает продажу этой информации третьим лицам, например рекламодателям.

Самый простой способ защиты - выключить Wi-Fi на устройстве. Такие дела.

Источник: http://news.sky.com/story/tfl-may-make-322m-by-selling-on-data-from-passengers-mobiles-via-tube-wifi-11056118
источник
Киберпиздец
#Ликбез
Задумывались над тем, как будет выглядеть будущее наружной рекламы и рекламы в целом? Лондонское метро постом выше это только начало.

Давайте мы вам расскажем. Сейчас существуют умные биллборды, которые работают совместно с камерой. Камера читает марку и модель вашего авто, передает информацию на биллборд, и когда вы проезжаете мимо, вы видите изображение конкурентного авто. Но это уже сейчас, и это слишком просто.

"По началу было действительно сложно вручную собрать миллионы изображений и скормить их нашей системе" - рассказывает Александр Пустов, исполнительный директор компании Synaps, занимающейся искусственным интеллектом и машинным обучением в сфере рекламы. Но это уже в прошлом.

Будущее - это когда щиты смогут распознать не только марку и модель авто, но и год его создания, номерной знак, а вместе с ним возраст, расу, домашний адрес автомобилиста, а также будут взаимодействовать с другими системами, получая информацию с GPS, Wi-Fi, тем самым рисуя максимально таргетированную рекламу для человека.

Более того, не исключено, что в цепочку подключится и мобильный телефон, на который также будут приходить уведомления, как только вы будете проезжать подобные конструкции.

Еще Алекс напоминает, что в ближайшие 10 лет автомобильная концепция скорее всего изменится и после масштабного внедрения беспилотных автомобилей, у водителей в прямом смысле будут развязаны руки, а это открывает новые возможности для рекламы.

Теперь абстрагируйтесь от концепции с автомобилями и представьте подобные механизмы более глобально. Реклама повсюду, реклама - двигатель прогресса, реклама, реклама, рекла...

Почитайте, материал действительно интересный.

Источник: http://www.miamiherald.com/news/nation-world/national/article174197441.html
источник
Киберпиздец
Сегодня у нас день гумунитария какой-то получается, поэтому не будем нарушать хронологию.

Внимание вопрос: не показалось ли вам странным российское имя в предыдущем посте про "умные" биллборды?

Чтож, вы правы и чтобы окончательно развеять миф о фантазиях, стоит сказать, что SYNAPS это по сути российская компания с офисами в Москве, Нью-Йорке и Бостоне. И все вышесказанное не пустые слова, а уже во многом решенные и вполне успешные кейсы.

Проект с таргетинговой рекламой автомобилей Jaguar, кстати, запускали в Москве в марте этого года.

Так что готовьте шапочки из фольги, мы отправляемся на встречу технологиям и уже потираем руки в ожидании новостей о взломах :)

Что еще почитать о Synaps: Kaspersky Blog, Technologyreview, РБК
источник
Киберпиздец
источник
Киберпиздец
#Полезное
Мой дядя всегда говорил: "Учите, батенька, стандарты!". Вот и ребята из Пентестит говорят дело: https://habrahabr.ru/company/pentestit/blog/339206/  

Многие люди, особенно прирожденные технари, недооценивают всяческие бенчмарки, и, особенно, комплексные стандарты ИБ. Они кажутся им слишком "верхнеуровневыми", "неконкретными" и "беспредметными". Но проблема заключается в том, что с высокого уровня, без знания конкретной организации и её особенностей, дать точные технические рекомендации невозможно. В то же время, без верхнеуровневого понимания защиты информации как целого, В ПРИНЦИПЕ нет комплексного, системного мышления в той области, которой мы с вами занимаемся. Без знания стандартов, столкнувшись с реальным кейсом, вы, скорее всего, что-то забудите, где-то накосячите и оставите парадную дверь открытой!

