Сыграем в ещё одну игру, дорогой друг?
Не прошло и года, а у нас уже вовсю идёт новый хакерский квест. В этот раз мы не стали делать явного анонса и пошли по более интересному пути, с привлечением аудитории извне. Рояль, азот и котики показался нам слишком простым и было принято решение немного усложнить задачу :) Вы думаете, что квест...
Путешествие по камням, или Как мы скрестили криптошлюзы S‑Terra с Ansible для автоматизации конфигурирования устройств
Однажды моей команде довелось организовывать несложную кустовую схему шифрования для компании, у которой было более 2,5 тысяч офисов продаж и около ста региональных центров. Всё техническое описание решения легко излагалось в таблице Excel размером 2 800 строк на 25 столбцов, но где было взять...
Как российским компаниям соответствовать требованиям закона о защите персональных данных Республики Беларусь?
Автор: Прохор Садков, старший аналитик Закон Республики Беларусь № 99-З «О защите персональных данных» был принят 7 мая 2021 года. До этого момента в Республике Беларусь отсутствовал нормативный акт, определяющий порядок обработки и защиты персональных данных (ПДн), а было лишь определение ПДн и...
Формальная верификация в информационной безопасности. Как пройти сертификацию во ФСТЭК
В связи с выходом приказа ФСТЭК России № 76 от 02.06.2020 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» создание и доказательство безопасности формальных...
Обход аутентификации и способы выполнения произвольного кода в ZABBIX
В этой статье мы поговорим о некоторых атаках на систему мониторинга Zabbix и рассмотрим сценарии удаленного выполнения кода (RCE). Нередко на пентестах встречаются устаревшие версии Zabbix, или Zabbix с дефолтными или словарными паролями администраторов (а иногда и все вместе). В таких случаях...
Как получить пароль WPA2 WiFi с помощью Aircrack-ng?
Друзья, всех приветствую! В этой статье я покажу вам как использовать airmon-ng (скрипты из пакета aircrack-ng) для обнаружения беспроводных сетей вокруг нас. Затем мы деаутентифицируем клиентов определенной беспроводной сети, чтобы перехватить handshake, а затем расшифруем его, чтобы найти пароль...
Жизнь за пределами Metasploit Framework, сравниваем альтернативы
ДИСКЛЕЙМЕР: Внимание! Вся представленная ниже информация предназначена только для ознакомительного изучения. Автор не несет никакой ответственности за любой причиненный вред с использованием изложенной информации. Читать далее...
Оценка рисков информационной безопасности по методике Facilitated Risk Analysis Process
Мы продолжаем серию обзоров методик оценки рисков информационной безопасности (далее – ИБ), и сегодняшний выпуск будет посвящен методике Facilitated Risk Analysis Process (далее – FRAP). Автор: Евгений Баклушин, старший аналитик УЦСБ Почему FRAP? Методика FRAP ориентирована на качественную оценку...
Манифест информационной безопасности
Когда в какой-либо индустрии происходит технологический скачок, мы быстро к этому привыкаем и уже с удивлением и легким ужасом вспоминаем “как оно было раньше”. Рынки развиваются в сторону максимального упрощения бизнес-процессов и автоматизации. Еще буквально 10-15 лет назад рутинные действия,...
Битва за ресурсы: особенности нелегального криптомайнинга в облачных сервисах
Концепция майнинга криптовалюты проста: это использование вычислительных ресурсов для выполнения сложных задач, которые приносят доход в виде криптовалюты. Если выручка от продажи криптовалюты меньше затрат на электроэнергию и инфраструктуру, то подобная деятельность не имеет смысла. Всё меняется,...
Проект RISK: как мы управляем уязвимостями эффективно
Мы серьёзно подходим к вопросам информационной безопасности наших продуктов: бережно относимся к пользовательским данным и разрабатываем сервисы с учётом требований информационной безопасности (ИБ) и публичных стандартов по разработке безопасных приложений. К сожалению, при этом всё равно могут...
Эволюция системы безопасности Android или как защищается система сегодня
С ростом популярности операционных систем, растет также и необходимость в обеспечении безопасности системы. С каждым днём количество атак увеличивается, а каждое обновление несет в себе новые «дыры» в системе безопасности. Я Анастасия Худоярова, ведущий специалист по безопасной разработке в...
Защита от всплесков при агрегации трафика в пакетных брокерах
Современный подход к подключению средств мониторинга и информационной безопасности к сетевой инфраструктуре предполагает использование ответвителей трафика и брокеров сетевых пакетов. Для обеспечения полной видимости трафика в сети (главное условие корректной работы систем мониторинга и адекватных...
Топ 5 самых громких событий инфосека за февраль 2022
Привет! Сегодня публикуем слегка запоздавший дайджест значимых событий за февраль 2022-го года. Последние недели ИБ-специалисты не спят, они мониторят новости и иного плана. В нашем сегодняшнем материале цифровые войны на постсоветском пространстве, биометрические прения, новости по легендарному...
Подбор ключей симметричного алгоритма шифрования DES методом дифференциального криптоанализа
В данной статье я хотел бы познакомить читателей с методом дифференциального криптоанализа на примере алгоритма DES. Конечно, этот алгоритм шифрования уже давно устарел, но я считаю, что этот пример будет полезен для начинающих. При использовании описанного алгоритма время вычисления ключа будет...
Сервис Гео-IP по версии Zyxel: зачем нужен, функциональность, как настроить?
Привет, Хабр! Сегодня в статье расскажу о недооценённом и малоизвестном сервисе информационной безопасности в межсетевых экранах (МСЭ) Zyxel VPN / ATP / USG Flex. Называется он Geo Enforcer (Гео IP). С прошлого года, ориентировочно с версии 5.10 он стал бесплатным, не требует лицензию и процедур...
Все, что нужно знать про «Broken access control»
В минувшем году OWASP обновил список TOP-10 самых распространенных векторов атак на современные веб-приложения. Этот список претерпел ряд изменений по сравнению с его последней редакцией, которая была в далеком 2017 году. В связи с чем мне бы хотелось рассказать о наиболее серьезной угрозе...
10 лучших бесплатных OSINT-инструментов по версии компании T.Hunter
Приветствую Хабр. На связи T.Hunter. Недавно у нас в офисе разгорелся спор – наберется ли хотя бы 10 сносных и, самое главное, БЕСПЛАТНЫХ инструментов для проведения OSINT? Ну и оказалось, что наберется. Это, разумеется, не топ инструментов, а просто наш небольшой список. Он конечно же не...