А что там с Резюмешной

Вы, возможно заметили, что я давно не рассказывал вам ничего про наш канал, где регулярно публикуются проверенные резюме кибербезопасников. Так вот, проект живет, цветет и пахнет. В канале уже почти 200 человек, бОльшая часть из которых – рекрутеры и нанимающие менеджеры. При этом опубликовано уже порядка 100 проверенных резюме. Но есть несколько вещей, которые я хотел бы вам сказать.

1. Это не аттракцион для накрутчиков. За все время существования канала я отсеял с десяток резюме с выдуманным опытом. Крутите опыт – ваше право, просто не нужно тогда присылать свое резюме и претендовать на публикацию в канале. Тут нет ATS-ок, автофильтрации и прочих вещей, которыми можно оправдать такие подходы.

2. Не нужно добавляться в канал просто с целью "хочу посмотреть чужие резюме, чтобы понять, как усилить свое". Это не так работает. Намного проще и эффективнее будет прочитать ту же статью. Добавлять в Резюмешную, чтобы "посмотреть вакансии" тоже не надо, их там нет.

3. Заявки на вступление в канал я обрабатываю сам, вручную. Делаю это волнами и отписываюсь каждому в личку для запроса вашего резюме или подтверждения того, что вы рекрутер. Проверяю резюме и подлинность указанного там опыта также я. На все это уходит достаточное количество времени, так что отнеситесь к этому с понимаем.

Ну и на всякий случай приложу небольшой FAQ из канала 👇

➕ Что это за канал?
Этот канал был создан для того, чтобы сделать банальную win-win историю как для специалистов из мира ИБ, которе ищут работу, так и для рекрутеров, которые хотят закрыть свои вакансии и сделать это качественно.

➕ Зачем мне публиковать здесь своё резюме?
Для того, чтобы сделать дополнительную воронку входящих предложений о работе.

➕ Зачем мне, как рекрутеру, получать доступ к этому каналу?
Для того, чтобы быстрее и проще закрывать вакансии. Здесь публикуются и будут публиковаться резюме только проверенных специалистов из мира ИБ.

➕ Как опубликать своё резюме в канале?
Нужно просто связаться с @romanpnn, дать согласие на публикацию и прислать своё резюме/CV. Все резюме публикуются только с разрешения их владельца.

➕ Кто может опубликовать резюме в канале?
Свое резюме/CV могут опубликовать в канале только те специалисты, чьи навыки и профессиональный опыт были подтверждены. Публиковать чужие резюме запрещено.

➕ Как поделиться доступом к каналу со своими коллегами?
Отправить ему/ей ссылку на канал и дождаться подтверждения от администратора.

➕ Кто может получить доступ к этому каналу?
Есть всего 2 категории людей – рекрутеры/HR и те кибербезопасники, чьи резюме тут опубликованы. Причастность к этим категориям проверяется в ручном режиме администратором канала.

➕ Можно ли публиковать анонимные резюме?
Да, можно. Но нужно учитывать, что конверсия у таких резюме меньше, как и доверие к кандидату с таким резюме.

➕ Сколько стоит публикация своего резюме и доступ к каналу?
Всё это бесплатно. Нет комиссий, монетизации или вознаграждений за найденных кандидатов.

➕ Как найти нужное резюме среди всех?
Можно воспользоваться поиском по хештегам. Например, #pentest или #soc

➕ Чем эта площадка отличается от HeadHunter или Хабр Карьеры?
Всё очень просто – здесь публикуются только достоверные резюме специалистов, чьи навыки и профессиональный опыт были проверены и подтверждены.

➕ Здесь будут публиковаться вакансии?
Нет, для вакансий есть отдельный канал – ссылка

Ну вот и всё, всем мир.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Ха-ха, Яндекс PT, перестань

Читать полностью…

#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Пара десятков наших фирменных футболок кстати уже настигла своих новоиспеченных владельцев 🥳

А парочка из них уже бороздит просторы парка Universal!

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

💫 РОЗЫГРЫШ С FILUM, X-COM И «ПАКЕТОМ БЕЗОПАСНОСТИ»: 5 ПРИЗОВ!