Именно поэтому отраслевые, государственные и международные стандарты, при всех их объективных недостатках, качественно прочищают мозги. И даже если вы не собирайтесь заниматься методологией, аудитами или становиться CISO, вам не помешает хотя бы поверхностно знать пресловутые ISO 27001, PCI DSS, приказы ФСТЭК и ЦБ-е ГОСТы (ну, или более экзотичные для нашей страны NIST, SANS и прочую муть). Поэтому учите стандарты, батенька, учите, и в следующий раз, когда Вы захотите подрочить на порнуху, лучше почитайте какой-нибудь ГОСТ. Порнуха не волк и в лес не убежит, а драгоценное время самообразования будет упущено. Нехорошо получится, батенька! Плоско и пошло.
источник
2017 October 04
Киберпиздец
#FYI
Хей, чуваки!
Тут у Лаборатории Касперского CTFчик намечается. Старт уже 6 октября. Финаслиты летят в Шанхай. Уже зарегистрировано больше 100 команд. Пробуем? 😏

https://ctf.kaspersky.com
источник
Киберпиздец
#Событие
Хотите знать, что бывает с плохими безопасниками, и почему нам следует постоянно учиться и быть настороже? Вчера PBS NewsHour опубликовал запись с слушаний бывшего CEO Equifax, Ричарда Смита, перед комитетом Конгресса США.

История эта хороша тем, что наглядно показывает возможные последствия халатного отношения к своей работе. Все мы ходим под богом, но положение людей, отвечающих за ИБ в компании, несет в себе оттенок дополнительной опасности. Мы несем на себе не только пресловутые бизнес-риски, связанные с доходом нашей организации, но и уголовную ответственность перед государством, в рамках принятых на себя обязательств. А потому нам надлежит быть точными, последовательными и осведомленными.

Без ответственности в нашей профессии никуда, и каждому безопаснику нужен свой "раб", который в нужный момент шепнет на ушко: "Memento Mori", заставив вспомнить всю блеск и нищету информационной безопасности, за гранью рекламных буклетов и маркетинговых отчетов.

Видео: https://www.youtube.com/watch?time_continue=1&v=LhnRRlqMr28
источник
Киберпиздец
#live #Событие
Google сейчас в прямом эфире презентует свои новые гаджеты. Например только что показали Google Home Mini за $49. Это такой умный асистент для дома, который слушает ваши голосовые команды и реагирует на них.

Как заставить людей установить микрофон в их спальни? Сделать умного помощника всего за $49 :)

Ждем другие девайсы :)

https://www.youtube.com/watch?v=0YGoxbeSzLc
источник
2017 October 05
Киберпиздец
#Событие, которое пару дней назад прошло мимо нас, но заслуживает вашего внимания, несмотря на то, что затрагивает политические интересы. Увы, в такое время живем.

Агенство Reuters сообщило, что компания HPE позволила ФСБ изучить исходный код продуктов линейки ArcSight в рамках сертификационных процедур, позволяющих в будущем поставлять продукцию HPE российским гос. компаниям.

Казалось бы, вроде стандартная процедура, существующая в России много лет, и которую проходили многие другие крупные вендоры вроде Cisco или CheckPoint, чего разжигать. А нет, все дело в том, что ArcSight активно используется в пентагоне и присутствует там уже на протяжении многих нет, поэтому подобный шаг американской компании был для военных равнозначен выстрелу в затылок.

Объяснения представителей HPE, что код российские специалисты анализировали в специальных лабораториях HPE за пределами России и, что компания контролировала весь процесс исследования - не помогли.

По словам военных, Россия при анализе могла обнаружить уязвимые участки кода, которые в последствии помогли бы русским хакерам осуществлять скрытые кибератаки на военные и другие ведомстсва США.

Несмотря на потенциальные риски для пентагона, Reuters не указывает каких-то явных фактов о возможных кибератаках на ведомства.

В статье также говорится о том, что HP ArcSight настолько укоренился в военных ведомствах, что стоит начать рассматривать альтернативы для "оживления скомпрометированной IT-инфтраструктуры".

Определить, кто именно пытается убрать HPE с рынка пока сложновато, но прецедент интересный, поэтому запасайтесь попкорном. Со стороны кажется, что в HPE пытаются и рыбку съесть и на хуй сесть, но рыбка оказалась костлявая :)

Источники: Reuters, РБК
источник
Киберпиздец
#Реклама
В субботу мы говорили о выгорании на работе, и сегодня мы предлагаем вам один из возможных рецептов решения проблемы. Речь идет о краудфандинге. Сопричастность значимому для вас проекту, участие в нем и возможность повлиять на мир своими руками дорогого стоит.

