SlideShare una empresa de Scribd logo

Путевые заметки социального инженера

Descargar como PPTX, PDF
Vlad Styran
Vlad Styran

Моя презентация на UISGCON 10 5 декабря 2014 г.

Tecnología
1 de 38
П У Т Е В Ы Е З А М Е Т К И С О Ц И А Л Ь Н О Г О И Н Ж Е Н Е Р А
Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Поведать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
N A U M I H O T E L , S I N G A P O R E
“ Г О С Т И Н И Ц А - Ч Е М О Д А Н ”
Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
Н О Т А К Л И Э Т О В А Ж Н О ? • Запрос на истории читателей блога – 0 ответов • Может быть, рассмотреть насущные проблемы? • Оставаясь при этом в рамках темы
К О Г О З А Щ И Щ А Т Ь • Модель объекта защиты • мобильный пользователь облачных сервисов
К О Г О З А Щ И Щ А Т Ь • Журналист • Волонтер • Гражданский активист • Общественный деятель • Турист • Участник конференции • Модель объекта защиты • мобильный пользователь облачных сервисов
О Т Ч Е Г О З А Щ И Щ А Т Ь • Банальная интернет-цензура • Хактивисты с противоположными взглядами • Воры и мошенники • Специальные службы враждебных стран • “Глобальный пассивный противник”, сокращенно NSA
Ч Т О З А Щ И Щ А Т Ь • Коммуникации • Данные • Сохранность личных вещей • Жизнь и здоровье
Ч Т О З А Щ И Щ А Т Ь • Коммуникации • Данные • Сохранность личных вещей • Жизнь и здоровье
И Н Т Е Р Н Е Т - Ц Е Н З У Р А
И Н Т Е Р Н Е Т Ц Е Н З У Р А • Tor • всем известная популярная сеть • (SSL) VPN • Tor могут блокировать, HTTPS – вряд ли • SSL VPN + Tor • Зачем???
К А К Р А Б О Т А Е Т T O R
К А К Н Е Р А Б О Т А Е Т T O R
Р И С К И И С П О Л Ь З О В А Н И Я T O R • Анализ трафика в локальной сети • респект админам Гарварда за сбор логов • кажется, здесь неплохо смотрелся бы VPN… • Прослушка трафика на выходе из сети • “последняя миля” не шифруется • как на счет HTTPS?..
T O R V I A V P N – А Н А Л И З Т Р А Ф И К А
H T T P S E V E R Y W H E R E – П Р О С Л У Ш К А “ П О С Л Е Д Н Е Й М И Л И ”
• Сделай сам! • Amazon AWS + OpenVPN Image • бесплатно 1 год, Micro Instance • DigitalOcean + OpenVPN AS • $5/мес. до 2-х пользователей • Популярные VPN сервисы • F-Secure Freedome, $5/мес, только мобильные устройства • ExpressVPN, $8/мес. • HideMyAss, 5$/мес весь год,если успеете на акцию Г Д Е И П О Ч Е М ?
К Л И Е Н Т С К А Я Ч А С Т Ь • OpenVPN Connect • Windows, Mac OS X, Android, iOS, Linux • TunnelBlick • Mac OS X • When in Rome, do as the Romans do. • When in China don’t f///ing download anything.
З В О Н К И И С О О Б Щ Е Н И Я • WhisperSystems – RedPhone • Open Whisper Systems – Signal • Silent Circle – Phone, Text & Contacts • Go hardcore!
Ч Т О З А Щ И Щ А Т Ь • Коммуникации • Данные • Сохранность личных вещей • Жизнь и здоровье
F D E I S N O T A N O P T I O N • Редактирование SAM, /etc/shadow • old school утилиты по “восстановлению” пароля • KONBOOT • Pre-boot rootkit • INCEPTION • FireWire + Serial Bus Protocol 2 + DMA
П О Л Н О Е Ш И Ф Р О В А Н И Е Д И С К А • Если не повезло • Symantec FDE (PGP) • Checkpoint FDE (Pointsec) • TrueCrypt (RIP) • Если жизнь удалась • Microsoft BitLocker (TPM) • Mac OS X FileVault (пробовал только на SSD) 50-60% 40-50% 40-50% 5-10% no latency
О Б Щ И Е Р Е К О М Е Н Д А Ц И И • Правила Бориса Свердлика • Все должно быть обновлено • На “левые” ссылки не нажимать • “Левый” секьюрити софт не покупать
C O M P A R T M E N T A L I Z E I F Y O U C A N • Разные устройства для операций разного риска • “Одноразовые” виртуальные машины для онлайн платежей • Игры и работа на разных устройствах • Go hardcore! + =
Б Е З О П А С Н О С Т Ь Д О Л Ж Н А Б Ы Т Ь У Д О Б Н О Й • Парольные менеджеры • KeePass • 1Password • iCloud Keychain • Оптимизация памяти • Генерация псевдослучайных паролей • Визулизация сложности
Д В У Х Ф А К Т О Р Н А Я А У Т Е Н Т И Ф И К А Ц И Я
О Б Р А Т Н А Я С О В М Е С Т И М О С Т Ь С О Д Н И М Ф А К Т О Р О М
Ч Т О З А Щ И Щ А Т Ь • Коммуникации • Данные • Сохранность личных вещей • Жизнь и здоровье
О Т Е Л Ь • Домашняя работа (OSINT) • Как дела с охраной, освещением и трансфером • План эвакуации, номера экстренной помощи • Избегайте номеров на первом этаже • Не оставляйте в номере билеты и документы • Используйте табличку DND, не выключайте свет • Пользуйтесь сейфом, лучше на рецепции
Ф И З И К А И Н Е В Е Р Б А Л И К А • Every hat must have its purpose • There is a purpose for any hat • Ходите посредине, старайтесь держать осанку • Пусть люди в форме видят ваши руки • Вещи ваши, пока вы их контролируете • Расплачиваться лучше наличностью • Банкоматы защищеннее в банках
С С Ы Л К И Н А Б Л О Г Е • securegalaxy.blogspot.com • @saprand • sapran@gmail.com
“ T H A N K Y O U ” S L I D E THANK YOU!

