[Перевод] HTTP Request Smuggling на business.apple.com и других сайтах
Около года назад Apple произвела фурор в баг-баунти сообществе, привлекая внимание различными эксплойтами и честной таблицей наград. Я взялся за дело и обнаружил критические проблемы связанные с Request Smuggling, которые затрагивали ключевые веб-приложения в инфраструктуре Apple. Я выявил проблемы...
[Перевод] Как новые ИИ-агенты трансформируют атаки с использованием похищенных учетных данных
Атаки с использованием похищенных учетных данных оказали огромное влияние в 2024 году, подпитываемые порочным кругом заражений инфостилерами и утечек данных. Но ситуация может усугубиться еще больше с появлением "Компьютерных агентов" (Computer-Using Agents) – нового типа ИИ-агентов, которые...
Сборка ядра Android и модулей aircrack-ng
Думаю, кто читает эту статью, сталкиваются с проблемой драйверов для внешних устройств, в частности Wi-Fi адаптеров, таких как Alfa, TP-Link и других на чипсетах RTL. Здесь я опишу принципы компиляции ядер Samsung с использованием системы сборки Soong для Android-устройств, а также расскажу, как...
Как реализовать пакетную подпись PDF-документов
Автоматическое подписание документов электронной подписью используют там, где требуется пакетная подпись документов без участия сотрудника. Это могут быть как небольшие сайты, например по продаже билетов в театр и музей, или порталы с онлайн-обучением при отправке сертификатов о прохождении курсов,...
Как применять трендвотчинг на пользу кибербезопасности
Кибербезопасность — стремительно развивающаяся сфера. Она меняется с той же скоростью, что и сами цифровые технологии. Ежедневно появляются новые угрозы, а вслед за ними и методы защиты, технологии, которые определяют будущее индустрии. Понимание текущих и грядущих трендов отрасли на уровне...
Зачем вашему проекту нужен java.policy?
Привет, меня зовут Валерия, я работаю Java-разработчиком в компании SimbirSoft. В этой статье я расскажу вам о java.policy: что это, зачем его использовать и как подключить к проекту. В некоторых проектах к исполняемому программному коду отдел информационной безопасности предъявляет повышенные...
Эффективное управление контентом SOC: рассказываем про SDL Content Manager
Cтатья будет полезна для тех, кто работает в центре кибербезопасности (Security Operation Center, SOC) или планирует его построить. Я расскажу о том, как мы решили нетривиальные задачи контент-менеджмента и какие технологии для этого применялись. Читать далее...
Руководство по выбору SOC: на что обратить внимание
Привет! Меня зовут Михаил Климов, я руководитель команды SOC в компании RED Security. Хочу поговорить про выбор SOC (Security Operation Center) — центра реагирования на инциденты информационной безопасности (ИБ). Вопрос актуален как никогда: в последнее время половина ленты Хабра посвящена...
Сканнер уязвимостей rkhunter. Базовое сканирование rkhunter + базовая настройка программы
В моей сегодняшней статье я затрону простейший пример использования и настройки сканера rkhunter И для любителей писать гневные коментарии я скажу одно - я публикую только те примеры, которые я сам лично пробую на практике, то есть я делюсь своим опытом установки, использования и настройки ПО, не...
Информационные системы и цифровой суверенитет: стоит ли бояться зависимости от западных решений?
В современную эпоху информационные технологии пронизывают все сферы жизни, от государственной инфраструктуры до повседневной деятельности граждан. Однако использование иностранных IT-решений вызывает серьезные опасения относительно цифрового суверенитета и безопасности государств. Рассмотрим...
[Перевод] Обход 2FA за 12 000 долларов — такой простой, но такой критический
Самая простая, но в то же время наиболее значимая ошибка, которую я нашёл: Это ещё одно из моих старых открытий, которым я делюсь. Иногда самые ценные ошибки не являются самыми сложными. Это история о том, как я заработал 12 000 долларов, обойдя ограничение частоты запросов для перебора кода...
Обучение кибербезопасности. Бесплатное ПО для практики
Продолжаю делиться информацией о своей базе знаний по старту карьеры в кибербезопасности. Судя по всему, предыдущий пост про сайты с практическими заданиями, людям пришёлся по душе, поэтому, сегодня продолжим разговор о практике... Итак, вы потренировались на сайтах, которые иммитируют самые...
Как разоблачить нейросеть: 6 признаков, что текст написал ИИ
Эксперты пишут посты с помощью ИИ, на сайтах знакомств вам может отвечать алгоритм, а студенты и школьники используют нейросети для докладов. Умение отличать машинный текст от живого поможет понять, стоит ли доверять статье в интернете, и избежать фейковых новостей. Привет! Меня зовут Катя, и...
Топ новостей инфобеза за февраль 2025 года
Всем привет! Ушедший месяц отметился множеством интересных новостных поводов, так что давайте подводить его итоги. Главным событием февраля, конечно, стал взлом Bybit на рекордную сумму. Тем временем в Штатах департамент Doge поверг в шок всю местную бюрократию, затронув и ИБ-сектор, а в отношениях...
Когда спрятать недостаточно: как устроены атаки на системы тайной передачи информации
Стеганография — древнее искусство сокрытия информации, которое обрело новую жизнь в цифровую эпоху. В отличие от криптографии, где мы шифруем содержимое сообщения, стеганография прячет сам факт существования секретной информации. Представьте: вы отправляете безобидную фотографию в социальной сети,...
Вас вычислили. Или еще нет? Гаджеты для тех, кто хочет исчезнуть
В погоне за анонимностью производители гаджетов предлагают все более изощренные решения: смартфоны с «честно-пречестно» отключаемой камерой, устройства для шифрования сообщений и даже смартфоны, которые обещают защитить вас от слежки через Wi-Fi. Но действительно ли они выполняют свои обещания? Или...
(Не) безопасный дайджест: хакерско-инсайдерские комбо, DeepSeek нараспашку, милостивый Apple
Февраль – все, значит пришла пора узнать, что интересного произошло за последнее время в мире ИБ. Как обычно, выбрали новости на свой вкус: и те, что все обсуждали (подсобрали деталей и нашли мораль), и те, о которых вы могли ничего не слышать (зато свежо и весело). Под катом – о том, где грань...
Ультимативный гайд по составлению резюме для кибербезопасников
Сколько в мире людей, столько и мнений касательно того, что, как и где стоит указывать в своем резюме. Но никто не будет спорить с объективной реальностью, в которой этот инструмент необходим для того, чтобы найти себе работу. Так вот, настало время почитать не просто очередное мнение очередного...