Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

Враження від нової версії OWASP Top 10

OWASP Top 10 2021 – це нова версія відомого рейтингу ризиків безпеки програмного забезпечення. Я прочитав його чорновий варіант і вирішив поділитися відгуком.

Проєкт OWASP Top 10 оприлюднив для відкритого обговорення чорнову версію наступної інкарнації свого відомого рейтингу ризиків програмної безпеки. Я прочитав його з великим задоволенням і хочу поділитися своїми думками. tl; dr: Мені дуже сподобалось і я хотів би, щоб текст документу не змінився до офіційного випуску.

Трохи історії від інсайдера OWASP. OWASP Top 10 – це найвідоміший проєкт OWASP. Для деяких недосвідчених аудиторій це еквівалент усього OWASP. Звісно, ​​це неправильно, але вже як є. Серед членів OWASP ходить жарт. Мовляв, хоча наша цільова аудиторія – це розробники програмного забезпечення, менеджери та фахівці з безпеки, більшість із них не знають, що таке OWASP. Але ті, хто думає, що знає, думають, що це OWASP Top 10.

Продовжити читання “Враження від нової версії OWASP Top 10”

Тренінг Кібербезпека для бізнес-лідерів

Анонс тренінгу Кібербезпека для бізнес-лідерів. Екстрений курс з кібербезпеки для керівників сучасного високотехнологічного бізнесу.

Проведу цього року тренінг з кібербезпеки для керівників та власників бізнесу. Вебінар зі схожою структурою та метою я раніше провів для двох фокус-груп. Цей курс розширює вміст програми та враховує відгуки та побажання випробувачів. Зокрема, додано день на детальний розбір персональних практик кібербезпеки, адже це побажання було найпопулярнішим. Опис тренінгу нижче, реєстрація за посиланням.

Продовжити читання “Тренінг Кібербезпека для бізнес-лідерів”

Однофакторна автентифікація – це погано

Використання паролю як єдиного способу захисту облікових записів користувачів офіційно визнано поганою практикою кібербезпеки.

Американське державне кіберагенство CISA, повноцінного аналога якого так не вистачає Україні, внесло до свого епічного переліку “поганих практик” кібербезпеки однофакторну автентифікацію.

Гірше за відсутність двофакторної автентифікації лише програми, що не оновлюються, та використання простих, поширених, вкрадених, дефолтних, або іншим чином відомих нападнику паролів.

Продовжити читання “Однофакторна автентифікація – це погано”

Витекли 53 мільйони записів персональних даних мешканців України

В Інтернеті виявлено базу даних жителів України, що може містити майже 53 мільйони записів про персональні дані – повідомляє український омбудсмен.

Таку новину без жодних подробиць розмістив на своєму вебсайті офіс українського омбудсмена.

З одного боку новина погана, з іншого – не зовсім. Дуже приємно що тепер такі інциденти призводять до якогось руху в державних установах. Колись мені та моїм колегам доводилося робити це самотужки, шукаючи кінці у кіберполіціях країн, де були розташовані такі вебсайти. А потім ще бомбардувати Google запитами на видалення цих даних з індексу пошукової системи. А тепер бачите, щось рухається і в госусі.

Продовжити читання “Витекли 53 мільйони записів персональних даних мешканців України”

ProtonMail видав IP-адресу користувача поліції

Анонімна служба електронної пошти ProtonMail видала IP-адресу користувача швейцарській поліції. Чому це сталося, і чому так обурюється громадськість?

Швейцарська компанія ProtoMail, яка займається наданням послуг електронної пошти з акцентом на приватності, видала Швейцарським правоохоронним органам IP-адресу екоактивіста. Чим викликала хвилю обурення серед спеціалістів з кібербезпеки та адвокатів приватності. Невдоволення було викликано зокрема тим, що на своєму вебсайті ProtonMail обіцяє користувачам не збирати дані що вказують на особу користувача.

Продовжити читання “ProtonMail видав IP-адресу користувача поліції”