#рeклама #мнение

Несколько раз ко мне в бота обращались потенциальные рекламодатели с просьбой опубликовать рекламу на канале и дать за это деньги. Передомной возник экзистенциальный вопрос.

С одной стороны, я готов рекламировать только годноту и то, что было бы интересно мне самому, но почему я должен брать за это деньги? Раз этот контент годный, то он должен распространяться без коммерческих условий. Думаю, что это работает только с некоммерческими проектами, но я не уверен.

С другой стороны, почему бы и не брать деньги за рекламу, если мне их предлагают? В любом случае рекламить буду только годноту, но дополнительная финансовая поддержка будет мотивировать меня пилить больше качественного контента. Это кажется логичным? Думаю, да.

Но мне интересно и ваше мнение. Как вы считаете? Я должен брать деньги за рекламу? Для меня это немного чуждо и многие партнерские посты я публиковал просто так.

Можете высказать свое мнение в комментариях или в опросе в комментариях

Также можете писать сюда для связи с одменом канала:
@pathsecure_bot

#анонс #ctf

Участвую в организации ивента по безопасности PermCTF23 в Перми.

Также буду спикером с темой по безопасности внутрянки.

Пермяки, регайтесь на конфу по безопасности. А если хотите опробовать свои силы, то регайтесь и на CTF!

Зовите друзей и знакомых :)

Что такое CTF?

#roadmap #security

На roadmap.sh наконец вышла карта для cybersecurity!

Очень приятно видеть некоторые выражения и концепции. Знаком с ~ 90% материалов. А у вас как?

Наконец можно будет скидывать новичкам что-то систематизированное😄

btw, там на сайте еще с десяток карт развития для разных специальностей. Чекните)

UPD: Ссылка на pdf

#password #security #paranoid #recomendation #crypto

Пронзительный рассказ одного параноика о том, как единомоментно потерять всю свою цифровую жизнь вопреки лучшим практикам резервного копирования, физических носителей данных, разделения секретов по Шамиру и о "Code is Law".

Шедевральный длиннопост. Читал на одном дыхании. В конце прослезился. Всем советую.

После поста я задумался, а как же не срубить сук на котором сам же и сидишь? В комментариях к статье люди делятся своим мнением по поводу проблем двухфакторной аутентификации.

#pentest #вебинар #info #recomendation

Сегодня в 18 по МСК коллеги из Awillix проведут вебинар на тему пентеста. В программе:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.

Интересно послушать опыт коллег и задать вопросы. Мало кто делится такой информацией. Ранее на канале коллеги публиковались информативные посты из серии "А как не надо делать пентест".

С днем полезных материалов 😄

Коллеги из Specter выпустили статью про лучшие практики DevSecOps. Зацените.

Несколько месяцев назад вместе с ребятами мы проводили митап DevTalks, посвященный теме безопасности. Вышло классно. Доклады можно найти в записи.

#self #nontech #softskills #share #publicspeech #ideas

Почему мне так нравятся публичные выступления?

Я вновь задумался об этом идя по улице после успешного проведённого мероприятия.

Недавно, в рамках федерального урока цифры, я рассказывал школьникам об угрозах безопасности для владельцев смартфонов. Уже на протяжении несколько лет Пермский Сетевой IT-университет (СИТУ) приглашает меня в качестве спикера на урок цифры. И я всегда с радостью соглашаюсь. Благодарен за возможность выступить.

Я уже рефлексировал на схожую тему здесь, но сегодня ощутил нечто другое. Мне посчастливилось выступать вторым по счёту, вслед за коллегой из Лаборатории Касперского, Андреем (важно отметить, что он подключался удаленно). Я уже видел материал Андрея заранее и мог более грамотно выстроить повествование, но в процессе выступления Андрея я начал сомневаться в своих слайдах. Мне показалось, что моя информация излишне техническая, но в то же время ощутил, что Андрей потерял внимание аудитории. Будто бы слушатели хотели слышать что-то новое помимо фишинга. И я решил положиться на интуицию (в прочем я бы уже ничего не изменил в своей презе). Для понимания, я говорил о таких вещах как: управление рисками, безопасность vs удобство, Linux/windows, open source software, альтернативные прошивки, дополнительные фичи безопасности. И интуиция меня не подвела.

Мне сразу удалось заполучить внимание аудитории. Возможно, некоторые лайфхаки уже неосознанно мной применяются. Я замечаю, что мой навык публичных выступлений уже прокачался до хорошего уровня, но я осознаю, что есть куда расти. Активная артикуляция, умение менять интонацию, умение подбирать слова - все это отлично помогает в публичных выступлениях. Ну, и, конечно, глаза и лица слушателей дают понять общее настроение. Умение подобрать слова, кстати, можно прокачивать, пытаясь объяснить сложные вещи простым языком. Чем больше нейронных связей вокруг определённой темы ты сформируешь, тем более свободно сможешь жонглировать смыслами. В этом и заключается понимание. Поэтому часто при проверке знаний просят объяснить "своими словами".

