BeholderIsHere Media HUB

Наш бесплатный курс "Тестирование на проникновение" подошел к концу. Вот полный список статей, которые помогут вам начать свой путь в #Pentest.

• Моделирование атаки - тестрирование на проникновение.
• Основные этапы тестирования.
• Сбор информации: 1 Часть.
• Сбор информации: 2 Часть.
• Сбор информации: 3 Часть.
• Обнаружение уязвимостей.
• Подбор паролей.

• Обратные оболочки и полезные нагрузки.
• Эксплуатация уязвимостей: 1 Часть.
• Эксплуатация уязвимостей: 2 Часть.
• Уклонение от средств защиты: 1 Часть.
• Уклонение от средств защиты: 2 Часть.
• Уклонение от средств защиты: 3 Часть.
• С2 (Command and Control) сервер.

• Основы Active Directory: 1 Часть.
• Основы Active Directory: 2 Часть.
• Kerberos, NTLM, DNS, LDAP.
• Пользовательские и машинные учетные записи.
• Права и привилегии в Active Directory.
• Небезопасные права доступа ACL.
• Active Directory Domain Enumeration

• Bloodhound
• AS-REP Roasting
• Kerberoasting
• Неограниченное делегирование.
• Ограниченное делегирование.
• Ограниченное делегирование на основе ресурсов.
• DCShadow.

• Pass-the-hash
• Password Spray
• Windows Server Update Services (WSUS)
• System Center Configuration Manager (SCCM)
• Взлом MSSQL
• Responder
• Netexec

• Крадем учетные данные Windows
• Zerologon
• PetitPotam
• Skeleton Key
• RouterSploit
• Получение DA через принтер
• DCSync

• SIDHistory
• AdminSDHolder
• Silver Ticket
• Golden Ticket
• Diamond Ticket
• Sapphire Ticket

Не забывайте делиться нашим бесплатным курсом "Тестирование на проникновение"!

#статья@haccking #обучениеPentest@haccking #AD

LH | Новости | Курсы | OSINT

Помните "ГЭГ. Отвязное приключение" ? Один из первых российских квестов породивший кучу мемов и разошедшийся на цитаты. Теперь в браузере!

Каждый раз когда мы с коллегами преподаем OSINT, самый популярный вопрос у курсантов- "А что почитать?", ну конечно же после "А когда список ботов дадите?!" Список ботов обычно не даем, ибо это путь к зашоренности мышления, а вот книжки хорошие советуем. И это даже не знания для новичков или продвинутых исследователей, а те знания которые должны быть всегда в уме. Ведь каждое поисковое или аналитическое исследование подобно "Машине Голдберга", когда казалось бы совсем не связанные данные могут вести к совершенно неожиданным выводам.

Вот список из 3х отличных книг которые помогут вам в любой исследовательско-поисково-разведывательной деятельности:

1. Александр Ивин. «Искусство мыслить правильно»
2. Владимир Петров. Обучение ТРИЗ. Теория решения изобретательских задач.
3. Франческо Вианелло. ФРАВИЯ Искусство поиска.

Киберпанк 2025

Кибербезопасность в камерах видеонаблюдения

Залез на поляну @Beholderishere - прости, дружище, тут я ни на что не претендую) Но мне нужно было продолжить цикл статей про выбор камер видеонаблюдения, а как же обойти этот важнейший вопрос? Висела эта статья в черновиках уже почти год, всё не хватало времени дописать. И вот этот час настал - статья предназначена для начинающих, краткий обзор ключевых мер защиты, не более того. Всё что более - прошу к специалистам по ИБ.

https://eozerov.ru/cybersecurity-in-cctv-cameras/

Как вы проводите первые дни года? Бухаете? Доедаете салаты? Не вылазите из постели?

Каждый год первые 3 дня я - обнуляюсь. Отключаю звук у телефона (если нет текущих рабочих дел) и начинаю перебирать старые вещи и файлы. Пытаясь привнести порядок в свой образ жизни на новый отсчёт времени. Выбросить старое, упорядочить текущее и разгрести место под новое...

А что делаете вы?

Читаю исповеди знакомых и друзей подводящих итоги года- какие же все крутые, замечательные и сознательные. Что тут можно пожелать- только не то что не растерять а еще и преумножить в 25 всю эту крутость, замечательность и сознательность! :)

OSINT mindset podcast №12 — в удобном формате для Telegram!

Голоса:
- Pandora (https://pandoral.me)
- Иван Голунов (https://t.me/FuneralTrust)

00:00:22 Интро
00:05:58 Как Иван начал работать в журналистике?
00:13:00 Что удерживало в журналистике?
00:16:16 Любимые проекты
00:17:36 Хотелось бы, чтобы открытых данных стало больше?
00:18:14 Что такое открытые данные?
00:22:13 Можно ли использовать закрытые данные в исследованиях?
00:27:30 Проверка информации
00:32:06 Сотрудничество с другими журналистами
00:34:22 Когнитивные искажения в журналистике
00:37:00 Личные качества для хорошего журналиста
00:40:35 Тема похоронного бизнеса
00:48:40 Черный юмор
00:50:02 Восстановление после сложных расследований
00:54:11 Книги для журналиста
00:59:41 Будущее расследовательской журналистики
01:07:53 Этические диллемы
01:14:30 Если бы не существовало расследовательской журналистики
01:19:23 Когда расследование заканчивается
01:20:30 Завершение

Слушайте наши подкасты на всех площадках!

🌐Site | 💬 Forum | 🔍 Family |▶YT

Отличное интервью с журналистом Иваном Голуновым от ребят из OSINT Mindset. С отличной базой для тех, кто занимается именно OSINT исследованиями.

📶Bluetooth 6.0

• История Bluetooth началась ещё в 1994 году: сотрудники компании Ericsson, занимающейся производством телекоммуникационного оборудования, начали искать способ передачи данных без использования кабелей. Через четыре года сформировалась специальная группа инженеров — Bluetooth SIG. В нее вошли специалисты не только из Ericsson, но и из других заинтересованных в технологии компаний: IBM, Intel, Toshiba и Nokia. Вместе они создали первую версию блютуз — она вышла в 1998 году.