Совместный розыгрыш — разыгрываем 5 крутых подарков:

🥇 1 место — Кресло игровое Filum FL-CH-G-050 (черно-оранжевое)
🥈 2 место — Кронштейн для монитора Filum FL-DMG003DW
🥉 3 место — Клавиатура беспроводная Filum FL-WKB20 (офисная)
🎁 4 место — Мышь игровая проводная Filum FL-GM10-BK
🎁 5 место — Коврик игровой Filum FL-MPL-M-GAME с подсветкой

✅ Подпишись на каналы:
@xcom_integration
@filum_official
@package_security

✅ Нажми кнопку «Участвовать» под этим постом

🎲 Итоги: 20 мая — 5 победителей выберет бот-рандомайзер!

#Розыгрыш #Filum #XCom #ПакетБезопасности

Читать полностью…

Почему умных людей чаще разводят на деньги

Мы привыкли думать (успокаивать себя), что основная цель мошенников – это наивные пенсионеры или совсем уж далекие от реальности люди, которые не читают новости в интернетах. Как бы не так. По данным Банка России, в 2024 году чаще всего жертвами мошенников становились люди в возрасте от 25 до 44 лет со средним уровнем дохода и средним образованием.

Почему так происходит? Вроде бы все эти схемы и сценарии уже давно на слуху, как вообще можно на такое попасться?
Мне вот кажется, что дело в цифровой эволюции (пусть оно называется так) и в разрастающихся инфопотоках, которые нам надо контролировать. Мозг перерабатывает тонны информации каждый день и экономит ресурсы. Он любит действовать на автопилоте, по привычке. Этим и пользуются мошенники – они ищут не дураков, а тех, кто в моменте загружен работой и важными делами (уже мусолили эту тему в этом выпуске подкаста кстати).

Стресс блокирует рациональное мышление. Когда человека заваливают информацией, пугают потерей денег или проблемами с законом, мозг переходит в режим выживания. Часть мозга, отвечающая за логику и анализ, временно отключается. Ресурсов на рассуждение не хватает – включается автопилот, а он пытается решить максимум проблем, затратив на это минимум времени и энергии.

Сенсорная перегрузка не дает нам мыслить рационально. Мошенники говорят быстро, используют сложные термины, перебивают, переключаются с одного на другое. Мозг, пытаясь обработать весь этот поток, перестает критически оценивать информацию. Срабатывает тот же механизм, из-за которого мы иногда по ошибке отправляем сообщение не тому человеку или путаем имена в разговоре.

Принцип последовательности заставляет плыть дальше. Жертву втягивают в цепочку мелких действий: взять трубку, записать что-то, назвать код. На середине пути остановиться и признать, что все предыдущее было ошибкой, мозгу больно. Он автоматически избегает этого. Поэтому человек плывет дальше, даже когда задания становятся абсурдными. Есть реальные истории, когда вроде бы адекватные люди по инструкции мошенников устраивали поджоги в общественных местах - якобы для возврата украденных средств.

Если в зоне риска любой, то как не попасться на развод мошенников?
Еще раз пройдемся по основным принципам:
⚡️ Всегда берем паузу. Если звонок требует срочного решения и давит – положите трубку. Никогда не принимайте решений в состоянии стресса или спешки. Перезвоните сами по официальному номеру из приложения банка или с сайта госоргана.
⚡️ Не называйте коды из смс. Никогда и никому. Настоящий сотрудник банка или госуслуг никогда не попросит у вас код подтверждения. (Если звонят от имени Госуслуг и просят назвать код для восстановления доступа — это 100% мошенники).
⚡️ Если видите, что близкий человек говорит с незнакомцем о деньгах, не пытайтесь переубедить логикой. В состоянии стресса аргументы не работают. Просто заберите телефон. Через несколько минут человек сам придет в себя.
⚡️ Доверяйте только ссылкам с официальных источников. Не ленитесь перепроверить адрес сайта – так вы точно сохраните свои деньги и данные.

Ну все, пересылайте этот пост всем, кому только можно и нельзя, берегите себя и не принимайте решения в состоянии стресса ✌️

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

С тебя кстати лайк и подписка

https://youtu.be/SytUW6Kryn8?si=YZWql3P4dOARtAS8

Читать полностью…

Разыскивается человек

В какой-то момент дети вырастают и настает время отпустить их во взрослую жизнь. Собственно, так и произошло с Пакетом Мероприятий. Этот канал стал уже самодостаточной единицей нашего семейства.

