Forwarded from CTO On Live
🕵️♂️ Шеф нас вскрыли, что будем делать?
#ПилюСтартап #Безопасность
Когда ты относительно небольшой сервис, то ты можешь позволить себе делать сервис абы как, чтобы проверить теории, найти целевую аудиторию и т.д. Но как только сервис становится востребованным и поток клиентов стабилен, жизненно необходимо сразу же вкладываться в безопасность, хотя бы в автоматические инструменты тестирования.
Как только сервис начнёт хайпить все ваши силы будут тратиться на поддержание и оптимизации, но никак не на безопасность, а с любым ажиотажем, как известно приходят те, кто хочет на нем заработать и часто это не самые честные люди. Текущая история с Zoom является очень показательной в этом плане. Сначала им наверняка начали присылать отчеты по безопасности, но в связи с возрастающей каждый час нагрузкой (у меня даже знакомые бабушки начали спрашивать про Zoom) они просто не успевали их закрывать, как следствие вся эта информация выплеснулась в открытый доступ. Теперь ребят вероятно будут ждать суды, так как американское общество/правительство любит погреться на таких штуках (последние скандалы с facebook и google тому пример), особенно учитывая современную экономическую ситуацию.
Конечно, автоматическое тестирование пока не способно заменить полностью людей, так как они не способны найти сложные кейсы с использование контекста, поэтому существуют специальные площадки, где можно заказать тестирование
Вообще есть много способов отловить процентов 40 злоумышленников aka мамкиных хакеров еще на входе и об этом я напишу более развернутый пост, а пока...
Вот несколько инструментов для тестирования:
- Nessus - даже бесплатная версия даст вам много информации по проекту
- Vega - мощный и бесплатный инструмент, но возможно придется помучиться с установкой
- Kali - не просто инструмент, а полноценная ось для пентестеров включающая в себя кучу уже предустановленных инструментов
- Nikto - самые простые вещи поможет выявить
- nmap - сканер сетей
- JMeter - поможет проверить какую нагрузку сервис сможет держать
- Siege и AB - похожи на JMeter но послабее, хотя для базового тестирования производительности вполне пригодятся
Инструментов, конечно, гораздо больше и каждый может себе подобрать именно те, что ему больше по душе, а может просто начать штудировать OWASP и искать все самому руками. Главное это подбирать и не откладывать в очень уж долгий ящик.
#ПилюСтартап #Безопасность
Когда ты относительно небольшой сервис, то ты можешь позволить себе делать сервис абы как, чтобы проверить теории, найти целевую аудиторию и т.д. Но как только сервис становится востребованным и поток клиентов стабилен, жизненно необходимо сразу же вкладываться в безопасность, хотя бы в автоматические инструменты тестирования.
Как только сервис начнёт хайпить все ваши силы будут тратиться на поддержание и оптимизации, но никак не на безопасность, а с любым ажиотажем, как известно приходят те, кто хочет на нем заработать и часто это не самые честные люди. Текущая история с Zoom является очень показательной в этом плане. Сначала им наверняка начали присылать отчеты по безопасности, но в связи с возрастающей каждый час нагрузкой (у меня даже знакомые бабушки начали спрашивать про Zoom) они просто не успевали их закрывать, как следствие вся эта информация выплеснулась в открытый доступ. Теперь ребят вероятно будут ждать суды, так как американское общество/правительство любит погреться на таких штуках (последние скандалы с facebook и google тому пример), особенно учитывая современную экономическую ситуацию.
Конечно, автоматическое тестирование пока не способно заменить полностью людей, так как они не способны найти сложные кейсы с использование контекста, поэтому существуют специальные площадки, где можно заказать тестирование
Вообще есть много способов отловить процентов 40 злоумышленников aka мамкиных хакеров еще на входе и об этом я напишу более развернутый пост, а пока...