• Свое необычное название, которое в переводе с английского означает «синий зуб», новая технология получила в честь датского и норвежского короля, правившего в X веке. Главная заслуга Харальда I — объединение разрозненных и враждующих племен в единое королевство. Но прозвище он получил благодаря темному цвету зубов: в истории он остался Синезубым. Технология объединяет разные устройства, обеспечивает связь между ними, как когда-то король викингов объединил разные племена. Название для нового способа беспроводной связи предложил сотрудник компании Intel Джим Кардаш.

• После 1998 года Bluetooth продолжил развиваться, менялись технологии, связь становилась лучше. Вот некоторые особенности каждой версии:

- Bluetooth 1.0 (1998): при работе с этой версией было сложно соединить устройства разных производителей. Также подключение требовало обмена адресами устройств, делая анонимность невозможной. Качество сигнала было нестабильным, связь часто прерывалась.

- Bluetooth 2.0 (2004): главная особенность версии — ускорение передачи данных с помощью технологии EDR. Производитель заявил о повышении скорости до 3 Мбит/с, но на практике она достигала только 2,1 Мбит/с. По сравнению с первой версией это было существенное улучшение, и при этом версии остались совместимыми. Также стало проще подключать сразу несколько устройств и снизилось потребление энергии.

- Bluetooth 3.0 (2009): для передачи данных при этом стандарте использовали два канала: один поддерживал скорость до 3 Мбит/с, второй — до 24 Мбит/с. Выбор канала зависел от размера файлов: большие передавали по более высокоскоростному. Такое разделение позволяло еще больше снизить потребление энергии.

- Bluetooth 4.0 (2010): данная версия технологии объединила в себе три протокола: классический Bluetooth, высокоскоростной, основанный на Wi-Fi, и с низким энергопотреблением для небольших датчиков носимых устройств.

- Bluetooth 5.0 (2016): по сравнению с 4.0 скорость выросла в два раза, а радиус действия — в четыре.

- Bluetooth 6.0 (2024): главной особенностью стала возможность определить расстояние между устройствами с точностью до сантиметра, что открывает для разработчиков много новых сценариев для использования подключаемых устройств. Описание других нововведений можно найти на хабре, либо на официальном сайте.

#Разное #Bluetooth

Катя и Максим гадают Луке на картах Таро

Мы начинаем через 10 минут

Без регистрации, без цензуры, без монтажа, как мы привыкли, все честно

Смотрите 📺VK Video

Уже завтра в студии GDS с 15 до 18 по московскому времени в прямом эфире мы подведем итоги года именно по нашей версии. Для этого мы пригласили в студию своих друзей с рынка безопасности! И конечно же будем ждать вас, чтобы расспросить, каким год был именно для вас!

43...
Check. (По Владивостоку уже можно)

43 - довольно странный возраст. Наверное у каждого существует какой то переломный момент, когда во сознательной и взрослой жизни начинаешь замечать что все меняется. Тебя начинают интересовать вещи, к которым ты всегда был равнодушен и бесить то, что раньше нравилось. И местами стараешься наверстать что-то, чего не делал никогда все это время.

43 - то время, когда понимаешь, кто твои настоящие друзья, а старые враги уже становятся какими-то привычными и чуть ли не родными.

43 - когда начинаешь видеть в своих близких себя, и как в путешествие на машине времени стараешься помочь в тех местах, где помогли (ну, или не успели помочь) тебе.

43 - когда понимаешь уже точно, в чем ты состоялся, а в чем - уже вряд ли когда либо.

43 - это когда в твоей сумке, в качестве ежедневных вещей появляется пенал с разноцветными таблетками, в твоем расписание на регулярной основе появляются врачи, которые знают твой богатый внутренний мир гораздо больше чем ты сам.

43 - тот возраст, в котором можно сказать близкому окружению - Спасибо, что вы все еще меня терпите. Ну или жаль, что не вытерпели.

43 - можно считать возрастом-рубиконом, когда можно подбить какие-то промежуточные итоги. И вы знаете - я доволен! Все это время было максимально разнообразно по наполнению и безумно интересным - по содержанию.

43 - число, с которого может все только начинаться.

А что там у PornHUBа по итогам года?

Интересное исследование от издания Sputnik. Не верифицировал, но выглядит относительно достоверно.

28.01.25 обещают продолжение Atomic Heart

❄️ Друзья, компания Безопасность 360 приглашает вас стать участниками заключительного новогоднего выпуска Комплексной программы "Специалист по OSINT".

⚡️С 16 по 20 декабря, формат - очный или онлайн. По завершению обучения предоставляется полная запись курса, а очным участникам еще и новогодние подарки от "Безопасность 360'🎁

📚 Программа состоит из трех модулей, которые проводят разные преподаватели. Любой модуль можно пройти по отдельности или в рамках всей комплексной программы.

● 16 и 17 декабря - Методы OSINT для решения задач поиска и анализа информации.
Ведущие: гуру Интернет-разведки Андрей Масалович (Кибердед) и председатель Клуба Кибердеда, специалист по безопасности и OSINT Игорь Печенкин.

● 18 декабря - Социальный профайлинг. Что может рассказать о человеке социальная сеть.
Ведущий - Алексей Филатов, эксперт по психологии и профайлингу, руководитель Лаборатории цифрового профайлинга, Сколково.

● 19-20 декабря - Прикладной инструментарий OSINT.
Ведущий - Дмитрий Борощук, исследователь и криминалист, руководитель консалтингового агентства BeholderIsHere.

🩵 А также Дарья Неверова - генеральный директор "Безопасность 360", будет с вами весь Новогодний выпуск в роли Снегурочки😊

💰 В декабре на курс "Специалист по OSINT" еще действуют старые цены. С начала 2025 года цены на курсы вырастут на 15-20%.

▶️ Регистрируйтесь и приходите на новогодний выпуск!🎅

------
📩 По вопросам участия обращайтесь: [email protected]
Телефон: +7 (901) 189-50-50
Телеграм: t.me/bezopasnost_360

Сколько у меня было запросов из серии "мой муж/начальник/бойфренд/подруга/жена прослушивают мой телефон" я давно перестал считать.

