Наткнулся на довольно интересный видос, в котором довольно простым языком объясняется, как именно решалась проблема идентификации людей в масках различными системами распознавания в ковидные времена. Это лишь один из подходов.
💬 "За последние пару лет задачи, связанные с лицевой биометрией, заметно усложнились из-за необходимости ношения людьми медицинских масок."
Берите во внимание, что это конец 2021 года и на данный момент технологии распознавания по части лица уже чуть на другом уровне. Также доклад имеет специфику, так как это банковская сфера. Поэтому воспринимайте материал с оговорками.
#asc_видео #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Я как обычно слоупок, так как новость прошла около недели назад, но тут есть о чем поговорить.
💬 "Если ранее считалось, что информация о счете в швейцарском банке доступна только клиенту и самому банку, то теперь из-за политики правительства по борьбе с отмыванием денег банки вынуждены следовать жестким правилам, в том числе и в отношении раскрытия информации о вкладчиках."
➡️ Источник: https://www.bloomberg.com/news/articles/2023-12-12/swiss-banking-secrecy-gone-now-reformers-are-targeting-legal-secrecy
Во-первых, стоит оговориться, что пока не ясно до конца, какие именно данные стали теперь публичными, за исключением реальных личностей владельцев организаций. Поэтому голословно говорить про полное отсутствие банковской тайны тоже не корректно.
Во-вторых, тут снова хочется вспомнить про крики о "Большом брате" и тотальной слежке. Швейцария немного пошла против тренда в этом кейсе: решила просто, чтобы "все знали всё о всех". При этом, даже повод нашли логичный - большое количество подставных компаний. Еще бы, ведь Швейцария всегда была одним из самых привлекательных мест для богатых людей со всего мира в контексте агрегирования своих ресурсов.
В целом, инициатива очень интересная. Не понятно, снизит ли это это количество подставных фирм, но понаблюдать будет любопытно.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 "Исследователи из Колумбийского университета и Университета в Буффало совершили прорыв в сфере криминалистики, разработав систему искусственного интеллекта, способную связывать отпечатки пальцев одного человека, оставленные на разных местах преступления. Данное открытие оспаривает существующее предположение о том, что отпечатки разных пальцев одного человека уникальны и несопоставимы."
➡️ Источник: https://www.securitylab.ru/news/545136.php?ysclid=lrepfv1b2r739926244
Крайне интересная новость и исследование в целом. Если будет какая-то следующая итерация на еще большей выборке и результат будет похожим, тогда действительно можно будет сказать, что небольшая революция в криминалистике случилась. На мой взгляд, пока еще надо понаблюдать. Но даже уже сейчас система может помогать специалистам и сильно экономить время расследования (если только будет достаточная критическая масса данных для идентификации).
#asc_обзор_новостей #asc_criminal #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Хорошая и очень простая статья, на тему того, каким именно образом мы переходим по вредоносным ссылкам, не понимая, что они вредоносные.
➡️ Читать: https://www.kaspersky.ru/blog/malicious-redirect-methods/36701/
Понимание способов маскировки полезно, как для защиты и awareness, так и для "наступательных" действий того же red team, к примеру. Как говорится, не одними сервисами сокращения ссылок едины.
#asc_статья #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Забавное наблюдение. Недавно перелистывал книгу Джо Грея - «Социальная инженерия и этичный хакинг на практике». Крайне рекомендую для новичков в OSINT, писал о ней тут. Если хотите на русском, то ее уже легко можно найти в переведенном варианте.