Вот несколько инструментов для тестирования:
- Nessus - даже бесплатная версия даст вам много информации по проекту
- Vega - мощный и бесплатный инструмент, но возможно придется помучиться с установкой
- Kali - не просто инструмент, а полноценная ось для пентестеров включающая в себя кучу уже предустановленных инструментов
- Nikto - самые простые вещи поможет выявить
- nmap - сканер сетей
- JMeter - поможет проверить какую нагрузку сервис сможет держать
- Siege и AB - похожи на JMeter но послабее, хотя для базового тестирования производительности вполне пригодятся
Инструментов, конечно, гораздо больше и каждый может себе подобрать именно те, что ему больше по душе, а может просто начать штудировать OWASP и искать все самому руками. Главное это подбирать и не откладывать в очень уж долгий ящик.
vc.ru
Утечки данных, отсутствие шифрования, передача данных Facebook: за что критикуют видеоконференции Zoom и есть ли замена — Сервисы…
Евгений Делюкин Сервисы 01.04.2020
Forwarded from П-Телеграм и кибербезопасность
❗️В Дзержинске менты выборочно прошлись по квартирам, проверили телефоны людей и написали с их ТГ аккаунтов в бот "Магнит". Рассказываем, что за бот и как не попасться.
Если написать в этот бот с вашего ТГ аккаунта, он выдаст ваш ник при регистрации и id номер. Далее ментам останется только пробить ваш id по своим спискам и посмотреть на предмет вашего участия в открытых политических чатах.
⚠️ Менты не изобрели ничего нового. Бот просто делает идентификацию быстрее, а узнавать id аккаунтов могли и раньше, это не закрытая информация.
КАК ЭТО ОБОЙТИ
1️⃣ Заведите отдельный аккаунт для политических чатов и каналов.
2️⃣ Установите Партизанский Телеграм и настройте ложный код-пароль, при вводе которого этот аккаунт будет автоматически скрываться или разлогиниваться.
3️⃣ Если менты просят показать Телеграм, вводите ложный код-пароль и показывайте цивильный аккаунт, с которого НЕ подписаны на политичекие чаты/каналы.
ЧТО ДЕЛАТЬ, ЕСЛИ С МОЕГО АККАУНТА НАПИСАЛИ В БОТ "МАГНИТ"?
1️⃣ НЕ используйте этот аккаунт для подписок на протестные чаты/каналы.
2️⃣ По возможности его удалите.
3️⃣ Если по вашему id менты могут установить ваше участие в протестной деятельности, как можно скорее покиньте страну.
#безопасность
Если написать в этот бот с вашего ТГ аккаунта, он выдаст ваш ник при регистрации и id номер. Далее ментам останется только пробить ваш id по своим спискам и посмотреть на предмет вашего участия в открытых политических чатах.
⚠️ Менты не изобрели ничего нового. Бот просто делает идентификацию быстрее, а узнавать id аккаунтов могли и раньше, это не закрытая информация.
КАК ЭТО ОБОЙТИ
1️⃣ Заведите отдельный аккаунт для политических чатов и каналов.
2️⃣ Установите Партизанский Телеграм и настройте ложный код-пароль, при вводе которого этот аккаунт будет автоматически скрываться или разлогиниваться.
3️⃣ Если менты просят показать Телеграм, вводите ложный код-пароль и показывайте цивильный аккаунт, с которого НЕ подписаны на политичекие чаты/каналы.
ЧТО ДЕЛАТЬ, ЕСЛИ С МОЕГО АККАУНТА НАПИСАЛИ В БОТ "МАГНИТ"?
1️⃣ НЕ используйте этот аккаунт для подписок на протестные чаты/каналы.
2️⃣ По возможности его удалите.
3️⃣ Если по вашему id менты могут установить ваше участие в протестной деятельности, как можно скорее покиньте страну.
#безопасность
Forwarded from IT-бауырсақи
👁🗨 Анонимность под угрозой: анализ законодательства Казахстана
Очень интересный аналитический материал юриста, правозащитника «Internet Freedom», Data Privacy Professional (GDPR DPP) Елжана Кабышева.
Особенно интересно про "государтсвенный MITM"
https://drfl.kz/ru/anonymity-in-kazakhstan/
#Казахстан #анонимность #безопасность #тайна_связи
Очень интересный аналитический материал юриста, правозащитника «Internet Freedom», Data Privacy Professional (GDPR DPP) Елжана Кабышева.
Особенно интересно про "государтсвенный MITM"
https://drfl.kz/ru/anonymity-in-kazakhstan/
#Казахстан #анонимность #безопасность #тайна_связи