Весной и осенью всплески (оставьте шутки про шапочки из фольги - тут как бы может реально крыть любого), но в целом гражданская паранойя оправдывается в среднем процентов на 5-7% по моим очень субъективным прикидкам.

А вот в компаниях история достаточно частая- послушать и посмотреть чем занимаются коллеги у нас любят, знают умеют и практикуют. Причем если ваша фантазия нарисовала высокотехнологичных хакеров-шпионов, тут я вас разочарую — простой диктофон все еще царь и бог рейтинга шпионских гаджетов (на всякий случай: так делать плохо, ибо это нарушает УК РФ). Опять же по личной субъективной статистике, в 50% всех мной проводимых результативных (когда что- то находилось) проверок фигурировал именно этот незамысловатый девайс.

Особенно интересно смотреть на подобную статистику через призму того, как обычно защищаются вообще оотыакта прослушки — чаще всего это какая-нибудь глушилка радиоспектра, которая к глушению диктофонов не имеет никакого отношения. Да если честно, и ультразвуковая помогает только тогда, когда ты ее используешь со знанием дела (и то слишком много факторов должно сойтись)

Осенью на конференции ребят из "Б360" я постарался все свести к сводной презентации про самые популярные способы корпоративного шпионажа. На что один из участников (бывший полковник бывшего ФАПСИ) подошёл ко мне в перерыве со словами: "Ты прям про какое то банальное старье тут несешь!" на что, единственное что я смог ответить- это вспомнить одну из интерпретаций термина "Бритва Оккама" - то что использовать легче всего, с наибольшей вероятностью и будет использовано!

Да и "говно, палки и синюю изоленту" очень сильно недооценивают, особенно если они в умелых руках.

Ну а в остальном- Уильям Гибсон херни не скажет.

Пару лет назад, на одной из конференций в области безопасности, один веселый персонаж решил показать свои возможности. Чувак был с богатым служебным ведомтвенным прошлым, дослужившийся до большого начальника и ушедший радостно на вольные хлеба, ну короче - недоверять ему поводов не было.

"- Гляди, мои могут перехватывать "секретные чаты" телеграм без внедрения на целевое устройство!
- Откуда такие чудесатый парни?! спрашиваю.
- Оттуда! - Многозначительно, загадочно улыбаясь, отвечает мой визави- КГФСБ, СОРМ-3-4-5, инопланетяне и вот это вот всё!
- Ну ок, показывай! Тут уже с неподдельным интересом отвечаю я, опрокидывая третий рокс виски- колы!"

Интерес мой был весьма прозаичен- механику работы, функционал и возможности подобных систем я знаю. А вот чтоб такое- даже не слышал.

Мой собеседник, достает компьютер и открывает файл с виде- записью экрана, где в черно-белой цветовой гамме в интерфейсе тг один человек пишет другому что то типа "- ну чо, все ок? -Ок! - Ну и ок!"

"- А ты уверен, что тебя не развели этой весёлой поделкой?внутренне радуясь находчивости продавцов этого скринкаст-шедевра, вежливо спросил я, наградив себя еще одним глотком из бокала, убедившись, что чудес всё-таки не бывает.

- Да ты что!?! Там такие люди!!! Ого-го какие! И денег это стоит немерено!

- Ну и круто, сказал я допивая бокал. Пошли еще накатим! Ибо, не могу я про мировое закулисье и технологии инопланетных спецслужб говорить трезвым!"

Теперь, каждый раз, когда мы пересекаемся в миру, я не могу без улыбки воспринимать его серьезно в разговорах на рабочие темы.

К чему вся эта выдуманная история?

Когда вы занимаетесь поисковой деятельностью, всегда проверяйте все, что приходит к вам по следующим направлениям:

- Смотрите на структуру и вид выдачи информации в первоисточнике, а потом сравнивайте с тем, что и в каком виде пришло вам.

- Проверяйте всю информацию вне зависимости от того сколько денег вы заплатили или насколько серьезный и важный человек вам ее передал.

- Информация всегда находится в контексте. Поэтому его отсутствие или его аномальность должны навести на мысли все перепроверить.

Что будет происходить с обработкой ПДн в России

В прошлом посте я писал о том, что введена уголовная ответственность за незаконную обработку ПДн и административная ответственность за утечки ПДн. Что надо делать? Многие приемы уже отработаны ранее на других задачах.

Первое. Снизьте (по возможности) количество обрабатываемых в организации ПДн. Уберите излишние (для цели обработки) ПДн. Оставьте только обработку ПДн, которые получены законно и необходимы для достижении целей.

Второе. Разделите официально и неофициально обрабатываемые ПДн. Все неофициально обрабатываемые ПДн должны обрабатываться не на территории вашего предприятия, не на компьютерах вашего предприятия и желательно не людьми вашего предприятия. В лихие 90-е помню в одной организации все ПДн хранились в припаркованной на соседней улице Газеле. Но тогда все было на бумажных носителях.

Третье. В корпоративной безопасности есть принцип – что бы что то скрыть, надо что то показать. Создайте красивую «вывеску» по обработке ПДн. И очень хорошо разработанными локальными нормативными актами. Включите красивый «официоз» в вашу систему обработки ПДн. В политики предприятия добавьте пункты об обязательном соблюдении всеми работниками (включая безопасников) и руководителями требований законодательства о ПДн. Так называемый «тон сверху».

Четвертое. В риск-менеджменте есть правило передачи риска. Создайте отдельные юридические лица с минимальными оборотами и поручите им обработку ПДн. Они будут иметь статус оператора ваших ПДн. Официально оформите поручения на обработку ПДн. И они будут нести ответственность. Оборотные штрафы для них не так страшны. И при необходимости их можно ликвидировать.

Пятое. Сбор ПДн осуществляйте также через посредников. С использованием ботов и элементов искусственного интеллекта. И автоматизированных программ без участия человека. Как говорится – он же памятник (искусственный интеллект), кто же его посадит?

Шестое. Очень аккуратно легализовывайте ПДн, собранные с нарушением требований законодательства. Постараться не афишировать что основанием для принятия того или иного управленческого решения стала информация, содержащая ПДн. Используйте обезличивание ПДн. То есть оставляйте основную информацию, но убирайте - кому она принадлежит. Это уже не ПДн. Это абонент номер….Побольше берите согласий. Используйте ПДн, разрешенные субъектом ПДн для распространения. Есть общедоступные базы ПДн, их тоже можно спокойно использовать.