Так вот, при втором прочтении меня очень позабавила глава ближе к концу книги - про управление вниманием СМИ. Контекст в том, что в компании случился какой-то инцидент и говорится про то, что нельзя допустить распространение во вне через сотрудников. Один из советов такой:
💬 «Чтобы контролировать сообщение, передаваемое общественности, запретите общение со СМИ для всех сотрудников, кроме тех, которые указаны в вашем плане реагирования на инциденты. Предоставьте неуполномоченным сотрудникам шаблон ответа для обработки таких запросов. Это может быть такое простое заявление, как «Я не уполномочен обсуждать тему вашего запроса», или перенаправление к официальному сотруднику по связям с общественностью в компании»
У меня не остается ничего, кроме зависти, если корп.культура в иностранных компаниях такая сильная, что достаточно просто сказать сотрудникам: «не говори со СМИ, я тебе запрещаю» 😂
В наших реалиях это выглядит крайне смешным заявлением и не работает от слова совсем. Остается только порадоваться за иностранных коллег.
#asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Самая захватывающая и романтизированная часть социальной инженерии — это, конечно, офлайн‑атаки. Фишинг по электронной почте — интересный процесс, но в офлайне пентестер по‑настоящему раскрывается как творческая личность. Вот об этой стороне искусства социальной инженерии мы сегодня и поговорим, разберем практические методы работы пентестера в офлайне, а также обсудим примеры успешных атак.
➡️ Читать: https://xakep.ru/2024/01/30/offline-social-engineering/?utm_source=vk.com&utm_medium=referral&utm_campaign=snap
При всем том, что тут есть прости господи "плечевой серфинг", прочесть стоит, потому что в одном месте систематизированы ключевые методы из практической социалки. Важно: речь идет по большей части про получение информации и проникновение на какой-то объект (естественно, только в исследовательских целях). Я после этой статьи узнал, что автор, оказывается, даже книгу по социалке написал. Теперь любопытно почитать.
#asc_статья #asc_hack_and_security #asc_profiling
Please open Telegram to view this post
VIEW IN TELEGRAM
В этот раз снова про утечки и ответственность.
💬 «Количество утечек персональных данных россиян продолжает расти. С начала 2024 года в Сеть попало более 510 млн записей, что в полтора раза больше, чем за весь 2023 год. Роскомнадзор бьет тревогу и призывает к ужесточению мер ответственности за подобные нарушения.
В 2023 году РКН насчитал 168 утечек персональных данных, в результате которых в интернете оказалось 300 млн записей. Суды рассмотрели 87 составленных ведомством протоколов и назначили штрафы на общую сумму более 4,6 млн руб. Однако, по мнению экспертов, эти меры не достаточно эффективны для предотвращения нарушений.»
➡️ Источник
Было бы странно, если бы количество утечек уменьшилось. Скорее всего, в ближайшие год-два (как минимум), нам это точно не светит. Ну и РКН говорит только про ужесточение ответственности за утечки, но ни слова про разработку мер по усилению ИБ и просвещению бизнеса в этом смысле. Замкнутый круг.
💬 «В России собираются ввести специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ). Законопроект, подготовленный при участии Банка России, есть в распоряжении «Известий». Сейчас он проходит процедуру межведомственного согласования, уточнили в ЦБ.
Документ предусматривает, в частности, повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны, сообщили в регуляторе. Документ касается не только банков, но также страховых компаний, пенсионных фондов и МФО.»
➡️ Источник
А вот это интересно. С точки зрения понятной мотивации, как минимум. Если топ-менеджмент заинтересован в ИБ, то это будет спускаться по всей вертикали.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Какое-то время назад коллега упражнялся в написании простенького скрипта, который мог бы собирать инфу по нику. Решили для примера взять мой ник и результат меня слегка ошеломил, потому что я про себя узнал много нового. Оказывается на некоторые мои статьи ссылались в разных научных работах.
Короче, вот небольшой список:
д. т. н., проф. Е. В. Никульчева, МИРЭА
В большинстве случаев люди упоминали мою старую статью про социалку. Не то, чтобы мне за нее стыдно, но сейчас бы я написал сильно по другому.
#asc_статья #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Какое-то время назад я написал довольно подробную статью на тему обеспечения конфиденциальности переговоров. Я там коснулся множества разных вещей и подходов в целом, но вот про мифы и некоторые технические моменты писать не стал.