И именно по этой причине я пишу вам, чтобы найти среди вас того самого человека, который !захочет! и сможет заняться развитием этого канала. По сути, станет его РО. Как вы понимаете, я бы с радостью взял это на себя, но мои силы, как и часы в сутках – не бесконечны.

Канал уже встал на ноги, люди сами на него подписываются, много кто пользуется и расшаривает тот самый календарь, компании приходят и просят разместить там анонсы своих мероприятий.

И да, нужен человек, который будет именно развивать канал: вводить новые форматы, взаимодействовать с партнерами (организаторами мероприятий), следить за статистикой, растить канал не только количественно, но и качественно, коллабиться с другими каналами и т.д.

Мотивационную часть, как и ваше участие в этом проекте можем обсудить в лс – @romanpnn ⌨️

В общем, Make Пакет Мероприятий Great Again

Читать полностью…

Альфа-Банк уже второй год подряд проводит Альфа ЦТФ — соревнование по спортивному хакингу ⚡️

Расшифровка у них, кстати, огненная — «Цепляй трофейный флаг». Ну и мотивация, мягко говоря, неплохая: призовой фонд 3,1 миллиона рублей, до 450 000 на команду — до четырех человек, но побороться за приз можно и в соло-режиме. Победители-школьнники получат не просто деньги, а грант на любую поездку в образовательных целях: от конференций до других конкурсов.

Сделали 4 трека, и это прям для всех:
— IT-трек — для разработчиков, тестировщиков и аналитиков
— CTF-трек — для матёрых ИБшников и опытных игроков
— Студенческий трек — для учащихся от 18 до 25 лет
— Школьный трек — для учеников от 14 до 18 лет

Участвовать можно онлайн из любой точки России. А вот если хочется поиграть вживую и познакомиться с командой кибербезопасности Альфа-Банка, то в Москве, Питере, Екатеринбурге и Сочи будут открыты ИТ-хабы для очных игроков.

Старт 25 апреля в 9:00 мск. Примеры заданий прошлого года и полезные видео уже есть на сайте, а искать команду и общаться с другими участниками можно в Телеграм-чате.

Если давно хотели попробовать себя в CTF, но всё никак — вот он, ваш шанс. А если вы уже опытный игрок, то приз и возможность похакать инфраструктуру банка должны помочь с мотивацией 😁

Успейте зарегистрироваться

Реклама. АО «АЛЬФА-БАНК». ИНН 7728168971

Читать полностью…

Почему 80% атак на компании остаются незамеченными в первые часы?

Потому что наличие средств защиты ≠ наличие специалистов, которые умеют видеть и интерпретировать происходящее в инфраструктуре.

Антивирусы, EDR, фаерволы — это инструменты.
Но без SOC-аналитика они не обнаруживают атаки, а лишь фиксируют события.

Именно поэтому сегодня рынок перегрет спросом на blue team специалистов.

По данным рынка:
⏺️ SOC-аналитики уровня Junior зарабатывают от 80 000 – 120 000 ₽
⏺️ Middle — 150 000 – 250 000 ₽
⏺️ Senior — от 300 000 ₽ и выше

И это одна из немногих ролей в ИБ, куда можно зайти без глубокой технической базы,
если есть понимание процессов и практика работы с инцидентами.

Мы запускаем новый курс: «Профессия SOC-аналитик» — погружение с нуля!

❗️ работа с логами и событиями
❗️ анализ и корреляция инцидентов
❗️ разбор атак и сценариев поведения злоумышленников
❗️ формирование мышления blue team

Успейте записаться до 27 апреля!

👉👉👉 Узнать подробнее

Читать полностью…

Как всех заблокируют, заменят нейросетью и отправят класть плитку. Да, мы записали новый выпуск нашего подкаста!!!!!!

А обсудили мы в этот раз блокировки Telegram, белые списки, чебурнет, новые ИИ-сервисы от Anthropic, будущее кибербезопасности в России, как стать незаменимым специалистом, почему лучше пойти работать сварщиком и лечить зубы не у ИИ-робота, а у тёти Зины.

