Разговор с реверс-инженером из PT Алексеем Усановым о его специализации и создании книги по реверс-инжинирингу
Это первый материал по «ИТ‑Пикнику», проходившему 2 сентября 2023 года. Будет отдельный обзорный материал мероприятия, а пока хочу представить интервью с руководителем направления исследований безопасности аппаратных решений компании Positive Technologies (РТ) Алексеем Усановым. Осматривая стенды...
Фаззинг на пальцах. Часть 1: идея, техника и мера
О чем вы думаете, когда слышите слово «фаззинг»? Одни вспоминают о приказе ФСТЭК России № 239, другие — об утилитах с пугающими отчетами, а кто-то и вовсе озадаченно пожимает плечами. Рассказываем, для чего нужен фаззинг, зачем его применять и каким он бывает. Навигация по статье: • Ввод понятия •...
Как мы создаём защищённые автоматизированные рабочие места
Разведчики и люди, занимающиеся промышленным шпионажем, с помощью специального оборудования могут с расстояния в несколько сотен метров перехватить информацию с монитора своей цели. А почти в любую плату компьютера, в кулер или в настенные часы можно встроить устройство перехвата. Вместе с...
Сколько попугаев выдает ваш WAF? Обзор утилит для тестирования
Утилиты для синтетического тестирования чего-либо всегда пользовались популярностью. В памяти сразу всплывают Antutu, CPU-Z, 3DMark… А есть ли что-то подобное, но для тестирования WAF? Меня зовут Вадим, я работаю в Вебмониторэкс, участвую в разработке WAF и немного в разработке софта для его...
Защита от DoS-атак в Carbonio
Ранее мы писали про Postscreen, решение, которое способно защитить почтовый сервер Carbonio от автоматизированных рассылок спама со стороны ботнетов и скомпрометированных почтовых серверов по протоколу SMTP, которые могут создать массу неудобств для пользователей и администратора, и даже привести к...
Короткий путь от джуна до SOC-аналитика
Всем привет, в этой статье мы расскажем, какой путь нужно пройти, чтобы стать высококлассным специалистом SOC (Security Operations Center). Строить карьеру в SOC сегодня перспективно как никогда. Востребованность персонала для центров мониторинга и реагирования на инциденты информационной...
[Перевод] Самые крупные DDoS-атаки нулевого дня на HTTP/2
В августе и сентябре злоумышленники развернули крупнейшие распределённые DDoS-атаки в истории интернета, эксплуатирующие известную уязвимость в ключевом техническом протоколе. В отличие от других серьёзных атак нулевого дня последних лет – например, Heartbleed или log4j – которые вызвали хаос...
Приглашаем на онлайн-митап «Гетерогенность, или Деплой JavaScript туда и обратно»
В четверг, 26 октября, в 17:00 состоится онлайн-митап, посвященный JS-разработке: «Гетерогенность, или Деплой JavaScript туда и обратно». На ивенте расскажем, как мы в «Лаборатории Касперского» развернули несколько веб-приложений в совершенно разных средах на единой кодовой базе, разберем...
«К2 Кибербезопасность», Positive Technologies и Anti-Malware.ru представили совместное исследование о выполнении 187-ФЗ
В Музее криптографии в Москве 12 октября 2023 года прошла презентация совместного исследования подразделения «К2 Кибербезопасность», компании Positive Technologies и портала Anti‑Malware.ru, посвящённого реализации 187-ФЗ «О безопасности критической информационной инфраструктуры Российской...
Demhack 7: применение ChatGPT и борьба с дезинформацией
НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И (ИЛИ) РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+ С 29 сентября по 1 октября 2023 года прошёл онлайн-хакатон Demhack 7. Он объединил русскоязычных IT-специалистов, активистов и...
Что вы могли не знать о продуктовом дизайне в B2B
Как делать дизайн для бизнеса и больших корпораций по всему миру? В чем его отличие от дизайна для В2С? Какие есть особенности? В чем сложности работы и подводные камни? И может ли В2В быть интереснее и увлекательнее B2C? Я заметила, что статей и выступлений о дизайне в В2С намного больше. Даже...
Оса не проскочит: разбираемся в методиках тестирования и сравнения ̶ а̶н̶т̶и̶м̶о̶с̶к̶и̶т̶н̶ы̶х̶ ̶с̶е̶т̶о̶к̶ WAF
Использование WAF для защиты веб-приложений и API уже давно стало необходимостью. И дело тут не только в требованиях регуляторов (152-ФЗ и 187-ФЗ, PCI DSS), но и в здравом смысле, стоит хотя бы посмотреть на количество взломов и утечек за последнее время. На рынке WAF много решений, но как их...
Security Small Talk: новые выпуски коротких роликов для новичков и профи
Мы продолжаем рассказывать просто о сложных решениях из мира ИБ в нашем Security Small Talk. Кто забыл – это короткие Youtube-ролики, которые будут полезны как прожженым ИБ-шникам и ИТ-специалистам, так и тем, кто только начинает свой путь в ИБ. Security Small Talk за 7 минут поможет освежить ваши...
Обновись сейчас! ТОП-5 самых опасных уязвимостей сентября
Обновись сейчас! ТОП-5 самых опасных уязвимостей сентября В этой заметке расскажем о самых опасных уязвимостях сетевого периметра, которые мы в CyberOK отслеживали в сентябре 2023 года. Сегодня в ТОП-5: ● Гонки на Битриксе (BDU:2023-05857); ● Экспериментальный разгласитель почты (ZDI-23-1473 и их...
К2 Кибербезопасность выходит на рынок коммерческих SOC в партнерстве с «Лабораторией Касперского»
К2 Кибербезопасность запускает Центр мониторинга информационной безопасности (Security Operations Center, SOC). Он объединит экспертизу К2 Кибербезопасность в области защиты информации и передовые технологии “Лаборатории Касперского”. Используя платформу Kaspersky Unified Monitoring and Analysis...
Построение сетевой архитектуры на базе криптошлюза S-Terra c инициализацией IPsec на сертификатах
Описание продукта Программно-аппаратный комплекс «С-Терра Шлюз» выполняет функции межсетевого экрана, средства криптографической защиты информации и маршрутизатора. С-Терра Шлюз обеспечивает создание виртуальных защищенных сетей (VPN), защиту транзитного трафика между различными узлами сети, защиту...
«Пофиксил две своих проблемы, а вылезло еще шесть». Честные кейсы наших IT-стажеров
«На стажировке не дают реальных задач», «Тебя и близко к реальному проекту не подпустят!», «Лидам некогда с тобой нянчиться: ошибешься — и на выход!», «Даже если возьмут в штат, все равно будешь „принеси-подай”». Так многие думают про стажировки в IТ-компаниях. Чтобы развеять стереотипы, мы...
Анонимная идентификация для групп
Настоящая публикация состоит из разделов с описанием протоколов анонимной групповой идентификации для двух различных сценариев, анализом криптостойкости ключей и устойчивости к имперсонификации, оценкой количества передаваемой информации, а также оптимизации вычислений и ресурса памяти. Читать далее...