Recomendados

правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTVlad Styran
 
Правда Про Ложь
Правда Про ЛожьПравда Про Ложь
Правда Про ЛожьPositive Hack Days
 
пр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровпр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Human computer interfaces v8
Human computer interfaces v8Human computer interfaces v8
Human computer interfaces v8Yuri Ammosov
 
Anton Karpov - Black and white world of information security
Anton Karpov - Black and white world of information securityAnton Karpov - Black and white world of information security
Anton Karpov - Black and white world of information securityDefconRussia
 
Нетворкинг и Социальная Инженерия
Нетворкинг и Социальная ИнженерияНетворкинг и Социальная Инженерия
Нетворкинг и Социальная ИнженерияAndrew Nikishaev
 
[RUS] LEAKINT – Leaks Intelligence
[RUS] LEAKINT – Leaks Intelligence[RUS] LEAKINT – Leaks Intelligence
[RUS] LEAKINT – Leaks IntelligenceRoman Romachev
 

Recomendados

правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTVlad Styran
 
Правда Про Ложь
Правда Про ЛожьПравда Про Ложь
Правда Про ЛожьPositive Hack Days
 
пр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровпр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Human computer interfaces v8
Human computer interfaces v8Human computer interfaces v8
Human computer interfaces v8Yuri Ammosov
 
Anton Karpov - Black and white world of information security
Anton Karpov - Black and white world of information securityAnton Karpov - Black and white world of information security
Anton Karpov - Black and white world of information securityDefconRussia
 
Нетворкинг и Социальная Инженерия
Нетворкинг и Социальная ИнженерияНетворкинг и Социальная Инженерия
Нетворкинг и Социальная ИнженерияAndrew Nikishaev
 
[RUS] LEAKINT – Leaks Intelligence
[RUS] LEAKINT – Leaks Intelligence[RUS] LEAKINT – Leaks Intelligence
[RUS] LEAKINT – Leaks IntelligenceRoman Romachev
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Vlad Styran
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buyVlad Styran
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
лабраб 1
лабраб 1лабраб 1
лабраб 1Gulnaz Shakirova
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеровVlad Styran
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 
Компания навыворот (Андрей Аксенов)
Компания навыворот (Андрей Аксенов)Компания навыворот (Андрей Аксенов)
Компания навыворот (Андрей Аксенов)Ontico
 
Презентация на SMM.UA
Презентация на SMM.UAПрезентация на SMM.UA
Презентация на SMM.UAСлава Баранский
 
Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...
Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...
Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...HappyDev
 
Кибербезопасность. Дмитрий Ганжело
Кибербезопасность. Дмитрий ГанжелоКибербезопасность. Дмитрий Ганжело
Кибербезопасность. Дмитрий ГанжелоAlexandraSokolenko1
 
ХАКЕРЫ И АНТИХАКЕРЫ
ХАКЕРЫ И АНТИХАКЕРЫХАКЕРЫ И АНТИХАКЕРЫ
ХАКЕРЫ И АНТИХАКЕРЫPavel Tsukanov
 
материал
материалматериал
материалliza2209
 
Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014
Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014
Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014Roman Maslennikov
 