Ну всё, погнали смотреть, прожимать лайки, подписываться, радоваться и писать бесконечные комментарии 🔪🔪🔪🔪

https://youtu.be/SytUW6Kryn8
https://youtu.be/SytUW6Kryn8
https://youtu.be/SytUW6Kryn8

Само собой, мы есть на всех нужных площадках
📹 Youtube
📺 VK Video
📺 Rutube

Читать полностью…

Всего один день, чтобы подготовить команду к реальной кибератаке

Positive Technologies запускает однодневный формат киберучений Standoff для бизнеса. Теперь команды могут пройти интенсивную практическую подготовку к отражению инцидентов в условиях, приближенных к реальным.

Выбирайте свой уровень:
🔹 Базовый — для старта;
🔹 Продвинутый — для опытных команд.

Зачем это нужно? Потому что стандартные пентесты не проверяют слаженность работы сотрудников в момент давления. 58% компаний уже оценили эффективность киберучений, и еще 28% находятся на стадии внедрения.

Все детали и аналитика рынка — в свежем отчете Positive Technologies.

Читать полностью…

Вы только посмотрите, какую красоту мне подарили ребята из Казани 😍

Читать полностью…

Обновить нельзя отложить

Все мы иногда жмем "Напомнить позже", когда телефон или ноутбук просят перезагрузиться (или перезапустить какое-то конкретное приложение) для установки обновлений. обычно прерываться не хочется – работа кипит или сериал интересный, к тому же все ведь и так работает. Но давайте разберемся, зачем все-таки нужны новые версии (апдейты) и почему их не стоит откладывать в долгий ящик.

Что такое обновление? Вспомните любое приложение на вашем телефоне – в нем сотни тысяч строк кода, переиспользуемых библиотек и внешних зависимостей. Время от времени исследователи безопасности или хакеры находят в коде уязвимость или бэкдор (от английского “задняя дверь”, ю ноу), то есть способ получить доступ к устройству. Тогда разработчики экстренно выпускают заплатку (патч). Обновление – это и есть та самая заплатка, которая закрывает брешь. К слову, о важности этих обновлений безопасности мы с Женей еще в том году вам говорили.

Если вы его игнорируете, уязвимость в вашей версии программы никуда не девается. Мошенники, имея инструкцию по взлому (такая информация быстро становится публичной), могут просто зайти через уязвимость, как в незапертую дверь.

Самое простое решение здесь – сделать так, чтобы вы вообще забыли про слово "обновление" и оно ставилось без вашего участия. На современных компьютерах и смартфонах (и на Android, и на iOS) в настройках есть пункт “Автоматическое обновление” – просто включите его один раз и спите спокойно. То же самое касается браузеров и приложений: почти везде есть галочка "Обновляться автоматически в фоне". Есть, правда, у этого пути свои нюансы, но сегодня не об этом.

Бывает ситуация сложнее: вы пользуетесь программой, которую разработчик больше не поддерживает. Если обновления не выходят уже пару лет, то это небезопасно, и самое разумное – найти современную (и поддерживаемую) замену. Для большинства задач есть бесплатные аналоги, которые регулярно обновляются. Современный софт чаще всего еще и быстрее работает, и приятнее выглядит.

Если замена невозможна, то хотя бы используйте такую программу изолированно. Например, не храните в ней пароли, данные карт, персональные данные и тд. А еще лучше будет обрубить доступ этому софту к интернетам при помощи специальных приложений, которые мы разбирали тут – ссылка.

В общем, относитесь к установке новых версий как к мытью рук или чистке зубов. Это простая привычка, которая занимает секунды, но отсекает огромный пласт проблем. Ну или один раз настройте автоматическое обновление и забудьте о надоедливых уведомлениях (но я бы так не делал).

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Хорошего тебе дня, дорогой %nameAndPatron!

Читать полностью…

Тут кстати выяснилось, что великая корпорация добра Гугл вместе со своим браузером Chrome, без ведома пользователей, предустанавливает на наши устройства еще и свою нейросетевую модель Gemini Nano весом 4 ГБ.

Самое ироничное в этом то, что даже после ее удаления, спустя какое-то время, она скачивается снова, также в принудительном порядке и без уведомлений.