Седьмое. Постарайтесь уходить от требований законодательства о ПДн. Например, нормы этого закона не распространяются на обработку ПДн, используемых для личных нужд или в архивном деле. То есть, чтобы уйти от трансграничной передачи ПДн бронируйте гостиницу за рубежом не как должностное, а как физическое лицо.

Восьмое. Лица, стоящие за незаконной обработкой ПДн должны находиться за границей. Чтобы не попасть под уголовку.

Девятое. По возможности цели обработки ПДн в организации определяйте требованиями федеральных законов. Их много. Например - о противодействии терроризму, о противодействии экстремизму, о противодействии коррупции и т.д. Это достаточно веские основания. Никто не будет спорить.

Десятое. Постарайтесь не привлекать к себе внимание обработкой ПДн. И выждите время. Как говорил еще Салтыков-Щедрин в 19 веке – строгость российских законов компенсируется необязательностью их выполнения. Показная порка будет, но через какое-то время все, возможно, успокоится. Тем более, что инициатор этой законотворческой инициативы уехал руководить Курской областью.

УСЛУГИ BEHOLDERISHERE.CONSULTING

#Консалтинг
#КорпоративнаяБезопасность
#Расследования
#Безопасность

В современном бизнесе вопросы этики, безопасности и соблюдения корпоративных стандартов стоят особенно остро. Наше агентство поможет вам эффективно и профессионально проводить внутрикорпоративные расследования, обеспечивая защиту интересов компании и её сотрудников.

Что включают наши услуги?

🔻Оценка рисков и аудит
Мы проводим тщательный анализ внутренних процессов и выявляем уязвимости, которые могут быть использованы для злоупотреблений.

🔻Разработка методологий
Создание чётких и эффективных процедур для проведения расследований, адаптированных под специфику вашей компании.

🔻Проведение расследований
Опытные специалисты проводят всесторонние расследования случаев мошенничества, хищений, утечки информации и других инцидентов.

🔻Сбор и анализ доказательств
Мы используем современные методы сбора и анализа доказательств, чтобы обеспечить объективность и достоверность результатов.

🔻Подготовка отчётов
Подробные и структурированные отчёты, которые помогут вам принимать обоснованные решения и предпринимать необходимые меры.

🔻Обучение персонала
Проводим тренинги и обучение для сотрудников, чтобы они знали, как действовать в случае подозрений на нарушения и как правильно проводить внутренние расследования.

🔻Поддержка и консультации Предоставляем постоянную поддержку и консультации по вопросам, связанным с внутренними расследованиями и обеспечению безопасности, чтобы вы всегда могли рассчитывать на нашу помощь.

Почему мы?

🔻 Наша команда имеет многолетний опыт работы в области корпоративного права, психологического профайлинга и проведения расследований.

🔻 Мы строго соблюдаем конфиденциальность и обеспечиваем полный цикл защиты информации наших клиентов.

🔻 Наши эксперты публичны и известны на рынке безопасности и имеют непревзойдённую репутацию.

🔻 Мы учитываем особенности вашей компании и разрабатываем решения, которые максимально соответствуют именно вашим потребностям.

По всем вопросам:  телеграм - аккаунт @BeholdersRedEye

Кадровая оценка и компьютерные игры.

Сегодня принимал участие в сессии геймифицированного ассессмента уважаемой компании. Тема геймифицированного ассессмента - оценки персонала сегодня активно развивается и растет. В частности, многие большие корпорации создают у себя inhouse подобные решения и используют их на практике. На рынке существуют уже десятки известных игроков, которые создают специальные ассессмент-игры. По большей части они англоязычные (Biworldwide, Hravatar, Visualdna, Knackapp, Revelian и другие), но в последние 2-3 года активно развиваются и российские. Тут, что называется, санкции только на пользу)).

Сейчас активно развивается сфера игровых видео-симуляций в ассессменте. Суть такая: под каждый бизнес пишется игровая компьютерная симуляция, в которой проектная команда развивает тот или иной бизнес-юнит.

Например, финансистам ставится задача развивать небольшой банк в рамках компьютерной симуляции. Формируются несколько команд, которые по сути играют конкурентную в компьютерную игру, посвященную развитию банка. Деятельность каждой команды оценивается компьютером автоматически по заранее известным KPI. Побеждает та команда, которая ближе всех приблизилась к KPI. В ходе ассессмента становится возможна оценка большого количества компетенций: от профессиональных знаний до лидерства, работы в команде, принятию решений и работе в условиях неопределенности и стресса.

При этом коммерческие, готовые видеоигры для оценки персонала используются довольно редко. А могли бы чаще. В частности известная игра "Civilization", в которую, по собственному признанию с ранней школы играет сам Марк Цукенберг. Вот весьма содержательная статья про оценку персонала по компьютерным играм.

За последние несколько лет было обнаружено, что несколько видеоигр указывают на различные навыки, помимо игровых навыков, включая профессиональные и цифровые навыки, поэтому Petter et al. ( 2018) призвал соискателей делиться своим игровым опытом в своих резюме и во время собеседований, а работодателей использовать видеоигры для отбора или тестирования кандидатов.

Среди многих игры, например:
- Тактические (Use Your Brainz, Plants vs. Zombies 2) можно доказательно использовать для оценки навыка решения проблем (Shute et al. 2009, 2016, 2019)

- Многопользовательские массовые онлайн-игры (EVE Online и Chevaliers' Romance III) можно доказательно использовать для оценки лидерского поведения и коммуникативного стиля (Lisk et al. 2012; Lu et al. 2014).

- Шутеры от первого лица (Counter Strike), как оказывается, можно использовать для оценки творческих способностей (😲) (Wright et al. 2002)

- Многопользовательские онлайновые боевые арены (League of Legends и DOTA 2) и Игры-головоломки (Big Brain Academy) можно использовать для оценки интеллектуального уровня. (Kokkinakis et al. 2017; Quiroga et al. 2009, 2016)

- Minecraft, например, можно использовать для оценки навыка планирования и управления проектами. (Nebel et al. 2016)

- Совместные игры в Halo 4 доказательно приводят к сплочению команды. (Keith et al. 2018)
И таких примеров можно привести много.