А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014
А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014
А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014it-people
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Кибербезопасность в стартапах
Кибербезопасность в стартапахКибербезопасность в стартапах
Кибербезопасность в стартапахVitaliy Yakushev
 
Wr2013 opensource
Wr2013 opensourceWr2013 opensource
Wr2013 opensourceAndrew Aksyonoff
 
Digital humanities
Digital humanitiesDigital humanities
Digital humanitiesAnatoly Levenchuk
 

Más contenido relacionado

Destacado

Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Vlad Styran
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buyVlad Styran
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеровVlad Styran
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 

Destacado (10)

Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buy
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
 
лабраб 1
лабраб 1лабраб 1
лабраб 1
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБ
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеров
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle
 
#root это только начало
#root это только начало#root это только начало
#root это только начало
 

Similar a Путевые заметки социального инженера

Компания навыворот (Андрей Аксенов)
Компания навыворот (Андрей Аксенов)Компания навыворот (Андрей Аксенов)
Компания навыворот (Андрей Аксенов)Ontico
 
Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...
Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...
Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...HappyDev
 
Кибербезопасность. Дмитрий Ганжело
Кибербезопасность. Дмитрий ГанжелоКибербезопасность. Дмитрий Ганжело
Кибербезопасность. Дмитрий ГанжелоAlexandraSokolenko1
 
ХАКЕРЫ И АНТИХАКЕРЫ
ХАКЕРЫ И АНТИХАКЕРЫХАКЕРЫ И АНТИХАКЕРЫ
ХАКЕРЫ И АНТИХАКЕРЫPavel Tsukanov
 
материал
материалматериал
материалliza2209
 
Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014
Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014
Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014Roman Maslennikov
 
А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014
А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014
А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014it-people
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Кибербезопасность в стартапах
Кибербезопасность в стартапахКибербезопасность в стартапах
Кибербезопасность в стартапахVitaliy Yakushev
 
Информационная безопасность в веб - основы
Информационная безопасность в веб - основыИнформационная безопасность в веб - основы
Информационная безопасность в веб - основыAlex Chistyakov
 
Becoming and Being an Information Architect
Becoming and Being an Information ArchitectBecoming and Being an Information Architect
Becoming and Being an Information ArchitectLara Simonova
 
презентация к разработке
презентация к разработкепрезентация к разработке
презентация к разработкеMolodejnoe
 
6 Шагов STEPPS. Супер Вирусный Маркетинг
6 Шагов STEPPS. Супер Вирусный Маркетинг6 Шагов STEPPS. Супер Вирусный Маркетинг
6 Шагов STEPPS. Супер Вирусный МаркетингАндрей Макарский
 
My talk at YouCon Saratov 2016
My talk at YouCon Saratov 2016My talk at YouCon Saratov 2016
My talk at YouCon Saratov 2016Alex Chistyakov
 
Web Programmin, guest lecture: Dmitry Elisov
Web Programmin, guest lecture: Dmitry ElisovWeb Programmin, guest lecture: Dmitry Elisov
Web Programmin, guest lecture: Dmitry ElisovVitaly Pavlenko
 
А.Левенчук -- лекция о будущем (2014)
А.Левенчук -- лекция о будущем (2014)А.Левенчук -- лекция о будущем (2014)
А.Левенчук -- лекция о будущем (2014)Anatoly Levenchuk
 

Similar a Путевые заметки социального инженера (20)

Компания навыворот (Андрей Аксенов)
Компания навыворот (Андрей Аксенов)Компания навыворот (Андрей Аксенов)
Компания навыворот (Андрей Аксенов)
 
Презентация на SMM.UA
Презентация на SMM.UAПрезентация на SMM.UA
Презентация на SMM.UA
 
Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...
Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...
Олег Годовых - Как учёба в универе и олимпиады не сделали мою жизнь хуже | Ha...
 