Обожаю включать мемы в слайды. Я фанат мемов и в повседневном общении. Ощущается, будто мемы помогают найти общий язык и активировать нейронные связи слушателей. Приятно и весело,, когда понял мем, но главное, чтобы самому было весело. Just for fun.

Ранее упоминал лайфхаки для выступлений, пишите, если хотите, чтобы я раскрыл эту тему подробнее. Штук 10 инсайтов смогу выдать.

Отдельно хочется отметить секцию вопросов После моего выступления было очень много вопросов и мы вышли за рамки времени. И это отличный показатель. Здесь супер важно уметь работать с молчаливой аудиторией. У меня заранее был подготовлен план на случай отсутствия вопросов Скорее, даже, план на раскачку аудитории, так как люди могут стесняться задавать вопросы. Я обожаю секцию ответов на вопросы, потому что здесь ты можешь более предметно передать свою экспертизу или даже почерпнуть что-то от аудитории. Здесь снова вспоминаем про жонглирование смыслами при ответах на вопросы. Вопросы могут быть разными: наивными, остроумными, провокационными. Здесь тоже нужен индивидуальный подход. Не забывайте о политкорректности.

В заключении моей небольшой рефлексии хочу ответить на изначальный вопрос. В ходе публичных выступлений можно получить признание и реализовать себя, собрать знания систематизированный пучок и передать их, зажечь чьи-то сердца и дать заряд мотивации. Всегда считал, что, если и удастся зажечь хотя бы одного человека, то старания уже оправданы, а горящих глаз я увидел множество.

Подъехали записи выступлений с BlackHat22!

Куча разных докладов про внешку, внутрянку, реверс, криптографию.

Из интересного в плейлисте:
- Уязвимости в Matrix;
- Атаки на ADFS
- Атаки на электрокары;
- Атаки на керберос RC4;
- Обход EDR;
- Атаки на смартконтракты;
- Обход WAF:
- Атаки на канальном уровне.

С пылу с жару вышел подкаст (yet another podcast) от Яндекса.

Зачем компании нанимают хакеров? Громкий заголовок, но и содержание соответствует.

Затронуты многие темы:
- терминология;
- BugBounty;
- как искать баги;
- Черные рынки;
- есть даже про Defcon сообщества.
- кулстори.

Короче, смотрим :)

Всем привет. Начал переливать подкасты из ТГ канала на YT. Но просто залить аудио нельзя. Необходим видео ряд. Если вы ранее не слышали про инструмент ffmpeg, то очень рекомендую погуглить основные юзкейсы. Я обычно пользовался ffmpeg для извлечения аудио из видео, некоторые полноценно монтируют видео (привет, Док).

Но мне нужно было налепить поверх аудио картинку. И вот как я это делал:

# Замостить аудио повторяющимся видео рядом
ffmpeg -stream_loop -1 -i pathsecure-logo-gliched.mp4 -i psp1.mp3 -shortest -map 0:v:0 -map 1:a:0 -y loop-video-and-audio.mp4

# Сделать mp4 из gif
fmpeg -i MOSHED-2023-4-23-21-49-18.gif -movflags faststart -pix_fmt yuv420p -vf "scale=trunc(iw/2)*2:trunc(ih/2)*2" video.mp4

# Замостить аудио картинкой
ffmpeg -loop 1 -i pic.jpg -i 'PSP1' -c:v libx264 -tune stillimage -shortest 'output1.mp4'

# Обрезать видео справа или слева (в примере справа)
ffmpeg -ss 00:04 -to 01:00 -i nip.mkv -vf "crop=1400:in_h:0:0" -f mp4 output.mp4

# Добавить звук на фон (спс, Док)
ffmpeg -y -i pathsec.mp4 -stream_loop -1 -i background.mp3 -c:v copy -filter_complex "[1]volume=0.1[a];[0:a][a]amerge=inputs=2[a]" -map 0:v -map "[a]" -ac 2 -shortest out.mp4


Кстати, вот линк на подкаст:
https://www.youtube.com/watch?v=eHYEc8NByBg&list=PLg4MZsw2T12KY-ChHBf0U_RT59JVsgsdN

И вообще подписывайтесь на мой канал. Сюда я заливаю годный контент.
https://www.youtube.com/@pathsecure

#анонс #подкаст #пожертвование

Всем привет!

Подкасты PathSecure теперь доступны на YT в виде плейлиста, а также скоро будут доступны на всех подкаст площадках. Начинаю готовиться к новому сезону😏

Кандидатов для подкаста можете предлагать в @pathsecure_bot или же предлагайтесь сами 😄

***
Последний выпуск про пентест внутрянки полностью на английском. Недавно поступил запрос на перевод. В связи с этим объявляю сбор донатов на работу переводчика и потраченное время :)

Ссылка на сбор средств по переводу подкаста.