Отключить эту штуку можно так:

1. Открыть chrome://flags
2. Отключить настройку Enables optimization guide on device
3. Отключить настройку Prompt API for Gemini Nano
4. Удалить папку OptGuideOnDeviceModel, если она уже установилась. Она располагается по адресу «Локальный диск: (C) → имя пользователя → AppData → Local → Chrome». Папка AppData изначально скрыта, её отображение нужно включить в настройках «Проводника» (пункт «Отображать скрытые папки и файлы»). На macOS папка располагается по адресу «~/Library/Application Support/Google/Chrome».

Выглядит это все не только нечестно по отношению к своим пользователям, но даже незаконно в ряде стран. Так что компанию явно ждут судебные тяжбы в ближайшее время.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Никаких переговоров

Вы кстати слышали о том, что ShinyHunters (это такая хакерская группировка) недавно взломали Rockstar Games и GTA VI больше никогда не выйдет вынесли оттуда несколько терабайт важных данных?

Так вот, Рокстары отказались платить хакерам свои биткоины, и те слили в сеть все данные, которыми они смогли завладеть. В итоге весь мир узнал, сколько компания зарабатывает на прошлых версиях GTA. Так, например, GTA Online (игре 12 лет) до сих пор приносит порядка 1 300 000 долларов в сутки, ну или почти $500 млн в год.

Какой итог всей этой истории? Инвесторы настолько сильно перевозбудились, что пересмотрели оценку компании, и ее акции подорожали.

Занавес.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

ВОСКРЕСНЫЙ ДАЙДЖЕСТ

Хотите спросить, что интересного за неделю произошло, но стесняетесь? Не переживайте, сейчас я вам всё расскажу.

📹 Вышел и полетел в космос ролик с подборкой книг для кибербезопасников – ссылка

⚡ Обсудили, как не вестись на СКАМ, даже если ты умный – ссылка

⚡ Продолжаем бороться с дипфейками и прочими ИИ – ссылка

📋 Тут продолжают публиковаться стажировки

🗓 А тут – крутые кибербезопасные мероприятия

🧠 А вот тут – полезные материалы и задания для безопасников

И не забывайте про розыгрыш крутого кресла и прочей периферии для настоящих тыжпрограммистов.

Фотка сегодня будет одна, но зато какая.

Читать полностью…

Иллюзия обмана: как нейросети помогают красть наши деньги

Помните старые добрые времена, когда мошенники просто взламывали страницы и просили «занять 500 рублей до зарплаты»? Да, такие еще остались, но на подобные уловки уже почти никто не ведется (правда ведь?). Собственно, теперь взлом вашего аккаунта ведет к более изощренным схематозам (сейчас мы их обсудим). И проблема в том, что чем больше подробностей плохие ребята смогут найти в вашем публичном профиле, тем проще им будет создать вашего цифрового двойника.

И да, сюда умельцы тоже прикрутили свои нейросети, чтобы облегчить себе жизнь и ускорить отработку схем. Теперь ИИ может легко скопировать нас: голос – из сторис и голосовух, мимику и жесты – из селфи и отмеченных фото/видео, интонации и манеру говорить – из кружочков, окружение и родственников – по отметкам на фото и перекрестным аккаунтам. И вот уже не мошенник, а «вы» звоните своей маме с просьбой срочно перевести денег.

Ну и старые сценарии социальной инженерии никуда не делись, а скорее вышли на новый уровень. Так что разбираемся, как это работает:

1. Звонок/аудиосообщение от близкого человека
Мошенники взламывают аккаунт или скачивают ваши голосовые из открытых источников, нейросеть синтезирует голос – и вот вам звонит родственник или друг, который «попал в беду, и ему нужно перевести денег».

2. Видеозвонок от гендиректора
Если в соцсетях есть фото и видео вашего начальника, не удивляйтесь, когда однажды вам по видеосвязи позвонит его сгенерированный в реальном времени дипфейк и попросит срочно оплатить счет для контрагента или перевести партнеру крупную сумму. Такие случаи уже происходили.

3. Идеальный партнер из приложения знакомств
Старый добрый кэтфишинг (это так называется, да) никто не отменял. Девушка, которая присылает вам подозрительную ссылку на покупку билетов в театр. Или даже «успешный мужчина», который после месяца переписки предлагает «выгодно вложиться в крипту», а затем исчезает с вашими деньгами. Вот только теперь общение подкреплено солидным количеством фото, видео и голосовых, так что отличить подделку все сложнее.

