Обзор 8 платформ для виртуализации с сертификацией ФСТЭК: что выбрать?
В последнее время государство усилило требования к информационной безопасности. Это коснулось государственных информационных систем, критической инфраструктуры и систем обработки персональных данных. Теперь компаниям приходится выбирать между двумя вариантами защиты виртуальной инфраструктуры:...
Awareness? Да кому это вообще нужно?
Проблема — налицо: рынок специалистов по awareness в России почти пуст, а сами компании не всегда понимают, зачем это вообще нужно. Также неплохо было бы понимать, что мы хотим от специалистов по awareness и какими качествами он должен обладать. Но давайте по порядку. На данную тему буду рассуждать...
(Не) безопасный дайджест New Year Edition: «бот» среди «своих», бусидо против мошенничества, ТБ слитых «снежинок»
За 2024 год мы наблюдали массу громких взломов, утечек, факапов и просто забавных новостей из мира ИБ. Под Новый год традиционно попросили Алексея Дрозда (aka @labyrinth), нашего начальника отдела безопасности, поделиться его личным топом самых запомнившихся ИБ-событий года. (И мемов накидали)...
Incident response XXII века: как PAM-система помогла выявить атаку в прямом эфире
В статье «Reign of king: тактики и инструментарий группировки Obstinate Mogwai» от Центра исследования киберугроз Solar 4Rays есть интересный кейс атаки через подрядчика. Важную роль в этом сыграла PAM-система Solar SafeInspect, установленная у заказчика. Изначально, системы класса Priviliged...
Базовая настройка SAST и DAST для django в gitlab cicd: как быстро внедрить решения по безопасности
Привет, меня зовут Егор и я Tech Lead в компании ИдаПроджект :) Занимаюсь стратегией, процессами и командами в направлении backend разработки. Сегодня расскажу вам о базовой настройке SAST и DAST для django в gitlab cicd. В разработке использование SAST (Static Application Security Testing) и DAST...
MITM атаки
Приветствуем дорогих читателей! Мы продолжаем рубрику статей “Без про-v-ода” посвящённую беспроводным технологиям, атакам на них и методами защиты. В этой статье мы рассмотрим различные инструменты для MITM-атак и проверим актуальность некоторых на сегодняшний день, и на основе этой проверки найдём...
[Перевод] Очки с искусственным интеллектом за 209 долларов: GPT-зрение в реальном времени, 14-часов работы батареи
Инновационная технологическая компания Looktech объединилась с Wenzhou Moveup Optical Co, чтобы создать, технологические и красивые умные очки, превосходящие существующих конкурентов. В очки интегрирован GPT-4o, Gemini и Claude. Что ж, как тебе такое, Адам Дженсен? Читать далее...
Безопасная миграция данных из Vault одной командой
Представьте, что у вас есть Vault и нужно перенести данные из него в другое хранилище. Например, из одного закрытого контура в другой на обычной флешке. Или из одного backend storage в другой. Причём перенести нужно безопасно, не расшифровывая данные в процессе и не раскрывая секреты. В этой статье...
AI-First устройства пока не стали заменой смартфонам
Обзор от аналитического центра red_mad_robot, как компании массово ищут новый формат устройств будущего. В 2024 году на рынке появились AI-First девайсы, чтобы стать персональными помощниками пользователей, облегчить жизнь и заменить смартфоны. Но в результате каждый знаковый проект был обречён на...
Оборотные штрафы за утечку персональных данных
В 2025 году штрафы за утечку информации станут значительно выше. Если раньше за подобные нарушения можно было отделаться несколькими десятками тысяч рублей, то после введения оборотных штрафов, можно потерять от 20 млн. рублей за первое нарушение, до 500 млн. рублей, при повторном. Также, за слив...
Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops
Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и...
Криптография Средних веков: от алхимических шифров до магических квадратов
Среди ярких символов Средневековья — колдуны, ведьмы и алхимики, которые «заклинают и превращают в золото ртуть». Криптография в это время тоже шла рука об руку с магией: взять хотя бы шифры оккультистских сообществ. Что же представляли из себя средневековые шифры? Являлись ли они простой...
Техника безопасности при запуске крупной фичи: баланс между быстрыми метриками и прыжком веры
Практически любой зрелый ИТ-продукт отчасти напоминает неповоротливый механизм, в который сложно вносить глобальные изменения, а предсказать реакцию пользователей на них еще сложнее. Но даже с учетом этого внесение новых крупных фич нередко является единственным вариантом развития продукта. В...
Что делать, когда хочется взломать пароль, крякнуть сенсор и попробовать Python? Ч1: исследуем ёмкостный touch screen
Он ловко держал инструменты и припаивал последний проводок. Весь такой пушистый и красивый. Дымок витиевато поднимался вверх, а в енотской разливался приятный запах канифоли… Однажды нам с Кряком попался симпатичный смартфон. Стало любопытно залезть в него, установить приложения и продолжить...
7 Дыр Я.Директ. Новогодний обзор фишек за которые платишь ты
Ты узнаешь, как настроить склик с одного рабочего места — ровно так, как это делают твои конкуренты. Спам-заявки, битые номера, нулевые визиты — всё это последствие идейного подхода системы защиты. Вот реальные проблемы: - Имя и телефон "его", но заявку никто не оставлял. - Телефон не существует. -...
Развитие Security Proxy. Динамические права
Всем привет! Классический подход к авторизации — когда её контроль помещают внутрь конкретного сервиса в виде статических правил. То есть зашивают в код проверку ролей и прав из JWT‑токена. В первых версиях наших сервисов так и было сделано. Позднее родилась идея снять с них эту нагрузку и передать...
[Перевод] Как OSINT воссоединил двух давно потерявших друг друга солдат
Лица и имена, указанные в этом блоге, являются реальными и используются с их разрешения. Некоторые детали были отредактированы или скрыты, чтобы защитить частную жизнь других лиц. Каждый день ветерана на протяжении почти десяти лет мой друг Билл Стивенс пытался найти и восстановить связь со своим...
Их будут искать с особым пристрастием: 7 документов, которые должны быть на сайте каждой российской компании
Сайт – это лицо компании. Даже если в вашем случае сайт — не площадка для продаж, а дань «тренду», оформлять его в соответствии с требованиями законодательства вы обязаны. Если прогуляться по подвалам онлайн-площадок, можно увидеть настоящие жемчужины околоправовой мысли. Читать далее...