Не отдавайте деньги третьим лицам
По статистике ЦБ РФ более чем 14 млрд руб. похищено за 2022 год. Сумма, достаточно, внушительная, для сравнения бюджет города Тверь на 2022 год составил около 10 млрд руб. Читать далее...
Поговорим о современном ландшафте угроз
Технологии, используемые злоумышленниками, не стоят на месте, они постоянно развиваются и специалисты по информационной безопасности должны быть в курсе изменений, происходящих в хакерском мире. В этой статье мы поговорим о том, как меняется ландшафт угроз ИБ. В качестве источников статистических...
USB HID устройства на службе пентестера. Часть 1
Тестирование на проникновение принято разделять на два вида: техническое тестирование и проверку методами социальной инженерии. У каждого из этих методов есть свои достоинства и недостатки, однако наиболее эффективным методом является совмещение обоих методов. Представьте, вы подключаете флешку,...
Что такое AML и почему важно проверять криптовалюту
За последние 6 лет только через выявленные криптовалютные адреса, связанных с незаконной деятельностью (доходы от дакрнет площадок, программ-вымогателей, мошенничества, терроризма …) прошло около 60 млрд долларов. Некоторые из этих средств проходили процесс "отмывания" через биржи, миксеры, а также...
[Перевод] Один YAML до катастрофы: «детские» ошибки администраторов Kubernetes
Когда речь заходит о безопасности кластеров Kubernetes, вспоминаются сложные методики, выверенные практики, высокий уровень сопровождения. Но так бывает не всегда. Нам встретилась статья, авторы которой изучили множество кластеров и выяснили, что значительная их часть уязвима из-за глупостей,...
Подпись коммитов в git при помощи gpg
В этой статье я расскажу о том, как и зачем подписывать и верифицировать коммиты в git при помощи gpg. Читать далее...
Kiosk (Lock task mode) для Android: польза, кейсы применения и кастомизация
Привет, Хабр! Меня зовут Светлана Палицына, я — Android-разработчик в мобильной команде «Лаборатории Касперского», где мы создаем решения для защиты мобильных устройств. Мои коллеги из Kaspersky уже рассказывали о наборе решений и технологий для управления поведением устройств, известном как Mobile...
LockBit Green — новая версия опасного шифровальщика атакует компании по всему миру
Приветствую, дорогие читатели. Сегодня разговор пойдет о том, что уже давным-давно должно было исчезнуть из нашего мира, — шифровальщики. Думаю, что здесь есть люди, которые помнят целые эпидемии всяких BadRabbit, WannaCry и прочих. Но наш сегодняшний гость немного отличается от серой массы....
[Перевод] Кредитные карты как легаси-система
Если бы кредитная карта была человеком, то уже вышла бы на пенсию. Обычно зарождение этой отрасли связывают с раздачей карт во Фресно в 1958 году. Карты стали настоящим чудом коммерции и превратились в неотъемлемую часть глобальной экономической инфраструктуры, но их работа всё ещё обусловлена...
Что такое формальная верификация
Это обзорная статья, в которой очень поверхностно и не подробно рассказывается о том, что такое формальная верификация программного кода, зачем она нужна и чем она отличается от аудита и тестирования. Формальная верификация — это доказательство с использованием математических методов корректности...
Когда вам достаточно базового файрвола
Безопасность проекта может обрушиться, как в дженге, от одного халатно не закрытого порта. Тысячи ботов обшаривают интернет в поисках таких лазеек, чтобы угнать доступы. Для фильтрации трафика между зонами сети провайдеры внедряют межсетевые экраны (МЭ). Они помогают разграничивать права доступа,...
Импортозамещение NAC: обзор российского решения WNAM
Сегодня расскажем про российскую разработку WNAM от Netams. Мы знакомы с этим вендором много лет, и они заметно выросли после 2022 года. Сейчас это отечественный ACS/NAC-продукт, который является альтернативой ушедшим с рынка импортным решениям. И несмотря на название, реализует авторизацию не...
Администрирование аттестованных объектов информатизации — автоматизированных рабочих мест
Привет! Эта статья для тех, кто начинает свой карьерный путь в сфере информационной безопасности. Рассказываем о том, как администрировать аттестованный АРМ (автоматизированное рабочее место) и наладить безопасность на объекте. Читать далее...
Open Redirect на Яндексе. Часть вторая
А вы уверены, что вы не робот? Капча это проверит! Здравствуйте, дорогие хабровчане. Это вторая часть статьи про уязвимость Open Redirect страницы аутентификации Яндекса. Первая часть здесь. На этот раз я расскажу, как получилось сделать честный редирект на внешний ресурс. Важное примечание: я...
[recovery mode] Библиотека криптования ChaCha20
Современные стандарты разработки пользовательских приложений выдвигают определенные требования к шифрованию информации. Например, документ RFC-7539 содержит подробную и исчерпывающую информацию о том, какие алгоритмы рекомендуется применять и как программировать некоторые из них. Далее предлагается...
Повышаем прозрачность аудита работы в Gitlab
Многие компании выбирающие для себя средства хранения кода и "комбайны" организации процессов CI/CD останавливают свой выбор на Gitlab. С точки зрения небольших и больших организаций, функционала Gitlab вполне хватает, чтоб решать повседневные задачи разработки. Продукт хорошо документирован, имеет...
Слабоумие и отвага. Ленивая безопасность — так ли сильна вера в Google?
Как обеспечить пользователя возможностью зарегистрироваться на твоей платформе в 1 клик? Как не потерять его из-за требований к паролю? Как обеспечить хотя-бы минимальную безопасность, если ты не программист, а «Мамкин» бизнесмен… И правда ли, что Гугл Всемогущ? Мнение дилетанта, который хочет,...
Open Redirect на Яндексе, баг или нет?
Тот самый первый баг, он же и самый известный. Здравствуйте, дорогие хабровчане. Хочу поделиться с вами маленьким кейсом по программе bug bounty Яндекса. Как это обычно бывает, нашёл уязвимость в сервисах компании, написал письмо, дождался ответа, в котором мне сказали спасибо и заявили, что этот...