4. Фейковые выплаты от государства
Вы публикуете фото документов или просто мошенники знают ваши ФИО. И вот вам приходит уведомление от имени Госуслуг или Социального фонда о назначении выплат (например, к празднику или «помощь на ребенка»). Ссылка ведет на сайт-двойник, где нужно ввести данные карты или код из СМС для получения денег.

Как обезопасить себя от ИИ-подделок и утечки личных данных:
• Закройте архив сторис и видео. Именно оттуда нейросети собирают вашу мимику и голос.
• Удалите фото документов и билетов. Даже если это было 5 лет назад. QR-коды и штрихкоды содержат данные.
• Отключите привязку номера телефона к профилю. Если номер утек в базы, мошенники легко найдут вас.
• Запретите поиск по аккаунту через номер телефона в настройках приватности.
• Не отмечайте родственников на фото публично. Это дает мошенникам понимание вашего круга общения для схем с «родственником в беде».
• Удаляйте старые приложения, привязанные к вашим аккаунтам и картам.
• Отключите геолокацию в фото по умолчанию в настройках камеры.

Ну вот и всё, всем мир.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Прочтите эти книги, чтобы стать настоящим кибербезопасником

Вот я и закончил монтаж этой платиновой махины. В этом видео я собрал ТОП книг для того, чтобы ты смог стать настоящим кибербезопасником.

https://youtu.be/wuc2VteWNG4

Смотрим тут
📹 Youtube
📺 VK Video
📺 Rutube

👨‍🏫 Менторство ИБ | Отзывы | 📹 package_security/videos">YT

Читать полностью…

#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

А вот и воскресный дайджест всего того интересного, что произошло на этой неделе.

📹 Вышел новый эпизод нашего безымянного подкаста про то, как нас всех блокируют и заменяют ИИ.

⚡️ Рассказал вам о том, как нужно хранить создавать правильные пароли – ссылка

⚡️ Сходил на этой неделе на бизнес-ужин к Red Security и Xello, а еще заглянул на конференцию от BiZone.

⚡️ Почитал лекцию про рынок кибербезопасности для ребят из Школы 21 от Сбера.

⚡️ Разослал всем мерч из 1-ой волны.

⚡️ А еще стартовал сбор заявок на ежегодную премию Pentest award 2026 со все таким же великолепным дизайном.

Ну а еще мы вернулись из Казани, поэтому ловите еще и фотокарточки.

Читать полностью…

**************

Большинство людей, пользующиеся компьютерами и смартфонами, уже поняли, что пароли вроде 12345, paket_bezopasnosty, admin и parol – плохое решение. Часто сами приложения, когда вы придумываете новый пароль, просто не принимают такие варианты. И добавление к этим комбинациям цифр и букв разного регистра не спасает, потому что сочетания вроде password123, paSSword123 и даже p@SSw0rd123 взламываются за секунды (не посимвольным перебором).

Так что давайте уже сделаем это и пойдем дальше придумывать пароли на основе кличек наших животных и дат рождения. Так вот, давайте уже разберемся, как создать правильные и безопасные пароли.

Главное правило генерации пароля – это не столько его сложность для вас, сколько сложность для компуктеров. Хороший пароль должен быть длинным (от 12 символов), содержать случайные буквы разного регистра, цифры и символы, но при этом не иметь логической структуры. Проще говоря, qwerty12 – это плохо, а “!Зебра*Глобус92#Чашка” – уже гораздо лучше, даже если записать его транслитом.

Проблема в том, что мы не можем запоминать десятки случайных 15-значных комбинаций для каждого сайта. И тут некоторые часто попадают в ловушку: используют один и тот же пароль везде. Но это небезопасно, если произойдет утечка в одном сервисе, злоумышленники смогут зайти во все ваши аккаунты. Этим они, к слову, обычно и занимаются.

Также существует миф, что пароли нужно менять каждые три месяца. Сейчас эксперты советуют делать это только в том случае, если есть подозрение на утечку, иначе пользователи начинают использовать более простые варианты, чтобы не забыть новые комбинации.