А в прошлом году пусть и небольшое по количеству участников, но масштабное по метрикам исследование было посвящено игре Civilization V.

Используя стратегическую игру Civilization, в данном исследовании изучали, являются ли стратегические видеоигры показателем управленческих навыков и, если да, то каких именно. В контролируемых лабораторных условиях попросили сорок студентов-бизнесменов сыграть в игру Civilization и принять участие в серии оценочных упражнений. Обнаружили, что студенты, получившие высокие баллы в игре, обладают лучшими навыками, связанными с решением проблем, организацией и планированием, чем студенты с низкими баллами. Кроме того, предварительный анализ внутриигровых данных, включая взаимодействие игроков и сообщения в чате, позволяет предположить, что стратегические игры, такие как Civilization, могут использоваться для более точной и целостной "скрытой оценки", включая оценку личности.

#кадровыйпрофайлинг, #оценка, #ассессмент, #HR, #HRTech, #геймификация, #ProProfiling

🎅❤️🎅
Хей-хей, всем привет ❤️

2️⃣7️⃣декабря (это последняя рабочая пятница) подключайтесь к прямому эфиру на канале 🌐🌐с 15:00 до 18:00

Обещаем шутки про ИБ, сплетни, шампанское, подарки (не за подписку) и другие непотребства 🎄☕️

Ставьте 🎄в коментах, чтобы не пропустить ссылку на прямой эфир или подписывайтесь на GDS, здесь будут все детали

🎄🎄🎄🎄🎄 GDS

DMA-атаки давно канули в лету из за того, что интерфейсы используемые для ее реализации производители стали прятать во внутрь ноутбука в борьбе за размер и место. Но тут оказалось, что в угоду современным требованиям к скорости передачи данных внешних носителей такая возможность вернулась. Ребята из PT разобрались в этом на и сделали отличный POC

Понял, что первый признак профессионала - он постоянно задаёт кучу уточняющих вопросов и никогда не машет "шашкой наголо".

Вам может казаться задача очень простой или очень сложной - для профессионала таких понятий нет - есть достаточные либо недостаточные исходные / вводные данные для решения этой задачи.

Как часто вы наблюдаете за людьми в процессе их обычной жизни? Я- постоянно!

Например, как люди перемещаются в торговом центре. По какой траектории они двигаются от входа до конечной точки если они сразу знают что им нужно? Или просто пришли поглазеть, чтобы убить время? или зашли пообедать? - все эти действия регулярны и укладываются в очень маленький набор паттерном поведения, несмотря на то, что в день через этот торговый центр в среднем проходит около 140 000 человек (взял для примера ТЦ ЕВРОПЕЙСКИЙ что в Москве)

Понимание этих паттернов помогает предугадывать поведение людей в различных ситуациях, корректируя их движение или наоборот фокусировать их внимание на чем то важном.

Причем тут ИТ и ИБ? абсолютно точно так же работают все информационные системы и пользователи в них. Даже паттерны схожи.
Но это глобально...

Давайте сузим наше поле зрения. например делегации с разных сторон в переговорном процессе- кто принимает решение? Какие слова или действия и на кого именно влияют больше всего все то, что вы стараетесь сделать?

Здесь чуть сложнее - надо понимать, кто действительно за столом переговоров и благодаря чему может, единственный, сделать то, что нужно именно вам.

На что это похоже в более привычном для многих цифровом мире?

Главная аналитическая конференция по кибербезопасности Код ИБ ИТОГИ в Москве совсем скоро!

🗓 5 декабря
📍 Москва, отель Palmira Business Club (ул. Новоданиловская набережная 6, к.2)

Конец года — лучшее время, чтобы в кругу профессионалов изучить аналитику, узнать последние тренды ИБ и прогнозы для принятия верных решений. Поэтому ждем вас на конференции Код ИБ ИТОГИ.

В программе:
📌 3 дискуссии
— CISO говорят
— Стартапы говорят
— БОССЫ кибербеза говорят

📌 6 тематических сессий
— Защита инфраструктуры
— Анализ защищенности
— Защита данных
— Безопасная разработка
— Культура кибербезопасности
— Комплаенс

А также:
— Зона со стендами ИБ-компаний
— Новогодние угощения
— Розыгрыши подарков
— Дружественная атмосфера

🎁 И новогодний сюрприз каждому активному участнику

Глубокая аналитика, уникальный экспертный контент, жаркие дискуссии и непринужденная атмосфера: не пропустите главную аналитическую конференцию в сфере кибербеза!

Регистрируйтесь уже сейчас. Участие бесплатное, количество мест ограничено.

Какое интересное сравнение. И я даже проникся этим.

А вообще я не удивлен, что в частном сегменте ни одна "Российская ОС" не стала популярной. Вы пробовали скачать хоть одну?!? Это же, сцуко - Форд Боярд, где "приз" ты получишь пройдя сквозь кровь, пот и всякие неприятные субстанции!

Одна только РедОС дает сразу при входе на сайт нормальную ссылку для скачивания! Остальные - либо играют в игры "Найди правильную кнопку на нашем сайте для того шоб скачать наш ШЕДЕВР" либо вешают на кнопку "скачать" форму с вопросом "А ты это, Вась, кто такой вааще! И зачем ты собрался лапать своими жЫрными руками наше ВЕЛИКОЕ?"

А может у кого есть планшет от YADRO с Kvadro OS? Очень хочется помацать!

Brain rot («гниение мозга») — слово 2024 года по версии Оксфордского словаря. Термин «гниение (или разложение) мозга» означает ухудшение психического или интеллектуального состояния человека после чрезмерного потребления онлайн-контента без содержательной ценности, поясняется в словаре.

Авторы словаря подсчитали, что в период с 2023 по 2024 годы частота использования этого слова выросла на 230%.

🔐 Создание Wi-Fi моста для доступа к корпоративной сети.

• Ethernet / Wi-Fi мост — это устройство или программное решение, которое позволяет соединять две разные сети: проводную сеть Ethernet и беспроводную сеть Wi-Fi, обеспечивая обмен данными между ними.