Недавно попалось хорошее видео на эту же тему:
Там, конечно, присутствует реклама (не без этого), но в целом ребята очень хорошо раскрыли нюансы работы бригады на объекте, с каким оборудованием происходит осмотр, некоторые мифы о сфере и другие интересные вопросы.
Если хотите полнее погрузиться в материал, то рекомендую прочитать статью и посмотреть видео вместе.
#asc_hack_and_security #asc_видео #asc_статья
Please open Telegram to view this post
VIEW IN TELEGRAM
Начнем с небольшой преамбулы для демонстрации:
Аудитория у меня очень разная, но я люблю рассказывать про простые вещи тоже. Поэтому, раз до сих пор есть такие инфоповоды, давайте разберемся еще раз.
PS: акцент сделаем на схему "Следователь СК" в разных вариациях.
Покажите это вашим пожилым родственникам и освежите свою память тоже:
Нужно задать всего один вопрос, если вы сомневаетесь: "Продиктуйте ваши фамилию, имя, отчество, служебный номер и должность. Я запишу и вам перезвонит мой адвокат." Реальные следователи будут обязаны вам все это сказать, хотя и без энтузиазма.
Ну конечно нет. Сегодня все это может узнать любой школьник из-за огромного количества утечек и разных ботов в телеге.
Ну и в конце в качестве домашнего чтения вот вам парочка полезных статей:
#asc_hack_and_security #asc_обзор_новостей
Please open Telegram to view this post
VIEW IN TELEGRAM
Как обычно, я все пропустил. Фича вышла в iOS 17.3 (сейчас уже 17.4) и в целом, наверное, хорошо, что я не стал выпускать об этом пост раньше. Чуть позже расскажу почему, а пока посмотрим, что это вообще такое.
💬 "Функция «Защита украденного устройства» повышает уровень безопасности, когда iPhone находится вдали от привычных мест, таких как дом или работа, и помогает защитить учетные записи и личную информацию в случае кражи iPhone."
Данная функция вносит некоторые изменения в работу устройства:
🔹 Для получения доступа к сохраненным паролям, нужно будет использовать Face ID
🔹 Сброс настроек или отвязка от Apple ID невозможна без Face ID
🔹 Изменение любых конфиденциальных настроек (например, пароль от Apple ID) происходит с задержкой в 1 час
Если максимально упростить: украв телефон, злоумышленник не сможет сделать ничего критичного без вашего лица.
А в чем тогда проблема? Она вполне может наступить в тот момент, когда у вас что-то случится с датчиком Face ID (вы просто не сможете никуда зайти). Собственно, на IOS 17.3 была такая опасность, но в последнем обновлении это исправили. Теперь устройство мэтчит ваше гео и если его "базовая линия поведения" не сильно отличается (дом, работа, спортзал и т.д.), то даже при условии, что у вас поврежден датчик Face ID, вы сможете ввести ваш код-пароль для разблокировки.
В общем если у вас яблоко, то появился новый инструмент против краж, включайте на свой страх и риск 👍🏻
#asc_hack_and_security #asc_security #asc_советы
Please open Telegram to view this post
VIEW IN TELEGRAM
С 2017 года ребята из Data Leakage & Breach Intelligence делают обзор отечественного рынка пробива по годам. Сейчас подъехал очередной, в котором есть несколько очень примечательных моментов.
Лично меня заинтересовало 3 факта:
На всякий случай напомню, что все это абсолютно незаконно. И для понимания, очень рекомендую обратить внимание в статье на графики. Там отчетливо виден рост цен за последние годы и связано это не только с инфляцией, но и с новыми рисками, с которыми сталкиваются недобросовестные сотрудники на местах (что хорошо). Достаточно посмотреть практику наказаний за незаконную передачу информации в последние пару лет.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 "Комитет ГД по госстроительству рекомендовал Думе принять в первом чтении законопроект, направленный на легализацию деятельности "белых" хакеров в России.
Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов, отмечается в документах."