На помощь приходят менеджеры паролей. Это специальные программы (например, KeePass, Bitwarden или встроенные в браузеры), которые хранят все ваши пароли в одной зашифрованной базе, защищенной одним-единственным паролем. Менеджер сам генерирует для вас абсолютно случайные и уникальные пароли для каждого сервиса, и вам не нужно их помнить. Ваша задача – выучить только один мастер-пароль, и включить двухфакторную аутентификацию (подтверждение по смс или коду из приложения) везде, где это возможно.

Ультимативное ли это решение? Конечно же нет, так как этот менеджер могут банально взломать (со всеми вашими паролями). Именно поэтому многие и боятся пользоваться менеджерами паролей – из-за страха взлома самого хранилища. Да, риск есть, но он гораздо меньше, чем риск использования простых паролей.

Итак, идеальная схема безопасности сегодня – это длинная фраза или набор случайных слов в качестве мастер-пароля и дфухфакторная аутентификация для менеджера, а сам менеджер пусть генерирует и хранит всё остальное (желательно – локально). Да, это требует привычки, но это избавит вас от необходимости вспоминать пароли от десятков сервисов и, что важнее, от риска потерять доступ к почте или деньгам. Не усложняйте себе жизнь запоминанием бессмысленных наборов символов – просто используйте инструменты, которые уже существуют. И не забывайте про Passkeys.

Тема криптостойкости и безопасности паролей, кстати, одна из самых холиварных. Так что объявляю открытие портала сами знаете куда в комментариях под постом ⌨️

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

A$AP Rocky, свяжись со мной. Есть пара идей.

Читать полностью…

Пост про КИИ

Мне тут птичка нашептала, что РТК ЦОД (это дочка Ростелекома, как вы поняли из названия), которые сделали первое облако для КИИ, полностью обновили свою импортозамещенную платформу.

Обновили сразу и Basis Dynamix, и Basis Virtual Security. Пользователям это даст гибкое управление размером хранилища, миграцию виртуальных машин между узлами для балансировки нагрузки, новые функции межсетевого экрана и работу с его политиками.

В общем, пользоваться КИИшной облачной инфраструктурой теперь станет намного удобнее.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Не знаю, как комментировать, но преклонить колено перед пиарщиком Фантастического Бюро Развлечений определенно хочется.

#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

ДАЙДЖЕСТ

Сегодня коротко и по делу.

Покупаем мерч – ссылка

Любуемся тортом – ссылка

Ставим обновления безопасности – ссылка

Распознаем дипфейки – ссылка

Отмечаем юбилеи тут и здесь

Всем мир.

Читать полностью…

Как распознать дипфейк (поддельное видео или аудио)

Что вы сделаете, если получите в мессенджере голосовое от мамы или друга с просьбой занять денег? Ну что-то в стиле, “банк заблокировал карту, а нужно прямо сейчас, потом отдам”. К сожалению, очень часто люди все-таки переводят деньги и лишаются их (но видео конечно да).

Такие ситуации случаются все чаще. В исследовании компании по кибербезопасности SkyShark, в 2025 году в результате мошенничества, связанного с дипфейками, люди потеряли около 1,1 миллиарда долларов (930 миллионов евро) по всему миру.

Если коротко, то дипфейки, это поддельные видео и аудио, созданные нейросетями. И мы с вами дошли до того уровня, когда отличить фейк от реальности на глаз уже очень сложно, но всё же возможно, если знать, куда смотреть.

Подделку могут выдать мелочи, с которыми нейросети пока справляются плохо. Обращайте внимание на границы лица и волос, очки (бывают блики, которые переливаются неправильно) и зубы – их нейросети иногда рисуют без разделения. Если голос чуть быстрее или медленнее губ (рассинхрон), это тоже звоночек.

Всматривайтесь в лицо: при разговоре эмоции могут выглядеть неестественно, улыбка не затрагивает глаза, человек моргает реже обычного или вообще не моргает. Иногда появляются странные артефакты: пиксели вокруг лица, расплывающиеся контуры или пятна на коже.

С аудио всё сложнее, но и тут есть зацепки. Если голос звучит слишком ровно, без привычных пауз, эканий и интонаций – это подозрительно. Мошенники часто собирают образец голоса из соцсетей или записанных созвонов и прогоняют через нейросеть. На выходе получается "стерильная" речь. Или наоборот: шумы, которые ИИ добавил, чтобы замаскировать синтез, звучат слишком одинаково, как стиральная машинка на фоне.

