Немецкое качество или как оценивать риски ИБ по BSI-Standard 200-3
Начать стоит с небольшой предыстории. В 1991 году объединенная Германия окончательно избавилась от давления как западных стран, так и Советского Союза. За этим последовали многочисленные пересмотры и реорганизации немецких структур. Одной из них стало Федеральное агентство по информационной...
Самые известные и странные олдовые компьютерные вирусы: Creeper, Elk Cloner и другие
В наши дни всеобщей компьютеризации вирусы стали банальностью наподобие кусачих насекомых. Неприятная и назойливая штука, некоторые могут быть опасными всерьёз — как комар может переносить малярию. В целом же — привычная и обыденная напасть, которой можно с некоторой вероятностью избежать при...
Принуждение к аутентификации. Что это и как защищаться?
В этой статье нападающие узнают, что coerce можно осуществлять не только с 445/tcp порта, а защитники обнаружат, как можно надежно запретить принуждение к аутентификации. Читать далее...
ТОП-25 бесплатных курсов системного администратора 2022 года
Подготовили для вас подборку бесплатных курсов и тренажеров обучения системного администратора. Также на нашем сайте есть раздел со всеми платными курсами системного администратора и отзывами о них — https://katalog-kursov.ru/courses/sistemnaoe_administrirovanie/ Для начинающих, не надо проходить...
[Перевод] Nmap — голливудская звезда
По неизвестным причинам Голливуд считает Nmap главным инструментом хакеров и пихает его во все фильмы со сценами взлома. Впрочем, это куда реалистичнее дурацкой 3D-анимации, которая использовалась в таких картинах, как «Взлом» Гибсона, «Хакерах», или совсем ужасного варианта из «Пароль “Рыба-меч”»....
Open Source: IT-фетиш 21 века
В последние лет 5 часто встречаются в сети красиво изложенные мысли на тему открытых исходников различных приложений. Суть в следующем: «Если код закрыт, то пользоваться приложением нельзя или нежелательно». Ведь если нельзя заглянуть под капот, нет никаких гарантий, что там не спрятан какой-нибудь...
Как проверяют физических лиц в СБ компаний методом OSINT
Чтобы обезопасить себя от влияния «человеческого фактора» и снизить любые риски, связанные с потерей денег или репутации службы безопасности компаний прибегают к различным методам. Как ни крути, а это их прямая обязанность. Если в компанию, скажем, придёт человек, который на прошлом месте работы...
Как найти и устранить IDOR — ликбез по уязвимости для пентестеров и веб-разработчиков
99% того, что я делаю — использование ошибок, которых можно избежать. Сегодня я расскажу про IDOR — одну из самых распространенных и простых в использовании веб-уязвимостей. С ее помощью можно посмотреть чужие фотографии в социальной сети или получить скидку в интернет-магазине, а можно заработать...
[Перевод] Руководство по парольной политике. Часть 1
Руководство по парольной политике. Часть 1 Перевод чрезвычайно полезного документа от большого коллектива авторов. Содержит конкретные рекомендаци и объединяет появившиеся в последнее время руководства по парольной политике в одном месте, с целью создать универсальную парольную политику, которую...
Как мы строили безопасное web приложение на базе WIKI.JS
Особенности и условия Читать далее...
Найти и заблокировать: поиск фишера при помощи Maltego
Команда безопасности REG.RU в работе часто сталкивается с мошенниками, любителями спама, фишинговыми доменами, взломом аккаунтов, попытками угона доменов и т. д. На примере поиска создателя фишинговых сайтов я расскажу, как мы вычисляем подобных нарушителей с помощью Maltego. Читать далее...
Разработчики Chrome снизили приоритет критической уязвимости в Chrome. Вы можете с этим помочь
На днях была новость о том, что в релизной версии Chrome уже какое-то время можно переписать содержимое буфера обмена пользователя. Идиотизма ситуации прибавляет то, что проблема появилось из-за того, что у одного разработчиков не проходили тесты. Сначала на багтрекере проблеме выставили нулевой...
(Не) безопасный дайджест: чем пахнут утечки, дипфейк в Zoom и дворянство за тысячу евро
Август – время, когда многие еще отдыхают, но не мошенники и суды. В нашем традиционном дайджесте – преступление с редким (потому что большим) наказанием, типичные «грабли» и очередной пример того, к чему приводит вера людей сказочным обещаниям. Читать далее...
Сливы данных. Пытаемся прекратить
День добрый Хабр. На данную тему меня натолкнули многочисленные публикации сливов конфиденциальной информации из внутренних баз данных ФНС, ПФР, МВД, которые публикуются пробивщиками по всему рунету. Вероятно, защита конфиденциальной информации у российских чиновников предполагает использование...
За гранью App Store, или Что нового открывает MDM и Supervised для B2B в iOS
Привет! Меня зовут Денис Кудинов, я iOS-Development team lead в «Лаборатории Касперского». В этой статье расскажу об Mobile Device Management, а также о supervised- и BYOD-режимах — как работает технология и что с ее помощью можно сделать такого, что недоступно обычным приложениям из App Store....
Будни отдела внедрения: «Миллиард вопросов, приходят каждый день. Нужно собраться и узнать все на свете»
Привет, Habr! Продолжаем знакомить с нашими сотрудниками (уже был рассказ QA-инженера, который пришел к нам из авиации, разработчика с 30-летним стажем, а здесь – «один день из жизни» специалиста отдела аутсорсинга). Cегодня речь пойдет про отдел внедрения. Мы намеренно стараемся избежать его...
DAST ist fantastisch: отечественный динамический анализатор к взлету готов
Бортовой лог №1, 23.08.20xx. Говорит Денис Кораблёв, капитан одного из научно-исследовательских кораблей Positive Technologies. Я поручил нашему ай-ай открыть шампанское: сегодня вышел из беты DAST-сканер PT BlackBox. Что такое DAST-сканер? Какие функции он выполняет? Почему без него в разработку...
Особенности национальной киберзащиты ОС: избранные доклады OS DAY-2022
Безопасность операционных систем — основная тема девятой конференции OS DAY, которая прошла в июне в «Золотых мозгах», как называют в народе здание Президиума РАН. Говорили о средствах защиты информации внутри российских ОС, делились секретами создания надежных программных сред. Это редкий шанс...