Впервые о поправках в ст. 1280, ч.4 ГК РФ я услышал в декабре 2023. Я настороженно отношусь к таким изменениям, потому что первое впечатление может быть обманчиво из-за любви законодателей к перегибам и крайностям. Будем наблюдать. Если реализуют нормально - это будет просто прекрасно.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Что-то 2024 год богат на поиск новых решений в биометрии и идентифкации человека. Буквально в январе было интересное исследование, которое предварительно показало, что папиллярные узоры человека (отпечатки), возможно, не такие уж и уникальные, как мы считали десятки лет. Теперь еще и вот эта новость:
💬 "«Отпечаток мозга» по аналогии с отпечатком пальца научились делать российские ученые. В Институте проблем управления им. В. А. Трапезникова РАН провели исследование идентификации личности человека по активности головного мозга.
Как собирают электроэнцефалограмму: на голову пациенту надевают шапочку с электродами, каждый из которых нацелен на соответствующую зону мозга, отражающую слуховой, зрительный и другие потенциалы. Полученные данные электроэнцефалограммы мы представили в виде спектрограмм, отражающих особенность мозговой деятельности каждого участника эксперимента, а затем по ним обучали нейросеть идентифицировать наших добровольцев."
Естественно, какие-то выводы делать очень преждевременно, но что-то мне подсказывает, что потенциал очень высокий. Пока что выборка смешная, но на больших величинах, скорее всего, процент идентификации будет в разы точнее.
Пока лично у меня возникают вопросы с интеграцией подобного решения и согласием людей на "обработку своих мозговых волн" (будет истерия), как бы страшно это не звучало 😁 Это же придется приравнивать к ПДн...или вообще массовое использование запретят. Очень интересно будет понаблюдать за развитием!
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
🔵 Use OSINT to Investigate a Phishing Scam 🔵
One of the greatest tools for infosec professionals to investigate and prevent phishing scams is actually just a collection of websites that produce information that is free and open to the public, also known as Open Source Intelligence (OSINT). This article will identify and explain several OSINT methods that are effective and require no previous OSINT experience.
Interestingly, OSINT is not only a major factor in the prevention/response aspect of phishing scams, but it also plays a major role in the creation of phishing scams. We will discuss how malicious actors use OSINT, and how infosec professionals can use this knowledge against them in order to keep their companies safe.
⏱ Время прочтения: 14 мин
➡️ Читать: https://www.secjuice.com/use-osint-to-investigate-a-phishing-scam/
Довольно фундаментальная статья о том, как OSINT используется в расследовании фишинга. Рассмотрены подходы, некоторые инструменты и алгоритмы.
Одна из самых правильных и очень базовых мыслей, упоминаемых в статье (об этом я периодически пишу) - это изучение техник и методов атакующих, чтобы лучше понимать, что противопоставлять.
#asc_статья #asc_osint #asc_hack_and_security
📱 Канал | 🌐 ВК | 🔷 Сайт
One of the greatest tools for infosec professionals to investigate and prevent phishing scams is actually just a collection of websites that produce information that is free and open to the public, also known as Open Source Intelligence (OSINT). This article will identify and explain several OSINT methods that are effective and require no previous OSINT experience.
Interestingly, OSINT is not only a major factor in the prevention/response aspect of phishing scams, but it also plays a major role in the creation of phishing scams. We will discuss how malicious actors use OSINT, and how infosec professionals can use this knowledge against them in order to keep their companies safe.
⏱ Время прочтения: 14 мин
Довольно фундаментальная статья о том, как OSINT используется в расследовании фишинга. Рассмотрены подходы, некоторые инструменты и алгоритмы.
Одна из самых правильных и очень базовых мыслей, упоминаемых в статье (об этом я периодически пишу) - это изучение техник и методов атакующих, чтобы лучше понимать, что противопоставлять.
#asc_статья #asc_osint #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Немного запоздалая новость от меня (как обычно), но, при этом, очень важная. Я по работе сталкиваюсь с кейсами по сталкингу если не каждую неделю, то пару раз в месяц точно. Эти кейсы всегда очень непростые и не типовые. Будет супер круто, если статья появится и получится этот инструмент как-то использовать в работе.
