"Взрослый телефон, передаваемый ребёнку даже на короткое время,, это не просто игрушка. Это активная сессия в приложениях с привязанными платёжными данными, и по умолчанию она защищена не лучше, чем кошелёк, оставленный на столе. Традиционная защита 'экранного времени' часто бесполезна против встроенных коммерческих механизмов мобильных платформ". Не пароль, а…
"Мы закопаны в документах, но не в тех, что нужно читать, а в тех, что нужно писать. К одному приложению нужна инструкция по применению политики безопасности, а к самой политике — методика её разработки. Эта бумажная машина, кажется, работает на себя, а не на безопасность. Почему так и…
"Shodan – это не поисковик, а карта цифровых ландшафтов, показывающая голые кости интернета: устройства, которые предпочитают оставаться невидимыми. В руках специалиста по безопасности это инструмент для проактивной защиты; в чужих руках – источник угроз для целых отраслей". Специализированная поисковая система для устройств Shodan работает принципиально иначе, чем Google…
«Общие представления о цифровой безопасности исходят из конечного характера инфраструктуры: сломалось — починили, утекли данные — заблокировали доступ. Но самая фундаментальная угроза для любой информационной системы, будь то сервер, база данных или блокчейн-сеть, связана не с кратковременными атаками, а с необратимыми физическими законами. Энтропия — мера хаоса в…
Случайное действие — оставить телефон на пять минут без присмотра — стало причиной утечки чувствительных данных. Мы так привыкли к технологиям, что считаем любой USB-порт безопасным. А на практике телефон доверяет подключенному кабелю и компьютеру слишком много, если не заданы границы. Внешние зарядные станции и общественные USB-порты становятся…
“Когда сервис обещает безопасное пространство, а сам монетизирует твою уязвимость, это не ошибка, это модель.” За кулисами цифрового дзена Приложение для медитации собирает данные, это техническая необходимость. Оно запоминает время сессии, выбрасывает push-уведомление. Но процесс редко останавливается на этом. Современный SDK аналитики умеет заглянуть гораздо глубже. Он регистрирует…
"Родительский контроль, это не просто запрет на игры. Это инструмент, который помогает не ограничивать, а направлять. Проблема в том, что большинство настроек либо слишком жёсткие и вызывают протест, либо формальные и не работают. Настоящий контроль строится на договорённостях, а технологии лишь помогают их соблюдать. Здесь я покажу, как…
Заблуждение в том, что APT, это просто «умные вирусы». На самом деле это целая параллельная организация, которая годами живёт в твоей сети, изучает твои бизнес-процессы и ворует не просто данные, а самую суть твоей работы. Это не взлом, а медленная и методичная оккупация. https://seberd.ru/2009 Суть APT: не атака,…
"Служба безопасности, это не протокол, который можно проверить по RFC. Это люди, которые могут ошибаться, лениться или намеренно искажать реальность, чтобы соответствовать планам и отчётам. Их обман редко выглядит как прямая ложь. Чаще это полуправда, замалчивание, технический жаргон и создание иллюзии контроля. Ваша задача — научиться видеть разрыв…
«Риски доступа, это не только пароли и двухфакторная аутентификация. Это система, где технические средства имеют смысл, только когда работают в связке с продуманными процессами и контролем за их исполнением. Сбой в любом звене делает бессмысленной защиту в остальных».Снижение рисков доступа в информационной безопасностиАтаки на системы аутентификации и авторизации…
"Многие думают, что автоматизация регуляторной отчётности, это либо дорогие коробочные системы, либо бесконечная рутина. На деле, это вопрос архитектуры: можно собрать эффективного «цифрового клерка» из доступных компонентов, который не просто переносит данные, а понимает их смысл и контекст требований. Это не про увольнение людей, а про перераспределение их…
«Люди переоценивают опасность потери телефона как устройства и недооценивают его как инструмента для атаки. За одну минуту с вашим разблокированным аппаратом можно совершить гораздо больше, чем просто позвонить. Риск здесь не в том, что его сломают или украдут, а в том, что он превратится в шлюз для кражи…
Мы постоянно слышим, что куки, это приватность, реклама и согласие. Но если отбросить клише, окажется, что в основе куки лежит простая инженерная задача. Результат её решения — фундаментальная технология, которая определяет не только персональную рекламу, но и устройство современной веб-инфраструктуры: работу авторизации, балансировки нагрузки и даже требования регуляторов…