• Пентестер или специалист Red Team, находясь физически внутри компании, может обнаружить сетевую розетку, подключить к ней "мост", который начинает работать как точка доступа. Подключившись к этой точке доступа, можно получить доступ во внутреннюю сеть компании.

• В этой статье мы рассмотрим процесс создания и автоматизации моста Ethernet/Wi-Fi с использованием Raspberry Pi и обсудим потенциальные угрозы безопасности, которые могут возникнуть для корпоративных сетей:

➡ https://habr.com/ru/articles/761852/

#Raspberry

Президен России, подписал закон в составе которого есть пункт об уголовной ответственности за неправильный сбор, обработку и хранение того, что называется персональными данными. В качестве главного приза, дают до 10 лет заключения. Закон вступает в силу с момента подписания (то есть сегодня)

Ввиду размытости формулировок самого закона - стать счастливчиком можно максимально просто и не заметно для самого себя.

P.S. для статистического сравнения: за создание и распространение детского порно, в полной комплектации - дают 8 лет лишения свободы.

P.P.S.
Какие еще призы в этой лотерее:
- Храните или продаёте данные — до 4 лет тюрьмы или штраф до 300 тыс.
- Данные о здоровье, биометрии, несовершеннолетних — до 5 лет или штраф до 700 тыс.
- Корысть или крупный ущерб — до 6 лет и штраф до 1 млн.
- Передача за границу — до 8 лет и штраф до 2 млн.
- Тяжкие последствия — до 10 лет и штраф до 3 млн.

Зарисовка с круглого стола посвященного работе сотрудников УБК (К), частных детективов (Д), и осинтеров-общественников (О):

Ведущий: Ну и как в условиях нового законодательства работать с данными?

К: <меланхолично смотрит в зал> ну надо смотреть, как оно будет на практике в контексте,рассматривая каждое дело в отдельности. А если честно- мы и сами пока не знаем, ибо ситуация спорная и не простая.

Д: а мы привыкли работать в таких условиях! Мы и так ничего по закону нормально делать не можем. Но у нас есть удостоверение детектива и мы этим хороши для народа. Будем искать лазейки!

К: <заинтересовано смотрит на (Д)>

О: <воодушевленно> а мы боремся с детским порно в сети и всякими деструктивными элементами и несем доброе,вечное и полезное!

К: <меланхолично> у нас свои сотрудники нормально с этим справляются!

О: <грустно> ну нужно как то договариваться!

К: <с ухмылкой смотрит на (О), потирая руки>

Антифрод в этом году признали критической инфраструктурой бизнеса.

Вопросов масса:
🫥Защищает ли кто-то клиентов маркетплейсах от произвола?
🫥Знает ли государство об этой проблеме?
🫥Как вернуть деньги, которые забрал нечестный продавец?

Впервые за 15 лет на крупнейшей конференции по антифрод Antifraud Russia мы поднимем действительно больные темы. И сейчас с представителями ВИПФОРУМ Екатериной Старостиной и Артемом Калашниковым мы обсудили, чем нам поможет конференция Antifraud Russia 5 декабря


Выбирайте где смотреть:
📺 VK Video
📺YouTube
📺 RuTube

Подробнее:
Официальный сайт
Telegram

Для зрителей подкаста специальные цены на участие по промокоду «GDS»

Отец знакомого работает в безопасности. Вернулся поздно с совещания, ничего не обьяснил, сказал лишь собрать все базы данных с тг каналов. Сейчас едем куда-то за ЖД дисками, ничего не понимаю, но мне кажется началось...

Я не люблю постановочные фото и фотосеты. А тут и из GDS насели со словами: "...ваши фрикингаут видео люди смотрят- надо промо" и с разных публичных мест- "...как бы уже достало твое единственное удачное фото на всех материалах!"

Ввиду этого, из пыльного шкафа был вытащен не менее пыльный единственный пиджак в который мы с моим пузом помещаемся и заказан прекрасный фотограф.

И вот хорошо Тьюринг, она везде красиво выходит, а у меня в 90% фотографий такая же рожа как на этом фото, с рабочим названием "А чё это за херня на экране?!"

Тут с моей исторической родины сообщают, невиданное - двум сотрудникам полиции впаяли реальные и ощутимые такие сроки за то, что называется пробивом. 7 и 8 лет реального срока.

У ГИБДД наступает киберпанк с AR-очками

А в Кибердоме прошёл бизнес завтрак на тему "Бывает ли дешевое ИБ" (как сказал Алексей Лукацкий - "Обсуждение дешевого кибербеза на одной из самых лакшери площадок Москвы 🤔 Что-то в этом есть сюрреалистичное")

Как все прошло? Один участников написал в общем чатике кибердома примерно следующие - По теме говорили минут 20 из полутора часов, но... "Но это все равно лучше чем все что я видел до этого" с чем, собственно, я полностью согласен.

История полиграфа: комиксы, прогресс и разочарование.

Детектор лжи — скучный предмет, но история его появления и применения необычна. Для начала, создал его человек, который в итоге прославился совершенно другим достижением. Уильям Марстон был психологом и консультантом голливудских сценаристов.

В перерывах между этими занятиями он придумал Чудо-женщину, одного из главных комикс-персонажей за всю историю. Много позже читатели было сильно удивлены, когда узнали что человек, который придумал Лассо истины — оружие комикс-амазонки — в реальной жизни также изобрёл его аналог: детектор лжи.

Полиграф Марстона был похож на кардиограф и скорее обозначил сам принцип: ложь можно распознать по физиологической реакции. А аппарат, который мы знаем сейчас, появился в результате сотрудничества науки и полиции.

По-настоящему детектор лжи вошёл в обиход благодаря двум другим людям: главе полицейского департамента Беркли Августу Волмеру и доктору физиологии Джону Ларсону. Оба хотели покончить с гангстерами, которых после Великой депрессии стало как-то уж очень много. С помощью научных методов Волмер хотел усовершенствовать процесс допросов, а Ларсон как раз придумал более эффективную версию полиграфа Марстона.