💬 "Законопроектом подразумевается введение в КоАП отдельной статьи «Преследование». Под этим термином предлагается понимать систематическое совершение действий, направленных на причинение жертве нравственных страданий. Это может быть выражено, в частности, в направлении сообщений — по телефону, в соцсетях, письмах и др.
В правовом поле РФ защититься от преследователей пока непросто, отмечается в пояснительной записке. В действующем законодательстве нет прямой уголовной ответственности за травлю человека, а также отсутствуют меры, которые могли бы сдерживать сталкера."
Возможно, я когда-нибудь сделаю какой-то отдельный материал или доклад с чисто обезличенными кейсами из практики. Есть много чего рассказать.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Не понимаю, как не увидел это чудо раньше, так как постоянно отслеживаю подобные штуки.
Суть проекта заключается в том, что разные люди делятся своими предсказаниями о будущем - как будут обстоять дела, по их мнению, в той или иной области через 10, 20 и 30 лет.
В основном тут куча сценариев из "Черного Зеркала" и довольно много интересных мыслей про безопасность и ее возможные проблемы в будущем, про технологии, экологию, моду, архитектуру, социальные проблемы и многое другое. Можно посмотреть интерактивную карту по годам, а можно просто полистать ленту, где самому можно добавить предсказание и ждать оценок. Своего рода, это даже небольшая соцсеть.
Я залип минут на 20, просто не мог оторваться из-за своей любви к футурологии. Очень рекомендую!
#asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 «Unlock the world of digital protection with our ""Cyber Security Full Course 2024"" on YouTube! This all-encompassing course is tailored for beginners, IT professionals, and anyone eager to deepen their understanding of cyber security in today's digital age. You’ll learn everything from the fundamentals of network security, threat analysis, and risk management to advanced topics like ethical hacking, encryption, and forensic analysis. Our experts will guide you through the latest tools and techniques to safeguard infrastructures and secure data against cyber threats and breaches. Each module is packed with real-life scenarios, step-by-step tutorials, and critical thinking exercises to ensure you not only understand the theories but can apply them practically. Enhance your career prospects or secure your own networks by gaining the most up-to-date cyber security skills with us.»
Очередной бесплатный базовый курс для тех, кто хочет освежить знания, просто послушать на фоне простые ИБ концепции ну или вы совсем ничего не понимаете и просто повелись на название - подойдет для всех 😎
#asc_видео #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
Решил дождаться официального подтверждения от компании, которое было выложено 2 дня назад, прежде, чем что-то комментировать. Теперь можно.
💬 "По информации Dropbox, хакеры смогли на некоторое время получить доступ к платформе Dropbox Sign eSignature, токенам аутентификации, данным многофакторной аутентификации (МФА), хешированным паролям и информации о клиентах.
Сервис Dropbox Sign (ранее HelloSign) — это платформа электронной подписи, позволяющая клиентам хранить, отправлять и подписывать документы онлайн. Причём эти электронные подписи имеют юридическую силу."
Если вы пользовались сервисом, то новый пароль однозначно не должен быть похож на предыдущий (старый уже сбросили) и не забудьте сбросить токены двухфакторки, так как они тоже были скомпрометированы.
#asc_обзор_новостей #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 "Часто встречаются в интернете таблицы времени подбора паролей от компании Hive Systems, которые публикуются без дополнительных данных о методе их формирования. Соответственно сразу в комментариях к таким публикациям появляются много "критиков", которые спешат поделиться своим мнением о бесполезности этих таблиц. Так возникла идея перевести и опубликовать основные тезисы авторов исследования, на основании которого возникли таблицы."
⏱ Время прочтения: 7 мин
Качественная статья о том, как обстоят дела с криптостойкостью паролей в 2024, как ее вообще правильно оценивать, много про брутфорс и техничку. Очень рекомендую!
#asc_статья #asc_hack_and_security
Please open Telegram to view this post
VIEW IN TELEGRAM