***
Также хочу озвучить (но c огромным стеснением 👉🏻👈🏻), что я создал Бусти для подписок и кошелек yoomoney для единоразовых донатов.

Поэтому, если вы когда-либо хотели выразить благодарность за контент и мотивировать меня пилить годноту дальше, то это самый подходящий момент. Всем спасибо за внимание! ❤️

Всем привет. Недавно коллеги по цеху выложили ссылку на папку bug bounty.

А те, кто давно подписан на мой канал, в курсе, что я веду большую подборку инфосек каналов и чатов. Так вот, решил тоже выложить свою:

https://xn--r1a.website/addlist/-tRQVH5MedZlNTQy

Здесь около сотни источников. Включая каналы, чаты, личные блоги ИБ тематики. Эмоции и репосты приветствуются 😎

Также в комментах оставляйте ссылки на годноту.

UPD: Ссылка обновлена 23.02.2025

@pathsecure

Коллеги из "Лаборатории Касперского" опубликовали статью на Хабре о профессии Solution Architect (SA).

Довольно интересная информация. Ранее не увидел упоминаний SA в сети. Так что рекомендую. Особенно интересна секция комментариев.

#спонсорский

#авторизация #архитектура #securityarchitect #рекомендации #магистратура

Хей, всем привет. Близится финал моего обучения в магистратуре. Скоро защищать диплом. Решил начать публиковать некоторые наработки. Информации довольно много.

На прошлой недели мне удалось занять первое место на ВУЗовской конференции с темой "МАТЕМАТИЧЕСКАЯ МОДЕЛЬ УПРАВЛЕНИЯ ДОСТУПОМ НА ОСНОВЕ РИСКОВ". Кусочек оттуда я возьму в диплом. Ссылки в комментах.

Напомню, что в своем дипломе я пытаюсь реализовать методику авторизации в микросервисной архитектуре под соусом ZeroTrust. Довольно хайповая и интересная тема. В сыром виде публикую список интересный на мой взгляд тематических статей:

1. Справочник security-архитектора: обзор подходов к реализации аутентификации и авторизации в микросервисных системах. Интересная статья для вкатывания в архитектуры безопасности. Среди авторов Денис Макрушин. Советую почитать оригинальную статью;
2. Exploring Microservice Security. Диссертация Татьяны Ярыгиной по безопасности микросервисов. Очень классная статья. Основная в моем работе. Рассматриваются лучшие практики безопасности микросервисов. JWT, mTLS, ABAC/RBAC и всё такое. Плюс слайды;
3. Подходы к контролю доступа: RBAC vs. ABAC. Очень хорошая и понятная статья про управление доступом на основе ролей или атрибутов. Помогла мне понять суть атрибутивной модели безопасности;
4. RBAC? ABAC?.. PERM! Новый подход к авторизации в облачных веб-службах и приложениях. Статья-гайд как реализовать PERM с помощью библиотеки авторизации casbin.


Нус, на этом пока хватит. Всем хорошего настроения, а админу физических и ментальных сил для написания диплома 😄

@pathsecure

#web #api #security #owasp

С пылу, с жару (4 дня назад) вышел новый API Security TOP 10 от OWASP. А я как раз начал писать раздел про атаки на механизмы авторизации в микросервисах. Думаю, совсем скоро можно будет увидеть детальный анализ изменений и сопоставление списка 23 и 19 года.

Сразу заметил, что авторизация и аутентификация в API поднимаются в топе. 4 пункта из 10 затрагивают вопросы управления доступом. А это, между прочим, фундаментальная задача информационной безопасности 🤓

Итак, вот список:
API1:2023 - Broken Object Level Authorization
API2:2023 - Broken Authentication
API3:2023 - Broken Object Property Level Authorization
API4:2023 - Unrestricted Resource Consumption
API5:2023 - Broken Function Level Authorization
API6:2023 - Unrestricted Access to Sensitive Business Flows
API7:2023 - Server Side Request Forgery
API8:2023 - Security Misconfiguration
API9:2023 - Improper Inventory Management
API10:2023 - Unsafe Consumption of APIs

Почитать про изменения и ознакомиться с подробным описанием каждого пункта можно на официальном сайте проекта.

@pathsecure

#podcast #security

На днях в подкасте ТИНОИД вышел эпизод с моим участием.

Поговорили о пентестах, ЦТФах, криптографии, редтиминге, личной безопасности. Придерживались научно-популярного стиля для большой аудитории.

Совершенно случайно познакомились друг с другом в одном из Пермских IT-чатов. Всем советую заценить выпуск, а также подписаться на ребят. Далее планируется звать в подкасты разных интересных людей из ИТ-сферы 😎

* https://vk.com/tinoidpodcast
* https://xn--r1a.website/tinoidpodcast
* https://dzen.ru/tinoidpodcast