Кибербезопасность. Дмитрий Ганжело
Кибербезопасность. Дмитрий ГанжелоКибербезопасность. Дмитрий Ганжело
Кибербезопасность. Дмитрий Ганжело
 
ХАКЕРЫ И АНТИХАКЕРЫ
ХАКЕРЫ И АНТИХАКЕРЫХАКЕРЫ И АНТИХАКЕРЫ
ХАКЕРЫ И АНТИХАКЕРЫ
 
материал
материалматериал
материал
 
Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014
Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014
Раскрутка СуперФирмы_Сити Класс- Роман Масленников_май_2014
 
А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014
А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014
А. Аксенов "Как мы разрабатываем Сфинкс", DUMP-2014
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Кибербезопасность в стартапах
Кибербезопасность в стартапахКибербезопасность в стартапах
Кибербезопасность в стартапах
 
Wr2013 opensource
Wr2013 opensourceWr2013 opensource
Wr2013 opensource
 
Digital humanities
Digital humanitiesDigital humanities
Digital humanities
 
Информационная безопасность в веб - основы
Информационная безопасность в веб - основыИнформационная безопасность в веб - основы
Информационная безопасность в веб - основы
 
Becoming and Being an Information Architect
Becoming and Being an Information ArchitectBecoming and Being an Information Architect
Becoming and Being an Information Architect
 
презентация к разработке
презентация к разработкепрезентация к разработке
презентация к разработке
 
Работа в интернет сегодня
Работа в интернет сегодняРабота в интернет сегодня
Работа в интернет сегодня
 
6 Шагов STEPPS. Супер Вирусный Маркетинг
6 Шагов STEPPS. Супер Вирусный Маркетинг6 Шагов STEPPS. Супер Вирусный Маркетинг
6 Шагов STEPPS. Супер Вирусный Маркетинг
 
My talk at YouCon Saratov 2016
My talk at YouCon Saratov 2016My talk at YouCon Saratov 2016
My talk at YouCon Saratov 2016
 
Web Programmin, guest lecture: Dmitry Elisov
Web Programmin, guest lecture: Dmitry ElisovWeb Programmin, guest lecture: Dmitry Elisov
Web Programmin, guest lecture: Dmitry Elisov
 
А.Левенчук -- лекция о будущем (2014)
А.Левенчук -- лекция о будущем (2014)А.Левенчук -- лекция о будущем (2014)
А.Левенчук -- лекция о будущем (2014)
 

Más de Vlad Styran

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Vlad Styran
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too lateVlad Styran
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...Vlad Styran
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security WebcastVlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecurityVlad Styran
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunitiesVlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckVlad Styran
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюVlad Styran
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themVlad Styran
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-ШміберVlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Vlad Styran
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 

Más de Vlad Styran (15)

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too late
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security Webcast
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software Security
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunities
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't Suck
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностью
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from them
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-Шмібер
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 

Último

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 

Último (9)

