Пакуем секреты правильно

Безопасное хранение и передача секретов (токенов, паролей и т.п.) между пользователями и сервисами – это один из вызовов, с которыми сталкиваются разработчики и DevOps инженеры. Традиционные централизованное хранение в менеджерах паролей, например, полностью проблему не решает, а лишь смещает её в...

Все блоги / Про интернет

Google Dorking. Если ты сотрудник СБ компании

Про Google доркинг написано и сказано много. Косвенно данной темы мы касались в статье: как проверяют физических лиц в СБ компаний методом OSINT. Ну и самой, на мой взгляд, толковой статьей на просторах Хабр по вопросу доркинга является статья: Google Dorking или используем Гугл на максимум. В...

Все блоги / Про интернет

Как построить Security Сenter для Kubernetes-платформы

Эта статья будет полезна специалистам по безопасности и DevSecOps, платформенным командам и DevOps, и вообще всем, кто сталкивался или может столкнуться с более, чем одним кластером Kubernetes в продакшене. За основу взято выступление Алексея Миртова на HighLoad++ Foundation 2022. Он является...

Все блоги / Про интернет

5 шагов до крупного заказчика: что сделать SaaS-приложению, чтобы начать работать с enterprise

Привет, Хабр! Меня зовут Андрей, в Selectel я руковожу отделом продуктов клиентской безопасности. Мы предоставляем и развиваем защищенную IT-инфраструктуру, помогаем клиентам хранить данные в соответствии с лучшими практиками и стандартами. Мы видим, что число компаний, разрабатывающих...

Все блоги / Про интернет

Что принципиально поменялось в ИБ

Ситуация меняется буквально на лету — а с ней так же стремительно меняется и нормативка. За два последних года это активно коснулось всех основополагающих законов: о защите информации, персональных данных, критической инфраструктуры, электронной подписи. Вместе с ними меняются или уточняются и...

Все блоги / Про интернет

PAM: Когда нужно запустить безопасную работу с чем-то действительно очень важным

Привет, Хабр! Сегодня мне хотелось бы поговорить о том, как можно контролировать облачного провайдера или внешних подрядчиков, если речь идет о работе с действительно важными и даже критически важными ИТ-системами. В этом посте речь пойдет про решение категории PAM, а также о сценариях его...

Все блоги / Про интернет

Лампы GP из магазина Пятёрочка

В магазинах Пятёрочка по всей России появились в продаже светодиодные лампы GP. Я изучил их и протестировал. Читать дальше →...

Все блоги / Нетбуки и Планшеты

От взлома Firefox до подготовки к Апокалипсису. Как польский хакер Михал Залевски попал в «Матрицу»

Как говорят философы, лучший код — код, которого нет или который не нужно поддерживать. Эта мудрость объясняет, почему некоторые выдающиеся разработчики не пишут много нового кода, а наоборот — ставят целью поиск и удаление лишнего. К ним относится хакер-самоучка Михал Залевски (Michal Zalewski),...

Все блоги / Про интернет

Обзор изменений в законодательстве за октябрь 2022

В обзоре изменений за октябрь 2022 года рассмотрим: поручения о размещении согласий субъектов персональных данных на Госуслугах, назначение оператора единой биометрической системы и законопроект о системе, порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ...

Все блоги / Про интернет

[Перевод] Система типов — лучший друг программиста

Я устал от одержимости примитивами и от чрезмерного использования примитивных типов для моделирования функциональной области. Значение в string не лучший тип для записи адреса электронной почты или страны проживания пользователя. Эти значения заслуживают гораздо более богатых и специализированных...

Все блоги / Про интернет

Эффективная защита RDP «на минималках» ч.2

В поисках самого простого и бесплатного (или максимально дешевого) способа защиты RDP предлагаю добавить известный многим IPBAN от Jeff Johnson: https://github.com/jjxtra. Единственный замеченный минус - у меня, почему-то, не зависимо от того указываю я 3 попытки для блокировки или 5 - всё равно...

Все блоги / Про интернет

Дайджест недели от Apple Pro Weekly News (31.10 – 06.11.22)

Грядёт дефицит iPhone 14, в магазинах Apple стартовал праздничный сезон, Евросоюз заставит допустить на iOS сторонние магазины приложений, ряд моделей компьютеров Mac устарели и как получить подписку на киносервис от Apple бесплатно. Это новый выпуск дайджеста Apple Pro Weekly News, погнали к...

Все блоги / Нетбуки и Планшеты

Сертификаты Apple. Понимание. Что это и зачем вообще нужны?

Сертификаты, ключи, доступы, безопасность - всё очень запутанно. Многие из нас просто знают, как решать большинство ошибок, связанных с этим, либо могут это быстро нагуглить. Сегодня хотелось бы постараться углубиться в данную тему в рамках Apple и понять, почему все так работает. Меня зовут Макс...

Все блоги / Про интернет

Security Week 2245: утечка кода из Dropbox

На прошлой неделе мы рассказывали про результаты расследования инцидента в компании Twilio. Аналогичный отчет недавно опубликовала компания Dropbox. Эта атака примечательна тем, что она была нацелена непосредственно на разработчиков внутри организации. Соответственно, результатом атаки стала...

Все блоги / Про интернет

Kerberoasting для Red Team

Тестирование на проникновение Active Directory – зрелище не для слабонервных. Стоит только взглянуть на дорожную карту Пентеста Active Directory: “Active Directory Penetration Mind Map” как сразу становится ясным то, что это вовсе не «легкая прогулка». Тем не менее, к настоящему времени...

Все блоги / Про интернет

[Перевод] PayPal позволяет обходить 2FA нажатием одной кнопки — и утверждает: «Это сделано для вашей защиты»

Сегодня утром меня разбудили неожиданные SMS Кажется, я поделился своим кодом. Странно. Не припоминаю, чтобы я пользовался PayPal во сне. Однако такое происходит. Кто-то периодически вводит ваш email на сайте и нажимает «Forgot password». Подробности — к старту нашего курса «Белый хакер». Читать...

Все блоги / Про интернет

Топ самых громких событий инфосека за октябрь 2022

Всем привет! В преддверии наступающих холодов в эфире наш традиционный дайджест самых горячих новостей инфобеза за октябрь. Сегодня у нас в программе утечка данных от Microsoft, ядерный хактивизм из Ирана, инновационные эксплойты от мира киберпреступности и пара громких арестов звёзд хакерской...

Все блоги / Про интернет

Приручение черного дракона. Этичный хакинг с Kali Linux. Часть 6. Постэксплуатация. Способы повышения привилегий

Приветствую тебя, дорогой читатель, в шестой части серии статей «Приручение черного дракона. Этичный хакинг с Kali Linux». В прошлой статье мы рассмотрели основные методы эксплуатации уязвимостей в Linux и Windows системах при помощи модулей фреймворка Metasploit. Поговорили о таких вещах как типы...

Все блоги / Про интернет