Аппарат теперь считывал целый ряд физиологических параметров, подопытный с ног до головы был окутан проводами, а специалист с важным видом расшифровывал данные. Иногда получалось очень хорошо: какой-нибудь подросток, укравший кусок сыра, выдавал себя с головой и заодно сознавался в каком-нибудь другом нераскрытом деле — во всяком случае так можно было интерпретировать его испуг. С матёрыми гангстерами дела обстояли хуже — эти врать умели.

Несмотря на это, Августа Волмера машина восхитила, и он тут же принялся рекламировать ее в прессе. Погрешности его не волновали: шеф полагал, что результаты точны, потому что сам внушительный вид аппарата должен развязывать бандитам язык.

Джону Ларсону оставалось только наблюдать, как убийцы-социопаты легко проходят проверку, а невиновные отправляются в тюрьму за чужие преступления. Он всю жизнь сожалел о создании полиграфа и чувствовал вину за сломанные судьбы.

Мое раздутое ЧСВ довольно!

Вот тут весьма неплохой уютный бложег про безопасность андроида.

Мы в начале года с Саней Дмитриевым сняли пилот шоу про гаджеты, которыми пользуются коллеги в своей работе, с названием "По Карманам" И по привычки забили на него болт. Как думаете, "откопать стюардессу" или ну ее нафиг?

Вас обманули телефонные мошенники и полиция направляет вас к ним! И мы позвали их чтобы разобраться кто должен помочь в первую очередь - Банки или Телеком?
Встречайте наших гостей:
На стороне телекома
Федор Куц - Зам. генерального директора по ИБ ООО "РТК ИТ"
Дмитрий Борощук - Beholder Is Here

На стороне банка
Василий Окулесский - Вице-президент по ИБ "ЦМРБанк"
Катя Тьюринг - Специалист по борьбе с мошенничеством

Не пропустите. Приятного просмотра

📱 VK | 📺 RUTUBE | 📺 YouTube

#gds #полныйИБец

Американская турфирма рекламирует ЧЕТЫРЕХЛЕТНИЙ круиз для тех, кто хочет пережить четыре года президентства Трампа вне Америки.

Стоимость места на судне - 250.000 долларов на человека, то есть позволить себе может такое только состоятельная демократическая публика.

Вспоминается анекдот про «я ж вас, блядей, на этот корабль два года собирал»

https://music.yandex.ru/album/5418306/track/41382178?utm_medium=copy_link

Неожиданно прекрасный кавер!

Цитата дня сегодня от CISO Т-Банка Дмитрия Гадаря:

«Инновации – это то, где нужно запретить участие безопасности и юристов».

Тру!

Красота то какая. SSD диск в виде файловой папки.

Компании сталкиваются с трудностями в обеспечении кибербезопасности: ресурсы ограничены, а акционеры и руководство часто сомневаются в необходимости значительных вложений в защиту. Тем временем киберугрозы растут, и бизнесу нужно находить баланс между эффективностью и бюджетом на ИБ. Возможно ли создать качественную защиту при минимальных затратах?

Бизнес-завтрак «Дешевый кибербез — миф или реальность?» поможет найти ответы на этот и другие вопросы. 19 ноября резиденты Кибердома соберутся на закрытом мероприятии клуба, чтобы обсудить:

➡️ Может ли правильно организованное ИТ стать основой для киберзащиты;
➡️ Каким должен быть минимальный набор инструментов и решений, необходимый для защиты бизнеса;
➡️ Когда компании требуется полноценный CISO, а когда можно обойтись виртуальным специалистом;
➡️ Какие требования бизнес предъявляет к информационной безопасности сегодня.


🎙 Приглашенные эксперты:
Дмитрий Борощук — амбассадор Кибердома, руководитель консалтингового агентства «BeholderIsHere consulting»
Антон Лопаницын — амбассадор Кибердома, исследователь и эксперт в области информационной безопасности
Мона Архипова — независимый эксперт в области ИТ и ИБ
Александр Дмитриев — генеральный директор ООО «Нейроинформ»

Узнать подробности о клубе и условиях участия можно на сайте.

Когда: 19 ноября, 10:00
Где: Кибердом, 2-я Звенигородская ул., д. 12, стр. 18

#клуб_резидентов #бизнес_завтрак

🏠 Кибердом & Бизнес

Прекрасный лонгрид на тему киберпанка как социального отражения мира 80-90-00-10х и его восприятия в наши дни.

КАК РАССЧИТАТЬ ЭКОНОМИЧЕСКУЮ ЭФФЕКТИВНОСТЬ ОТ ИБ МЕРОПРИЯТИЙ.
#процессы

Сегодня поговорим про экономику в информационной безопасности! Ведь по для бизнеса по сути важно только одно- сколько вы сможете сохранить денег компании, после всех внедрений своих высокотехнологичных игрушек с приставкой "ИБ" и "Кибер" в название.

Для расчета экономического ущерба от реализованной угрозы ИБ я использую следующую очень простую методологию разделенную на 7 шагов:

1. Определение потерь до внедрения мероприятий (П1)

🔻 рассчитываем сколько потеряет организация в денежном эквиваленте  если все так и останется и вы ничего не будете делать

2. Определение потерь после внедрения мероприятий (П2)

🔻 тут считаем экономические потери, которые ваша компания понесет в результате реализации той самой угрозы уже после того как вы внедрите свои решения в области ИБ. Ибо 100% эффективность в реальности, увы миф.

3. Расчет предотвращенного ущерба (Ппр)

🔻 эта переменная считается по разности гипотетических потерь до и после ваших мероприятий и  показывает ту часть прибыли, которая могла быть потеряна. И выглядит как Ппр = П1 – П2.

4. Определение хозрасчетной эффективности (Эх.р.)

 🔻 Эх.р. отражает количество средств, непосредственно возвращенных организации в результате деятельности по защите информации за расчетный период. Это могут быть, например, средства, полученные в результате депремирования сотрудников, виновных в инцидентах ИБ (виновных то надо наказать в назидание, средства, возмещенные третьей стороной, выплаченная страховая премия и т.п.

5. Расчет затрат на обеспечение (С).

 🔻 Считаем все расходы на задуманные вами мероприятия.  Тут и оплата труда специалистов, закупку и содержание (!) технических средств и софта и другие сопутствующие расходы за расчетный период.