Но как найти стоящий проект? В этом деле нам поможет канал @kikstarters.

В одном месте вы найдете самые интересные и стоящие проекты со всех мировых и российских площадок, с подробным описанием и ссылками. Никогда не пробовали участвовать в крауде? Быть может, вас ожидают удивительные открытия 😊
источник
Киберпиздец
#FYI
CISCO выкатили свой отчет по информационной безопасности за первое полугодие 2017.

В отчете фигурируют операторы связи, государственный сектор, розничная торговля, производство, коммунальные услуги, здравоохранение, транспорт и финансы.

В качестве новых тенденций - IoT-ботнеты и DeOS (атаки направленные не только на финансовую выгоду, но и на нанесение вреда системам и выведение их из строя). Если впервое мы еще может поверить, то второе выглядит слишком притянутым за уши.

В общем и целом полезно.
источник
Киберпиздец
источник
Киберпиздец
#Событие
Новости про плохих русских парней под псевдонимом "русские хакеры". Причем источником обеих новостей стал The Wall Street Journal. Машина пропаганды заведена, враг будет наказан.

Новость 1 - Русские хакеры взломали мобильные телефоны военных НАТО находящихся в Польше и странах Балтии, чтобы оценить их численность и в будущем давать ложные инструкции через смартфон.

Теперь тру стори, на основании которой слепили материал на WSJ - Полковник армии США Кристофер Леру возвращался со стрельбища, когда обнаружил, что его телефон взломан. По его словам хакер пытался попасть на его смартфон с российского IP адреса. Теперь внимание... «На телефоне была маленькая карта Apple, а в центре была Москва. Там еще была надпись "Кто-то пытается получить доступ к вашему айфону"».

Чтобы совсем скучно не было WSJ рассказали про солдат, которых заставляют перед операциями прыгать в воду, чтобы убедиться, что они не взяли с собой смартфон, но особо сообразительные прячут их в презервативах. В общем не новость, а кино!

Новость 2 - Русские хакеры, используя уязвимость нулевого дня на компьютере, где был установлен антивирус касперского украли важные данные NSA. Как? Один из сотрудников принес секретные данные, содержащие информацию о защите от кибератак, и скопировал их на свой домашний ПК, где был установлен продукт лаборатории Касперского. Вжух и данные исчезли! :) Как за грибами сходил.

Оба материала выглядят заказными и похоже дальше будет только хуже. Такие дела.

Новость 1: WSJ, Hackread, Газета.ру

Новость 2: WSJ, Techcrunch
источник
Киберпиздец
#FYI
Чтобы вы понимали, мы аполитичный канал и никогда не придерживались той или иной стороны. Мы безопасники, большинство наших читателей технари, мы за объективность и точность, поэтому материалы притянутые за уши, основанные на каких-то сплетнях и политических играх вызывают у нас лишь смех.

Почему мы их публикуем? Как мы уже говорили, нам не поИБ на ИБ и хочется показать, насколько происходящее в мире напоминает тот самый... глобальный... Киберпиздец.

До завтра!
источник
2017 October 09
Киберпиздец
#FYI #Ликбез
Помните как мы недавно смаковали блокчейн и радовались новым горизонтам ИБ? А вот и обучающий вебинар от DSec подоспел. В пятницу 13-е, в 11 утра, Алексей Перцев расскажет о безопасности блокчей-проектов. Подробную информацию о содержании вебинара и регистрационную форму вы найдете по ссылке ниже: https://events.webinar.ru/732031/641427 Желаем вам продуктивной недели!
источник
2017 October 10
Киберпиздец
#Событие
Голосовой помощник Кортана приходит в Skype.

Все, что вам нужно знать:

"Кортана будет следить за вашей перепиской и предлагать полезную информацию прям во время переписки с другом или коллегой."

"Кортана также способна распознать в ваших разговорах запланированные события или вещи, которые вы должны сделать и предложить вам, например, создать напоминание."

Пока только в США для iOS и Android. Такие дела.

https://blogs.skype.com/news/2017/10/09/introducing-cortana-skype-microsofts-intelligent-assistant-comes-chat-window/?eu=true
источник