2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 

Путевые заметки социального инженера

  • 1. П У Т Е В Ы Е З А М Е Т К И С О Ц И А Л Ь Н О Г О И Н Ж Е Н Е Р А
  • 2. Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Поведать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
  • 3. Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
  • 4. Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
  • 5. Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
  • 6. N A U M I H O T E L , S I N G A P O R E
  • 7. “ Г О С Т И Н И Ц А - Ч Е М О Д А Н ”
  • 8. Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
  • 9. Н А Ч Т О П Л А Н И Р О В А Л О С Ь П О Т Р А Т И Т Ь Э Т О Т Ч А С • Рассказать немного о себе • Напомнить, что такое социальная инженерия • Рассказать несколько забавных историй • Обобщить применение СИ в путешествиях • Сделать выводы и ответить на вопросы
  • 10. Н О Т А К Л И Э Т О В А Ж Н О ? • Запрос на истории читателей блога – 0 ответов • Может быть, рассмотреть насущные проблемы? • Оставаясь при этом в рамках темы
  • 11. К О Г О З А Щ И Щ А Т Ь • Модель объекта защиты • мобильный пользователь облачных сервисов
  • 12. К О Г О З А Щ И Щ А Т Ь • Журналист • Волонтер • Гражданский активист • Общественный деятель • Турист • Участник конференции • Модель объекта защиты • мобильный пользователь облачных сервисов
  • 13. О Т Ч Е Г О З А Щ И Щ А Т Ь • Банальная интернет-цензура • Хактивисты с противоположными взглядами • Воры и мошенники • Специальные службы враждебных стран • “Глобальный пассивный противник”, сокращенно NSA
  • 14. Ч Т О З А Щ И Щ А Т Ь • Коммуникации • Данные • Сохранность личных вещей • Жизнь и здоровье
  • 15. Ч Т О З А Щ И Щ А Т Ь • Коммуникации • Данные • Сохранность личных вещей • Жизнь и здоровье
  • 16. И Н Т Е Р Н Е Т - Ц Е Н З У Р А
  • 17. И Н Т Е Р Н Е Т Ц Е Н З У Р А • Tor • всем известная популярная сеть • (SSL) VPN • Tor могут блокировать, HTTPS – вряд ли • SSL VPN + Tor • Зачем???
  • 18. К А К Р А Б О Т А Е Т T O R
  • 19. К А К Н Е Р А Б О Т А Е Т T O R
  • 20. Р И С К И И С П О Л Ь З О В А Н И Я T O R • Анализ трафика в локальной сети • респект админам Гарварда за сбор логов • кажется, здесь неплохо смотрелся бы VPN… • Прослушка трафика на выходе из сети • “последняя миля” не шифруется • как на счет HTTPS?..
  • 21. T O R V I A V P N – А Н А Л И З Т Р А Ф И К А
  • 22. H T T P S E V E R Y W H E R E – П Р О С Л У Ш К А “ П О С Л Е Д Н Е Й М И Л И ”
  • 23. • Сделай сам! • Amazon AWS + OpenVPN Image • бесплатно 1 год, Micro Instance • DigitalOcean + OpenVPN AS • $5/мес. до 2-х пользователей • Популярные VPN сервисы • F-Secure Freedome, $5/мес, только мобильные устройства • ExpressVPN, $8/мес. • HideMyAss, 5$/мес весь год,если успеете на акцию Г Д Е И П О Ч Е М ?
  • 24. К Л И Е Н Т С К А Я Ч А С Т Ь • OpenVPN Connect • Windows, Mac OS X, Android, iOS, Linux • TunnelBlick • Mac OS X • When in Rome, do as the Romans do. • When in China don’t f///ing download anything.
  • 25. З В О Н К И И С О О Б Щ Е Н И Я • WhisperSystems – RedPhone • Open Whisper Systems – Signal • Silent Circle – Phone, Text & Contacts • Go hardcore!
  • 26. Ч Т О З А Щ И Щ А Т Ь • Коммуникации • Данные • Сохранность личных вещей • Жизнь и здоровье
  • 27. F D E I S N O T A N O P T I O N • Редактирование SAM, /etc/shadow • old school утилиты по “восстановлению” пароля • KONBOOT • Pre-boot rootkit • INCEPTION • FireWire + Serial Bus Protocol 2 + DMA
  • 28. П О Л Н О Е Ш И Ф Р О В А Н И Е Д И С К А • Если не повезло • Symantec FDE (PGP) • Checkpoint FDE (Pointsec) • TrueCrypt (RIP) • Если жизнь удалась • Microsoft BitLocker (TPM) • Mac OS X FileVault (пробовал только на SSD) 50-60% 40-50% 40-50% 5-10% no latency
  • 29. О Б Щ И Е Р Е К О М Е Н Д А Ц И И • Правила Бориса Свердлика • Все должно быть обновлено • На “левые” ссылки не нажимать • “Левый” секьюрити софт не покупать
  • 30. C O M P A R T M E N T A L I Z E I F Y O U C A N • Разные устройства для операций разного риска • “Одноразовые” виртуальные машины для онлайн платежей • Игры и работа на разных устройствах • Go hardcore! + =
  • 31. Б Е З О П А С Н О С Т Ь Д О Л Ж Н А Б Ы Т Ь У Д О Б Н О Й • Парольные менеджеры • KeePass • 1Password • iCloud Keychain • Оптимизация памяти • Генерация псевдослучайных паролей • Визулизация сложности
  • 32. Д В У Х Ф А К Т О Р Н А Я А У Т Е Н Т И Ф И К А Ц И Я
  • 33. О Б Р А Т Н А Я С О В М Е С Т И М О С Т Ь С О Д Н И М Ф А К Т О Р О М
  • 34. Ч Т О З А Щ И Щ А Т Ь • Коммуникации • Данные • Сохранность личных вещей • Жизнь и здоровье
  • 35. О Т Е Л Ь • Домашняя работа (OSINT) • Как дела с охраной, освещением и трансфером • План эвакуации, номера экстренной помощи • Избегайте номеров на первом этаже • Не оставляйте в номере билеты и документы • Используйте табличку DND, не выключайте свет • Пользуйтесь сейфом, лучше на рецепции
  • 36. Ф И З И К А И Н Е В Е Р Б А Л И К А • Every hat must have its purpose • There is a purpose for any hat • Ходите посредине, старайтесь держать осанку • Пусть люди в форме видят ваши руки • Вещи ваши, пока вы их контролируете • Расплачиваться лучше наличностью • Банкоматы защищеннее в банках
  • 37. С С Ы Л К И Н А Б Л О Г Е • securegalaxy.blogspot.com • @saprand • sapran@gmail.com
  • 38. “ T H A N K Y O U ” S L I D E THANK YOU!