6. Определение коэффициента эффективности (Кэф)

🔻 Рассчитываем по формуле Кэф = 1 – И/Иmax р.п.
где Ир.п. – количество инцидентов информационной безопасности за расчетный период, а Иmax р.п. – максимально возможное количество инцидентов информационной безопасности за расчетный период.

7. Расчет экономической эффективности (Ээф)

 🔻 Ээф = (Ппр + Эх.р. – С) х Кэф.

Вот и всё! Согласитесь- это очень просто. И тем не менее, эта простая методология позволяет дать объективную экономическую оценку деятельности подразделения по защите информации и исключить условности в оценке.

В продолжение темы определения местоположения по фотографиям вот тут порция новых шпаргалок для исследования фотографий. Конечно же это не все инструменты, а только базовые и о них, но уже более подробно, мы будем разговаривать на курсах тех же "Безопасность 360" уже 16-20 декабря в рамках Комплексной программы "Специалист по OSINT"

Ближайшие 5 дней - это мой рабочий кабинет и дом.

А вот уже 13-14 ноября читаю курс "ОСИНТ исследования в корпоративной безопасности" у команды "Безопасность 360" о котором можно почитать тут и записаться на него.

Но я не просто похвастаться- на фото присутствует явная подсказка того, где я нахожусь. Как минимум страну, а как максимум - отель где находится мой рабочий кабинет на это время. Первый правильно указавший как минимум страну и саму подсказку получит скидку на курс 20%, а кто укажет отель вкупе со своими умозаключениями -50%.

А кто еще и номер в отеле скажет - зачем вам это все?! Стучите в двери- пойдем в бар! :)

Ну а если не сможете ответить- приходите! Мы как раз учим замечать, даже незначительные детали, помогающие проведению OSINT исследований.

RIP
https://t.me/mash/58633

Сходил на стендап в Кибердом. В очередной раз рассказывал про ретро- вибратор с видеокамерой и с прошивкой от дрона (и я не шучу! вот пруфы)

Тот момент, когда ты что-то разрабатываешь, а у тебя выходит какая-то х#йня... И тут тебе приходит - ИДЕЯ! По-моему прекрасный пример пивота разработки.

Нам немного надоело разговаривать с большими руководителями и экспертами в рамках "Полного ИБца" - все таки руководить- не по земле бегать... И мы решили заманить к себе того, кто на самом деле ближе к земле, бегает по ней ногами и делает все руками и собственной головой- обычного опера из того самого пресловутого "Отдела К"

Все что вы стеснялись или хотели спросить можете написать в комментариях тут.

Что могут банки и телеком провайдеры противопоставить мошенникам? Поговорили вместе с Катей на эту тему с Федором Куцем из Ростелеком Информационные технологии и Василием Окулесским из ЦМР Банка

Я очень хреново отношусь к предвзятости взглядов исследователей.

Это рушит саму концепцию "исследователя как наблюдателя" и мешает получить объективные выводы в качестве результатов. Поэтому никогда не поставлю на расследование бывшего опера, если объектом его разработки будет такой же бывший преступник или такой же бывший опер, яростного верующего- если объектом его исследования будет некто или нечто касающийся другой или этой же религиозной конфессии, сторонника тех или иных политических взглядов- если объект исследования будет так же политически ангажирован и представителя какого либо сообщества, который симпатизирует либо не очень чему-то подобному.

У всех них будет одно и тоже (даже подсознательное) желание - оправдать сторону которую он поддерживает и нарыть абсолютный негатив на противоположную...

И все это дает жуткую субъективизацию выводов, которые могут помешать в дальнейшем.

Пы.Сы. А еще, самый плохой ответ, который может быть на вопрос "А почему ты пришел к такому выводу" в рамках OSINT исследований (да в принципе и любого исследования) - "Мне так кажется!". За такое, сразу же хочется выпиздить из профессии! Ибо все должно основываться на верифицированных фактах.

"Оставь компьютер и просто возьми диск с собой!" Реклама переносного жесткого диска из 1985 года. Удобно. В рюкзаке помещается.

Китайцы показали прототип сферического коня в вакууме робота полицейского.

На Авроре (это такая православная мобильная операционная система) появился Рустор (это такой православный плеймаркет) в котором огромное количество приложений - они все(!!!!!!) уместились на этих скриншотах (их 8)

Давно не писал про гаджеты. За последний месяц мне попалось 2 очень хороших представителя китайских мануфактур:

1. LTE видеокамера наблюдения с двумя видеокамерами для обзорного вида (фокусное расстояние 3,2) и предметного (фокусное расстояние 8). Может работать в режиме локального DVR и в режиме сетевой камеры с LTE каналом передачи данных. Может тригерить запись по звуку, движению (при этом понимает отдельно движение людей). Звуковой канал в обе стороны и встроенная сирена программируемая на движение.

Из приятного:
- type c зарядка,
- периодически обновляемая прошивка,
- влагозащищенность (именно влаго),
- хорошее ПО (0-kam)

Цена: около 5500р

2. Андроид планшет f+ t800. Планшет от российского вендора f+. Главное достоинство- соотношение цена качество. За 7500р (официальная цена на сайте производителя) вы получите:
- отличный дизайн и сборку
- встроенный LTE
- ips экран 2к
- 4гб оперативки
- МТК процессор
- NFC, BY, WiFi.
Из минусов:
- нет Google Play
- android 11

В качестве терминала для всякого, читалки или смотрелки - прям чудо чудное. Особенно за такие деньги.

"... Не выиграл, а проиграл
Не в лотерею, а в рулетку
Не машину, а миллион "

Все. Теперь точно не ногой!

Продолжаем наблюдать за турнирной таблицей.

Помните, у меня тут был вопрос про контроль за просмотром порно на рабочем месте? И таки я поймал девчонок из "Стахановец" и задал этот важный и животрепещущий вопрос главе департамента маркетинга - Леоне Дружининой.

Но в прямом эфире она отказались отвечать :(

За кадром- рассказала, что таки да!

Все становится лучше если добавить к нему приставку "кибер-" ...наверное.

Два дня на Кибертехе отработали в качестве интервьюеров в выездной студии GDS

Перед вами обычная поездка в Cyberpunk 2077 с кучей графических модов и трассировкой для RTX 4090.

А как отличить?

5️⃣ 1337