«Любая система защиты, это компромисс между безопасностью и сложностью. Защищая одну систему другой, мы вкладываем в её безопасность, но одновременно создаём новые уязвимости. Это не парадокс, это реальность, с которой сталкивается каждый, кто выстраивает безопасность. И если мы не понимаем эту рекурсию, мы строим башню из песка.» Безопасность как цепь уязвимостей Традиционный подход к безопасности … Читать далее
«Устройства, которые мы подключаем к сети, не просто выполняют задачи — они собирают данные о нашем пространстве и быте. Производители часто не задумываются о последствиях, а пользователи не подозревают, насколько ценны эти данные для третьих лиц. Простое бытовое устройство становится точкой сбора информации, которую можно монетизировать или использовать во вред.» Что видит твой робот-пылесос Современные … Читать далее
«Чаще всего дверь в систему открывают не блестящие атаки на нулевые дни, а банальная человеческая забывчивость — пароли в репозитории, демо1-демо1 в продакшене. Но иногда встречаются такие уязвимости, что после их обнаружения хочется спросить: ‘а вы точно проверяли, как это работает?’». 1. Уязвимость, которая была в самом названии Одна из первых уязвимостей, которую я находил, … Читать далее
«Цифровая безопасность всегда была не только про технологии, но и про модели поведения. Сегодня самые точные модели нашего поведения формируют сервисы, с которыми мы взаимодействуем ежедневно — от доставки еды до такси. Эти системы непрерывного A/B-тестирования выявляют наши паттерны принятия решений под давлением, усталостью или в рутине, чтобы продать нам чуть больше. Парадокс в том, … Читать далее
“Нейрофаззинг, это не про замену инструмента, а про смену вектора атаки. Вместо того, чтобы тыкать вслепую в миллиард мест, модель учится делать один осмысленный, но неправильный ход. Этого часто достаточно, чтобы система, отточенная годами, споткнулась.” Слова «нейрофаззинг» нет в глоссарии ФСТЭК. В российском регулировании это — разновидность динамического анализа. Но на практике между стандартными методами … Читать далее
“В машинном обучении принято говорить о защите данных на этапе обучения, но на практике риски переносятся на этап инференса, и уязвимости моделей часто являются производными от уязвимостей в данных. Без понимания, как разные векторы атак пересекаются на протяжении всего жизненногоного цикла модели, любая защита становится частичной и неэффективной.” От данных к модели: где прячутся уязвимости … Читать далее
«Считается, что мессенджеры для бизнеса, это безопасно. На практике можно увидеть, что безопасность не в протоколах, а в умах людей, которые их используют. Тот же инструмент, который должен упрощать общение с клиентами, легко превращается в люк, ведущий к финансовым данным целой компании, если его настраивать по принципу ‘лишь бы работало’.» Почему мессенджер для бизнеса вызывает … Читать далее
«FTP остается одной из самых распространённых бомб замедленного действия в инфраструктуре российских компаний. Его наследие 1970-х годов с открытой передачей паролей и анонимным доступом до сих пор является лёгкой мишенью для сканеров, кибергрупп и при проведении проверок на соответствие 152-ФЗ.» Эксплуатация уязвимостей FTP FTP, протокол передачи файлов, — технологический реликт, сохранившийся в корпоративных сетях, системах … Читать далее
Основной вектор атак через почту — не взлом шифрования, а эксплуатация доверия к самому протоколу. Злоумышленник использует SMTP так, как он был задуман в эпоху, когда безопасность не была приоритетом. Результат — спам, фишинг и компрометация репутации домена, которые обходятся организациям дороже прямых утечек. https://seberd.ru/1969 Почему почтовый протокол остаётся уязвимым SMTP создавался для маршрутизации писем … Читать далее
“Когда всё человечество станет одной информационной системой, а твой мозг — одним из узлов, то контроль над этой системой станет контролем над сознанием. То, что мы сейчас называем кибербезопасностью, станет новым социальным неравенством. И этот разрыв будет самой болезненной раной будущего, потому что она коснётся не твоего кошелька, а твоей личности.” Проблема цифрового неравенства обсуждается … Читать далее