[Перевод] Zane Lackey: “Не следует инвестировать в безопасность, только чтобы соответствовать требованиям закона”
Роль руководителя по информационной безопасности постоянно повышается, переходя от традиционного «сторожа» к более универсальному общекорпоративному куратору вопросов безопасности. Сегодня наш гость – это Зейн Лаки (Zane Lackey), один из наиболее важных «белых» хакеров в мире, автор таких книг как...
«Не влезай, убьет!» или вся правда о безопасности АСУ ТП
Больша́я часть наших заказчиков — это промышленные и производственные компании. Каким бы крупным и значимым ни был фронт-офис и корпоративная сеть подобных компаний, основной их бизнес — непосредственно производство, а также связанные с ним задачи и процессы. И зачастую, решая с заказчиками задачи...
Key transparency & Coniks для защиты структур данных
Нас, как организаторов конференций для разработчиков, не обошел стороной мощный поток развивающейся технологии Blockchain. На осеннем Highload++ было несколько докладов, касающихся технологических особенностей и способов применения этой технологии в различных задачах. Под катом расшифровка доклада...
Chrome 68 будет помечать все сайты HTTP как «небезопасные»
Google и Mozilla давно агитируют за повсеместное шифрование веб-трафика и установку сертификатов SSL/TLS. В 2013 году по инициативе Mozilla создана организация Internet Security Research Group, которая в 2015 году запустила сервис Lets's Encrypt по автоматической выдаче бесплатных сертификатов...
Этика поиска и исследования уязвимостей
«It seemed that when people entered the computer center they left their ethics at the door» Donn Parker, «Rules of Ethics in Information Processing», 1968 «Кажется, что, когда люди вошли в компьютерный центр, они оставили свою этику у двери» Донн Паркер, «Правила этики в обработке информации», 1968...
Пятничное: Безопасность и парадокс выжившего
Давайте поговорим о безопасности. С начала 2018 я собрираю отчеты о взломах в криптопроектах. За это время поступила информация о кражах почти на миллиард долларов. Одна лишь биржа coincheck проспонсировала кого-то на ~500 миллионов. На некоторых биржах до сих пор нет двухфакторной авторизации, а...
Знаковый символ: iOS denial of service
В операционной системе iOS обнаружен необычный баг, приводящий к перезагрузке устройства. Достаточно прислать на iPhone специальный знак из алфавита индийского языка телугу జ్ఞా («знак»), после чего устройство автоматически перезагружается. Читать дальше →...
Основные практики обеспечения безопасности iOS-приложений
При разработке любого мобильного приложения, обрабатывающего пользовательские данные, важно уделить внимание безопасности. Особенно остро этот вопрос стоит для приложений, где фигурируют ФИО, номера телефонов, паспортов и другая личная информация. Наша компания разрабатывала и продолжает развивать...
Security Week 4: Боты для фанатов GTA, вредоносные аддоны для Chrome с технологиями Яндекса
Новость на русском, подробности на английском Недавно был обнаружен новый IoT-ботнет, созданный, по всей видимости, большим фанатом GTA: командный сервер размещен в домене фанатских мультиплеерных модов для GTA San Andreas. Помимо хостинга самопальных серверов «Сан-Андреаса», на сайте можно...
[Перевод] Поговорим о юзернеймах
Пару недель назад я выпустил django-registration 2.4.1. Сборки 2.4.x станут последними в версии django-registration 2.x, дальше будут выходить только исправления багов. Основная ветка сейчас готовится к версии 3.0, откуда планируется удалить кучу устаревшего хлама, накопившегося за последнее...
Три необычных примера использования блокчейна
Высказывания о том, что блокчейн исключительно про ICO, криптовалюты, финансовую индустрию, банкинг и создание публичных открытых сетей, начинают терять свою значимость. Например, количество пилотных проектов, проведённых компанией IBM с партнёрами из самых разных отраслей уже в 2016 году достигло...
Check Point DEMO или как быстро посмотреть интерфейс управления
Лучший способ определить подходит ли вам то или иное решение — протестировать. “Пилотный” проект является идеальным вариантом и мы рекомендуем его всем своим клиентам и партнерам. Если говорить о Check Point, то самый простой способ — Check Point Security CheckUP. Мы уже писали об этом (часть 1,...
Настройка Zones в Solaris 11.3
Введение Моё первое знакомство с контейнерной виртуализацией было с jail в FreeBSD, данный подход позволяет изолировать различные службы в безопасном окружении. Недостаток jail в том, что в нём нет возможности создать собственную сетевую подсистему, в отличии от Zones Solaris. В данной публикации...
Equifax снова под ударом: прошлогодняя утечка данных оказалась куда серьезнее
В прошлом году бюро Equifax сообщило о масштабной кибератаке, в результате которой были похищены персональные данные 140 млн жителей Соединенных Штатов. Хакеры получили доступ к именам, адресам, номерам социального страхования и кредитных карт. Однако на прошлой неделе стало известно, что...
Кибербезопасность или (Don’t) Wannacry, Petya
О потерянных этапах кибербезопасности Счастлив тот, кто услышав о своих недостатках, может исправиться (с) У. Шекспир Вирусы криптовымогатели, плагины майнинга, фишинговые мобильные приложения все чаще показывают нам, на что они способны и на что мы не способны. При внедрении систем...
The Browser Exploitation Framework Project: от XSS до полного контроля
BeEF (сокращение от Browser Exploitation Framework) – платформа для эксплуатации клиент-сайд уязвимостей, таких как XSS (cross-site scripting). Эксплуатации XSS уязвимостей зачастую уделяется мало внимания, т.к. вектора атаки нацелены на пользователей веб-приложения, а не на веб-приложение или...
Отчёт Центра мониторинга информационной безопасности за II полугодие 2017 года
C начала 2018 года мы переходим на полугодовой цикл публикации отчётов Центра мониторинга нашей компании. Данный отчёт охватывает период с июля по декабрь 2017 года. Под катом о том, почему событий стало меньше, а инцидентов — больше. Читать дальше →...
Одна CNAME запись и вы попрощались с вашими данными из G Suite
Недавно здесь на Хабре писали про угон всего поискового трафика через сервис для вебмастеров Яндекса, а сегодня пришла очередь Google. К счастью, в этот раз вы рискуете попрощаться не с поисковым трафиком вашего сайта, а всего лишь со всеми вашими данными, включая письма, файлы и контакты. Вектор...