Контроль данных обязательной отчетности: как мы снизили число ошибок в 30 раз
Здравствуйте, меня зовут Даниил и я занимаюсь развитием аналитических систем в банке «Ренессанс Кредит». В этой статье я расскажу о том, как мы создавали систему контроля качества данных для хранилища обязательной отчетности. Такой контроль необходим, чтобы утвердительно ответить на простой, но...
Kali Linux в Windows
С введением подсистемы Windows для Linux (WSL) в Windows 10 появились новые возможности, такие как поддержка Linux дистрибутивов, в частности Ubuntu. В этой статье я расскажу, как с помощью этой подсистемы подключить Kali LInux в Windows среде не используя системы виртуализации. Читать дальше →...
Зачем солить HTTP-коллбэки
Некоторые облачные сервисы хотят двустороннего общения для нотификаций: рассказать вашему backend о завершении долгой операции, показать случившиеся ошибки, предупредить о низком балансе платных услуг — вся вот эта история. И если для общения с сервисами мы привыкли использовать HTTP-запросы, то в...
Риски использования служб виртуальных номеров для приёма смс при регистрации на интернет-ресурсах
Ранее мы уже писали о возможности получения личного номера телефона с помощью анализа и перебора социальных ресурсов и учётных записей. Небольшой обзор ниже рассмотрит обратную сторону медали — риски взлома учётных записей на интернет-ресурсах в случаях, когда имеется доступ к приёму смс — например...
«Падение» LKML.org: причина поломки — старый домашний сервер
По данным отчета The Linux Foundation, с начала Git-эпохи (с 2005 года) в разработке ядра Linux поучаствовали 15 тысяч программистов из 1,5 тыс. компаний. Сегодня разработчики добавляют в систему порядка 7500 строк кода ежедневно, а мажорное обновление ядра выходит каждые 2–3 месяца. Однако все...
(Не)безопасность систем мониторинга: NagiosXI
Сейчас в компании любого размера зачастую используется та или иная система мониторинга, переодически то в одной, то в другой находят уязвимости (которые закрываются патчами) и слабости (на которые закрываются глаза). Сегодня мы поговорим о системе мониторинга NagiosXI и расскажем о способах ее...
Получение личного номера телефона с помощью анализа и перебора социальных ресурсов и учётных записей
В нашу эру информации любая технология, используемая Вами, может быть потенциально использована для атаки. Не исключением является и номер телефона. В рассматриваемом ниже случае мы покажем, как опасно использовать привязку единого номера телефона ко всем учётным записям, используемым в онлайн. Мы...
Защита банкоматов: сложности применения продуктов application control
Изображение: Pexels В последние несколько лет в сфере информационной безопасности сформировался новый класс инструментов защиты операционных систем — application control. Необходимость в узкоспециализированных средствах есть в ситуациях, когда обнаружить зловредное ПО не удается с помощью...
Che Burashka и взлом систем продажи билетов на московские электрички
Приблизительно 17 января группа, называющая себя «Исследовательская группа Che Burashka» опубликовала исследование уязвимости, позволяющее взлом систем продаж билетов на московские электрички. Разработчиком систем является компания Микротех. Какого-либо опровержения от Микротех на данный момент...
Принцип работы потокового шифра с примерами на C#. От Одноразового блокнота до потокового шифра на основе хеш-ф-и и CTR
По ходу статьи, развивая идею «Одноразового блокнота», «изобретем» потоковый шифр на основе хеш-функции. Узнаем, что такое Counter Mode Encription CTR. Знание терминов «хеш-функция» и «Одноразовый блокнот» для чтения не обязательно. Одноразовый блокнот В «Одноразовом блокноте» шифротекст получается...
ГК InfoWatch подвела итоги года
Деятельность группы компаний (ГК) InfoWatch в 2017 году подарила такое количество интересных событий, что только их официальное изложение потребовало бы издать небольшую книжку объемом чуть более 300 страниц. К счастью для издателей, а также для тех, кто не всегда успевает следить за нашими...
[Перевод] Определение аномалий с использованием анализа поведения пользователей
В течение последних 10 лет центры оперативного управления информационной безопасности (Security Operation Center, SOC) и аналитики оперировали такими понятиями как индикаторы компрометации (Indicators of Compromise, IoC), сигнатуры, пороговые (threshold-based) признаки проникновения или попыток...
Защита от DDoS на уровне веб-сервера
Статистика DDoS-атак показывает неизменный рост и смещение вектора с сетевого уровня на уровень приложений. Если у Вас есть небольшой сайт на сервере с минимальными характеристиками, то положить его можно любым вполне легальным средством стресс-тестирования. (Не рекомендую этого никому делать т.к....
Шпоры по сертификатам X.509
Чудище обло, озорно, огромно, стозевно и лаяй. Набор технологий, который мы по привычке именуем сертификатами SSL, представляет из себя здоровенный айсберг, на вершине которого зеленый замочек слева от доменного имени в адресной строке вашего браузера. Правильное название X.509 сертификат, который...
[Перевод] CoffeeMiner: взлом WiFi для внедрения криптомайнера в HTML-страницы
Предупреждение: эта статья и проект имеют исключительно образовательные цели. Несколько недель назад я прочитал этом случае Starbucks, где хакеры взламывали ноутбуки в сети WiFi, чтобы майнить на них криптовалюту. И я подумал, что может быть интересно провести атаку иным способом. Цель этой статьи...
Модели информационной безопасности
Это третья статья в цикле статей по теме «основы информационной безопасности». Описанные ранее вопросы: Часть 1: Виды угроз Часть 2: Информация и средства ее защиты Цена ошибки Немаловажным вопросом является рассмотрение различных моделей информационной безопасности, которые могут применяться при...
Двухфакторная аутентификация — это просто, на примере JaCarta U2F
Сегодня поговорим о стандарте U2F, разработанном ассоциацией FIDO Aliance, участником которой мы являемся, и электронном ключе нашей собственной разработки — JaCarta U2F, и, конечно, покажем несколько примеров его использования. О чем думает человек, услышав упоминание слов типа двухфакторная...
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
На волне новостей чип-апокалипсиса 2018 года, когда взломано почти всё, а сайты мировых брендов сами того не подозревая майнят в наших браузерах криптовалюту, мы решили покуситься на святая-святых и взломать документы подписанные усиленной квалифицированной электронной подписью. И вот что из этого...