"Атака программы-вымогателя, это не ошибка антивируса, а следствие системных сбоев в управлении инфраструктурой. Принцип наименьших привилегий и сегментированные резервные копии работают там, где сигнатурные средства уже бессильны." Технические механизмы атаки Эволюция программ-вымогателей привела к использованию гибридных схем, где уязвимости в управлении и доверенные системные инструменты становятся оружием. Атака…
"Если вы попробуете объяснить сисадмину, что такое политика безопасности, он покажет вам настройки файрвола. Но если попробуете объяснить бизнесу, он скажет: 'Мы не хотим, чтобы нас взломали'. Между этими двумя языками лежит пропасть, и intent-based networking, это мост через неё, превращающий расплывчатое 'хотим быть в безопасности' в точную…
«Ошибка «Permission denied» при запуске скрипта, это не просто техническая преграда, а сторожевой пес операционной системы, который заставляет задуматься: что именно ты пытаешься исполнить и с какими правами». Что происходит при запуске скрипта Ввод ./script.sh в терминале запускает цепочку событий, которую многие представляют слишком упрощенно. Ядро Linux проверяет…
“Как проверить телефон на вирусы без установки антивируса, это не риторический вопрос для параноиков, а прагматичная задача. Антивирус — лишь один из инструментов, и его установка не всегда возможна или желаема. Понимание процесса проверки через признаки, аналитику и встроенные возможности системы куда важнее простой кликбанной рекомендации «скачайте вот…
"Принцип минимальных привилегий, это не абстрактная философия безопасности, а конкретный технический механизм, который разрывает цепочку эксплуатации. В российской реальности его соблюдение, это не просто «хороший тон», а легальное основание для защиты от регулятора, когда что-то пошло не так. Реализуется он не через политики, а через конфигурации, которые мешают…
"Переход с импортной EDR на отечественную, это не технический апгрейд, а сложная операция по пересадке корпоративной иммунной памяти. Главный риск — формальная отчётность вместо реальной безопасности, когда новый инструмент работает, но команда слепа к специфике своей сети. Переход должен завершиться передачей контекста, а не установкой другого агента." Почему…
“Это не шпионская фантастика и не теории заговора. Это коммерческий продукт, который можно заказать онлайн. Пока вы думаете, что уязвимость, это дыра в софте, кто-то вставляет её прямо в ваш USB-кабель.” От концепции к коммерческому изделию Идея встроить полноценную вычислительную систему в пассивный кабель для скрытого сбора данных…
"Всё, что вы знаете о переговорах о зарплате, основано на западной модели и больше не работает в сегодняшних условиях. Рынок стал другим, логика найма изменилась, а самые распространённые советы теперь ведут к прямым потерям. Пора отказаться от шаблонов и выстроить собственную стратегию, основанную на понимании экономики, психологии и…
"Мы думаем, что устанавливаем приложения для удобства, а на деле ставим на телефон комбайны по сбору данных, которые работают по бизнес-модели, враждебной приватности. Соглашаясь с политикой конфиденциальности, мы легализуем утечку, а механизмы слежки давно ушли от простых запросов прав и собирают цифровой отпечаток даже при нуле разрешений. Защита…
“Кажется очевидным, что точилкам для карандашей не нужно знать, где вы находитесь. Но раз за разом простейшие приложения требуют доступ к вашим данным. Это не ошибка разработчика и не паранойя. Это системный сбой в самой модели разрешений, который превращает ваш телефон из инструмента в досье.” Неприкосновенность данных против…
"Мы привыкли думать о файлах в «облаке» как о чём-то эфемерном, но каждый гигабайт всегда привязан к конкретной физической стойке в дата-центре. Вопрос не в том, где они лежат, а в том, кто и на каких условиях контролирует доступ к этой стойке, и что происходит, когда политика провайдера…
"Внутренний университет ИБ, это не просто корпоративное обучение. Это способ превратить разрозненных специалистов в единую команду, которая говорит на одном языке, понимает не только свои задачи, но и контекст работы коллег, и может самостоятельно развивать компетенции в условиях постоянного изменения регуляторных требований. Это стратегический актив, который снижает зависимость…
"Архитектура защиты, это не про набор инструментов, а про систему взаимосвязанных принципов, где разграничение, учёт и гарантии образуют замкнутый контур. ГОСТ 1995 года заложил эту логику, и она оказалась настолько фундаментальной, что пережила смену технологических эпох." ГОСТ Р 50739-95: архитектура защиты от НСД Февраль 1995 года. Распад СССР…
