Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

Звіт про вразливості безпеки знайдені у 2020

Ми (BSG) опублікували звіт про вразливості безпеки, знайдені минулого року. У ньому ми наводимо знеособлені дані про наші проєкти та знайдені в них вразливості.

Нахабної реклами пост. Через шість років після заснування Berezha Security, ми вирішили започаткувати традицію. Ми щороку публікуватимемо звіт про вразливості безпеки та наш бізнес-прогрес за минулий рік. Поряд із висвітленням змін в організації, ми ділитимемося знеособленими даними про наші проєкти та знайдені в них вразливості. Навіщо? На це питання є кілька відповідей.

По-перше, тому що корисність цієї інформації важко переоцінити. Як професіонали з кібербезпеки, ми постійно розповідаємо про якихось хакерів, якісь вразливості, і що всіх зламають, і це лише питання часу. І оце наше гонорове “якщо ви думаєте, що ви в безпеці, то у вас просто пентеста нормального не було” воно ж повинно на щось спиратися, правда? Інакше, з чого б це вам вірити? Ось, власне, і відповідь: те, скільки ми робимо проєктів та в яких галузях, в поєднанні з середніми кількостями вразливостей різного рівня ризику дає вам уявлення, що чекає на вас, якщо ви раптом замислитесь про нормальний пентест.

Продовжити читання “Звіт про вразливості безпеки знайдені у 2020”

Розігруємо YubiKey перед випуском річного звіту Berezha Security

Якщо ви завжди хотіли собі або комусь з близьких YubiKey, але ніколи руки не доходили замовити – це ваш шанс все виправити.

Цього року моя компанія BSG (також відома як Berezha Security Group) опублікує звіт про вразливості, які ми знайшли у 2020 році. Перед оприлюдненням звіту ми розіграємо YubiKey, який підходить саме вам, адже там їх ціла купа під різні типи USB. Щоб взяти участь, достатньо від фонаря заповнити форму на п‘ять полів. Щоб виграти, треба заповнити її максимально наближено до справжніх результатів нашої продуктивності минулого року.

Отже, питання:
Скільки вразливостей команда Berezha Security Group знайшла у 2020 році та як ця кількість розподілена по рівнях ризику?

Підказка:
У 2020 році ми виконали 50 проєктів.

Відповіді приймаються за цією адресою (https://forms.gle/jHjv5bS5SZic4JoW9) до 10:00 2 лютого 2021 року.

Рекомендовані книжки прочитані у 2020. Частина І: кібербезпека

Продовжуючи нову традицію рекомендацій цікавих та корисних книжок за підсумками року, ділюся своїми найбільшими читацькими враженнями у 2020. Цього року я розбив рекомендації на тематичні дописи та в кожному порекомендую лише три назви. Ці книжки я рекомендую для прочитання кожному, хто цікавиться відповідною темою.

Назви творів вказано мовою споживання. Посилання ведуть на джерела, де я їх придбав. У 2020 я багато читав у цифрі, менше в аудіо, і всього одну книгу на папері.

Також, цього року я вперше за багато років читав російською. Попри те, що російська – моя перша мова (а українська – третя), вже понад 10 років я не послуговуюся нею для читання та письма. Годі й казати, що після 2014 року це лише підсилилося. Проте, наприкінці останнього допису серії я порекомендую твір російською.

Продовжити читання “Рекомендовані книжки прочитані у 2020. Частина І: кібербезпека”

Чому я не критикую українських кіберчиновників

Цей блог поступово перетворюється на чат з питань та відповідей. Одне з частих запитань від підписників у Facebook – чому я не приєднуюся до колег у нищівній критиці діяльності, чи то радше бездіяльності українських державних керівників у сфері кібербезпеки. В мене на це дуже проста, але дуже довга відповідь. 

Я звик критикувати та сприймати критику з таких позицій.

  1. Критик повинен мати відповідний досвід. Він має розуміти, як це – робити те, що він критикує. І бажано вміти робити це краще, ніж об’єкт критики.
  2. Критик повинен мати намір влізти в шкуру своєї жертви. Тобто в разі настання сприятливих обставин зайняти позицію об’єкту критики.
Продовжити читання “Чому я не критикую українських кіберчиновників”

Геопозиціювання користувачів Telegram

Телеграм це не месенджер, а соціальна мережа. Однією з його соціальних функцій є рекомендація “подружитися” користувачам, які знаходяться поруч. За допомогою цієї фічі неважко визначити місцерозташування Telegram-юзера. Я рекомендую вимкнути доступ Телеги до геолокації на рівні ОС смартфона.

Вразлива функція називається People Nearby, вона дозволяє користувачам Telegram знаходити один одного в реальному світі. На двох смартфонах робляться два незалежні запити на дані геолокації, результати відправляються на сервер. Якщо користувачі знаходяться на короткій відстані, їм пропонують додати один одного до контактів.

Image from the Ahmed Hassan‘s blog post.
Продовжити читання “Геопозиціювання користувачів Telegram”