Аудит безопасности смарт-контрактов в TON: ключевые ошибки и советы

Всем привет! На связи Сергей Соболев, специалист по безопасности распределенных систем в Positive Technologies, наша команда занимается аудитом смарт-контрактов. Сегодня я расскажу вам о результатах исследований и выводах нашей команды насчет аудита безопасности смарт-контрактов на языках FunC и...

Все блоги / Про интернет

Не пора ли переходить на постквантовые криптоалгоритмы уже сейчас?

Приветствую, Хабр! Долгое время я принадлежал к числу тех, кто скептически относится к возможностям квантового криптоанализа в частности и квантовых вычислений вообще. Мое отношение к этому вопросу кардинально изменилось после того, как я услышал один из докладов на прошедшей конференции...

Все блоги / Про интернет

SQL-инъекции для начинающих

Недавно я участвовала в разработке курса для администраторов баз данных. Одной из ключевых тем, которые хотелось осветить, помимо прочих, были SQL-инъекции — атаки, направленные на базы данных. Однако, обсуждая программу с коллегами, я столкнулась с мнением, что эта тема может оказаться сложной для...

Все блоги / Про интернет

Выводим Большие языковые модели на чистую воду с помощью… Больших языковых моделей

Генеративный искусственный интеллект постоянно становится героем заголовков СМИ, каждый час создаются новые стартапы с использованием Больших языковых моделей, однако реальный бизнес не очень охотно внедряет технологии ИИ в свои процессы. В кулуарах предприниматели говорят об опасениях в части...

Все блоги / Про интернет

Мой первый Standoff, или Как я заглянул за плечо расследователю кибератак

Всем привет! Меня зовут Саша Коробко, в Positive Technologies я работаю больше года и уже активно вовлечен в процессы разных продуктов и сервисов. В этой статье я расскажу про один мой день на киберфестивале Positive Hack Days прошлого года. А точнее об очень важной его части — кибербитве Standoff...

Все блоги / Про интернет

Отладка сервера для самых маленьких. Начало

Есть люди, которые начинают задумывается об приватности/конфиденциальности в необъятном интернете или уже её практикуют. Есть те, кто не хочет платить за сервисы и считает, что подписочная модель по текущим ценам — не самый выгодный вариант. Тогда появляеться гениальная идея об «self-hosted»...

Все блоги / Про интернет

IDM Midpoint — восхищение и ужас в одном флаконе. Грабли, советы, рекомендации

IDM Midpoint от Evolveum, с одной стороны, является многофункциональным продуктом с хорошими возможностями настройки под потребности любой компании. Но, с другой, сложность настройки растет по мере того, как вы отходите от стандартных описанных решений. А описано в документации, увы, мало. По мере...

Все блоги / Про интернет

Detection is easy. Устанавливаем OPNSense и настраиваем NetFlow

Продолжаем серию статей. - Detection is easy, посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале. Сегодня мы рассмотрим установку OPNSense на Proxmox и настройку отправки NetFlow на коллектор ElastiFlow, который мы настроили в прошлой статье. Для начала подключимся к...

Все блоги / Про интернет

Разбираемся в устройстве AFL++. Часть 4

Продолжаем копать глубже в AFL++ (American Fuzzy Lop plus plus) и в этой части продолажем рассматривать работу afl-fuzz. Читать далее...

Все блоги / Про интернет

Разбираемся в устройстве AFL++. Часть 3

Продолжаем копать глубже в AFL++ (American Fuzzy Lop plus plus) и в этой части будем рассматривать инициализацию afl-fuzz. Читать далее...

Все блоги / Про интернет

Разбираемся в устройстве AFL++. Часть 2

Продолжаем копать глубже в AFL++ (American Fuzzy Lop plus plus) и в этой части будем рассматривать работу и запуск forkserv'a Читать далее...

Все блоги / Про интернет

Разбираемся в устройстве AFL++. Часть 1

Пробуем разобраться, как устроен знаменитый AFL++ изнутри. Часть 1. Написание этой статьи было вызвано отсутствием комплексных материалов о структуре фаззера AFL++ (American Fuzzy Lop plus plus) на русском языке, а также необходимостью устранить собственные пробелы в знаниях. Читать далее...

Все блоги / Про интернет

Spring Cloud Gateway как шлюз для мобильных приложений

В статье будет рассмотрен способ организации инфраструктуры API шлюза для мобильных приложений. Как и в предыдущий раз мы будем использовать spring cloud gateway и keycloak. Читать далее...

Все блоги / Про интернет

Сквозное шифрование в облаках. Уязвимости — во всех сервисах

В наше время большинство пользователей хранят файлы в том или ином облачном хранилище: Google Drive, Яндекс.Диск, Dropbox, OneDrive и т. д. Благодаря низкой стоимости такие сервисы очень популярны. Их аудитория оценивается более чем в 4 млрд человек, а объём хранимых данных — порядка экзабайта....

Все блоги / Про интернет

Безопасный PLAINTEXT, или Выжимаем воду из камня в системе безопасности Apache Kafka

Как известно, Apache Kafka позволяет позволяет подключаться к кластеру по разным протоколам. Можно работать без авторизации, используя PLAINTEXT. Поддерживаются также протоколы с безопасностью (SASL_PLAINTEXT, SASL_SSL, SSL), но их использование требует непростой настройки и понимания нескольких...

Все блоги / Про интернет

Угрозы безопасности в DevOps: как интегрировать ИБ в процесс разработки?

По мере того, как компании переходят на практику DevOps для ускорения разработки и развертывания программного обеспечения, они неизбежно сталкиваются с множеством угроз информационной безопасности. Слияние процессов разработки (Dev) и эксплуатации (Ops) направлено на улучшение взаимодействия,...

Все блоги / Про интернет

Spring Cloud Gateway + Keycloak: полноценный пример

Всем привет! Сегодня мы посмотрим, как сделать полноценную интеграцию api шлюза spring cloud gateway и keycloak, так как мне показалось, что тема недостаточно раскрыта. С небольшими оговорками этот пример можно использовать в реальных продакшн условиях. Читать далее...

Все блоги / Про интернет

BlackLotus UEFI bootkit. Часть 2

Приветствую вас, дорогие читатели! Сегодня мы продолжим изучать BlackLotus UEFI bootkit. В прошлой части мы рассмотрели темы: В предыдущей части мы выполнили следующие шаги: 1. Подготовка тестового стенда. 2. Запуск CVE-2022-21894 (baton drop). В этой части мы сосредоточимся на следующих шагах: 3....

Все блоги / Про интернет

Назад