"Личный план развития, это декларация ваших профессиональных намерений. От того, как он составлен и озвучен, зависит, превратится ли он в реальный маршрут к цели или останется формальной бумажкой, заброшенной через неделю. В российской IT-реальности, где проекты часто закрывают сотрудников от выгорания и времени на развитие не остаётся, личный…
"Первые 90 дней на работе, это не про то, чтобы просто 'вписаться'. Это короткое окно, в котором можно установить новые стандарты, переписать правила под себя и получить кредит доверия на все следующие проекты, даже самые сложные. Потом такого шанса не будет." # Первые 90 дней на позиции: чек-лист…
"Два вида памяти внутри телефона выполняют абсолютно разные роли, и путаница между ними приводит к реальным проблемам: от неверных покупок до непонимания, почему приложения 'зависают'. Разница не в 'больше-меньше', а в фундаментальных принципах работы, скорости и предназначении." Две памяти, одна система: не взаимозаменяемые компоненты Смартфон обрабатывает данные непрерывно.…
"Регуляторика в ИБ, это не про заполнение отчётов по факту. Это про движение от «сделали и забыли» до «встроили и управляем». План трансформации на 18–36 месяцев превращает разовые проекты по 152-ФЗ в устойчивую систему и стратегическое преимущество. Это план не для регулятора, а для вашего бизнеса." Почему 152-ФЗ,…
«Кибербезопасность часто фокусируется на отражении быстрых атак, но главная опасность — в угрозах, которые месяцами живут в твоей сети и остаются незамеченными. Это не одиночные взломы, а системная кампания с чёткой целью. Если видишь только последний взрыв, значит, основная работа злоумышленника уже завершена». Группы, способные на такие операции,…
"Просто скажи, что OWASP ASVS, это стандарт проверки безопасности. Почти все именно так его и представляют, но это неполно и неточно. По сути, это системный язык, на котором можно договориться с разработчиком, архитектором, тестировщиком и проверяющим. Это не набор требований, а карта, показывающая, какие тропы в приложении уже…
В Linux учетные записи, это не просто логин и пароль. Это фундамент безопасности всей системы, механизм изоляции и контроля, унаследованный от многопользовательских мейнфреймов. Понимание их устройства критически важно не только для администрирования, но и для соответствия требованиям регуляторов вроде ФСТЭК и 152-ФЗ, где разграничение доступа является обязательным элементом…
“Российскому специалисту по ИБ часто приходится слышать про конфиденциальность целостность доступность, но гораздо реже — про то, как на уровне формальной математики можно доказать, что секретные данные действительно никогда не попадут на публичный выход. Noninterference, это не просто «запретить», а гарантия того, что высокий уровень не влияет на…
Статья не про абстрактные «злоумышленники», а про то, как следящее ПО, замаскированное под заботу, превращает самый личный предмет — телефон — в инструмент контроля. Большинство проверок, которые вы найдёте в интернете, поверхностны. Настоящее stalkerware скрывается там, где его не ищут. Разберём технику обнаружения не по сценариям из фильмов,…
«Обычно смотрю на 152-ФЗ и думаю, что там уже всё есть. Потом читаю ФЗ-187 и понимаю, что все предыдущие усилия — только подготовка. Этот закон не договаривает с бизнесом, а переопределяет уровень критического обслуживания всего государства. Бизнес оказывается не партнёром, а подчинённым. И единственный вопрос — кто за…
Если открываете сайт в браузере, вы уже запускаете чужой код. Но браузер, это песочница для вас. Для IT-системы песочницей становится архитектура, где каждый запрос — подозреваемый, а каждый сервис — независимый судья. https://seberd.ru/7017 Почему нельзя просто закрыть всё на замок Представьте: вы запрещаете всем сотрудникам подключаться к корпоративным…
"Внешне приложение выглядело как обычный сканер документов. Но за ночь оно выгрузило всю галерею на неизвестный сервер. Это не единичный случай, а результат системных уязвимостей в модели разрешений Android и в нашем восприятии цифрововой гигиены. Мы думаем, что разрешаем доступ к камере для сканирования, а на деле открываем…
"Чаще всего о культуре безопасности говорят либо в духе ‘нужно тренировать сотрудников’, либо в терминах стандартов. Но сама модель NIST не про то, чтобы просто достичь пятого уровня и выставить галочку. Она работает как зеркало — показывает, что твоя безопасность становится делом всех только тогда, когда ты даже…
"Потеря телефона, это не просто потеря устройства. Это потеря ключа от цифровой жизни, которая может превратиться в катастрофу, если не знать, как действовать. Большинство инструкций сводятся к «заблокируйте и сотрите», но они упускают главное: что делать с цифровым следом, который остаётся в сети, и как не дать злоумышленнику…