[Перевод] Чек-лист по разработке облачных приложений. Часть 2 — аспекты безопасности
Всем добрый день, я Станислав Тибекин, CEO компании Nixys. Мы продолжаем серию переводов статей Эяля Эстрина из AWS про особенности создания cloud-native приложений. В этой части обсудим вопросы безопасности. Посмотреть чек-лист...
Встречайте новые функции продукта «ПроAPI Структура» от команды «Вебмониторэкс»
Приветствуем вас, уважаемые пользователи и читатели Хабра! Мы рады представить вам долгожданные функции нашего продукта «ПроAPI Структура» от команды «Вебмониторэкс». Эти функции позволят вам еще более эффективно управлять и оптимизировать ваши API. Речь идет о «Настройке чувствительности»,...
Как выбрать сертифицированную ОС на российском рынке. Часть 3
В завершение цикла статей о выборе сертифицированной операционной системы (Часть 1 и Часть 2) я подготовил для вас короткий чек-лист, который позволит вам выбрать более качественную и безопасную сертифицированную ОС на российском рынке. К чек-листу...
Взломать — не проблема. Почему старая технология взлома до сих пор актуальна для Tesla?
Relay Attack (релейная атака) — давно известный способ взлома автомобилей, притом весьма эффективный. Он применяется для машин со смарт-ключом. В ходе тестирования из 237 различных транспортных средств только три модели авто смогли противостоять атаке такого типа. Компания Tesla, как утверждают...
Как MariadDB поломали экспорт (ERROR at line 1: Unknown command "-") или 17 лет небезопасному MySQL клиенту
Как MariaDB поломала экспорт файлов MySQL в новых версиях и с чем это связано. Расследование, которое изменит ваше мнение о том, что могут SQL файлы и почему их импорт может оказаться небезопасным. Еще один вектор атаки на ваши сервера, который надо учитывать и знать о его существовании. Читаем о...
[Перевод] Как уберечься от кражи репозитория (реподжекинга)
Реподжекинг или захват репозитория / перехват контроля над репозиторием — это особый вид атак на цепочки поставок. В этой статье поговорим о том, что это такое, каков риск и как можно себя обезопасить. Этот тип атаки привлёк мое внимание из-за своего потенциального влияния на программное...
Секретные материалы: удобство (без)опасности
Выбор метода хранения и передачи секретной информации и его настройки могут серьёзно сказаться на общей безопасности инфраструктуры. Наши аналитики Нина Степовик и Виктор Кузнецов рассказали об этом со сцены Positive Hack Days Fest 2, а мы выкладываем видеозапись и дополненную текстовую версию...
Как измерить то, чего не видно: метрики SOC
Привет! Меня зовут Маша, и я являюсь руководителем первой линии Security Operation Center в Ozon. Наша первая линия постоянно выращивает стажёров и растёт. О стажёрах можно прочитать в статье моего руководителя. Но помимо стажёров, растёт и число обязанностей первой линии, которые необходимо...
Играем в защите будущего: как мы обеспечивали безопасность первого международного фиджитал-турнира
С 21 февраля по 3 марта в Казани проходил первый международный фиджитал-турнир «Игры будущего». Зрелищные соревнования на стыке традиционного и цифрового спорта, инновационные дисциплины, более 2000 участников со всего мира — турнир стал по-настоящему уникальным событием. Мероприятие ожидаемо...
Правила в SIEM — легко. Среда для эффективной разработки контента SIEM
Привет, Хабр! Меня зовут Ксения Змичеровская, я системный аналитик в компании R-Vision. Совсем недавно мы выпустили собственный плагин R-Object для работы с R-Vision SIEM. Наш плагин – это полноценная среда разработки с преднастроенными шаблонами объектов, подсветкой синтаксиса, подсказками и...
[Перевод] Как защитить WebSocket соединение при помощи OpenAM и OpenIG
Данная статья является продолжением предыдущей статьи How to Add Authorization and Protect Your Application With OpenAM and OpenIG Stack. Предыдущая статья описывала, как защитить конечные точки приложение, работающие по стандартному HTTP протоколу. В этой статье мы добавим авторизацию на WebSocket...
От студента-новичка до инженера ИБ за 8 месяцев. Мой опыт старта в направлении, которое нравится всем
На дворе лето, и для многих студентов стал насущным вопрос: а куда мне пойти на практику? Хорошая новость в том, что в это же время у большинства работодателей начинаются стажерские программы. В прошлом году я сам искал компанию для старта в карьере, не понимал, с чего начинать, и совсем не ожидал,...
Как анализируют криптографические стандарты и зачем постквантовые алгоритмы без квантового компьютера?
Об этом и о других перспективных направлениях криптографии эксперты компании «Криптонит» рассказали на прошедшей в июне конференции CTCrypt 2024. Читать далее...
Можем, умеем, практикуем. Новый бесплатный курс об информационной безопасности на практике
В Академии Selectel вышел курс «Информационная безопасность на практике». Внутри — инструкции по настройке средств защиты, советы по их использованию и интересные задачи. Узнайте о новых ИБ-инструментах и посмотрите, как их можно применить. Читать дальше →...
Манипуляция временем транзакции в блокчейне Hyperledger Fabric
На Хабре ещё не было статей про безопасность смарт-контрактов блокчейна Hyperledger Fabric. Так что буду первым. Я занимаюсь исследованием безопасности этого блокчейна год. И сегодня хочу рассказать о довольно серьёзной проблеме: манипуляции временем транзакции. Рассмотрим, как атакующий может...
Проектирование безопасного программного обеспечения с учетом целостности
Сегодня мы рассмотрим проектирование безопасного программного обеспечения для обеспечения целостности данных. Как мы можем гарантировать, что наше программное обеспечение спроектировано таким образом, чтобы данные были устойчивы к атакам и не подвергались изменениям? Читать далее...
Отравляем кэш загрузок в Telegram для Android
В фильме “Матрица” есть мемная сцена, когда Нео замечает двух совершенно идентичных чёрных кошек, после чего его спутники говорят о “сбое в матрице”, который тут же выливается в полный расколбас. Пару недель назад я испытал подобное чувство deja vu тогда, когда меньше всего этого ожидал. Мой друг...
Что нового в безопасности пользователей на Android: доклад с Google I/O 2024
Привет, меня зовут Аня, и я Android-разработчица в KTS. В этой статье разберем, какие обновления для обеспечения безопасности пользователей были представлены в докладе Safeguarding user security on Android на Google I/O, и как они отразятся на разработке. Немного вводных по 2023 году: – к...