Но в первую очередь нужно помнить одно – если вас просят о деньгах по видеосвязи, голосом или сообщением, всегда перезванивайте тому самому человеку по старому номеру, который вы знаете. Не в том же мессенджере, где фейк, а именно обычным звонком или через другого человека, кто может подойти к нему лично. Кроме этого, можно договориться с семьёй о секретном слове или фразе, которую вы говорите, если реально нужна помощь (лайфхак? лайфхак!).

И да, современные технологии позволяют подделать лицо и голос не только в записи, но и в реальном времени. Поэтому не стесняйтесь перезванивать на другой номер и задавать личные вопросы – лучше потратить пять минут на проверку, чем потерять свои кровные навсегда.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 package_security/videos">YT

Читать полностью…

Около года назад (а может даже и больше) ко мне пришел один человек с просьбой разместить вакансию в этом канале на пентестера. Ссылку не нашел, но старожилы помнят.

Вакансия, в целом, выглядела, как обычная, но была с каким-то странным подозрительным шлейфом– (масштабируемый доход, выплаты в USDT, без ограничений на локацию и без графика работы, сильный акцент на NDA. В общем, спустя пару часов после публикации, оказалось, что вакансия блечерская. А выяснилось это опытным путем через людей, которые откликнулись на эту вакансию и начали проходить этапы найма.

Почему я об этом решил вспомнить? Да потому что на днях у меня решил спросить совет один человек по поводу того, стоит ли соглашаться на "странные условия" от работодателя.

Здравствуйте! У вас совсем мало опыта. Отметим, что на данный момент ваш практический опыт в области пентеста реальных сетей (включая внешние и внутренние инфраструктурные сегменты) оценивается как недостаточный для выполнения самостоятельных задач на коммерческих проектах в реальном корпоративном сегменте. Тем не менее, если вы обладаете высокой мотивацией к обучению и готовы активно работать в составе нашей команды по информационной безопасности - с фокусом на такие направления, как безопасная разработка (кодинг), пентест Active Directory (AD)/Azure Active Directory(AAD), аудит исходного кода, то мы готовы подготовить NDA контракт, в который включен трудовой договор.

Важно отметить, что период вашего обучения и вхождения в наши процессы не оплачивается отдельно. Вместе с тем, в проекте NDA и трудового договора, четко прописаны условия материальной мотивации: с момента вашего первого подтвержденного успеха в реальных пентест-проектах (например, успешное выявление критической уязвимости или выполнение этапа тестирования) вам будет назначена начальная ставка в размере 200 USD, которая в дальнейшем будет пропорционально увеличиваться по мере роста вашей квалификации и опыта, вклада в результаты пентеста, и командной работы.

Самое интересное то, что этот автоответ прилетел через вакансию, официально опубликованную на HeadHunter-е. Более того, человек просто откликнулся и даже скрининг пройти не успел. Опубликована вакансия от имени некого ИП Епишкин Егор Александрович.

В описании вакансии платины тоже достаточно.

Мы — динамично развивающаяся команда экспертов в области практической безопасности (offensive security). Мы не просто «тыкаем сканерами», а ищем нестандартные пути проникновения, автоматизируем рутину и пишем собственные инструменты.

Наша главная ценность - экспертиза и результат. Мы ценим свободу подхода и поддерживаем инициативу: если ты видишь, как сделать задачу лучше или быстрее - действуй.

Там же.

- Полная удаленка.
- Топ-пентестеры получают **от 1 000 до 10 000 $ за каждый успешный кейс** (помимо основной зарплаты). Количество таких кейсов в месяц не ограничено - всё зависит только от вашей скорости и навыков.
- Полная свобода в выборе стека инструментов для решения задачи.
- Присылайте резюме или краткое письмо о себе. Если у вас нет опыта, но есть большое желание - напишите, о чем вы читали в последнее время или какие лабораторные работы проходили. Мы обязательно рассмотрим всех!

Думаю, что вы сами уже все поняли. Я бы ставил подобные места работы на одну полку со СКАМерами из коллцентров, которые разводят бабушек на пенсии. Поверьте, это не та кибербезопасность и не тот опыт работы, который сделает вашу жизнь лучше и счастливее.

Так что будьте осторожны.

📋 Пакет Вакансий | 📄 Резюмешная

Читать полностью…