Уроки истории: Первое в мире киберпреступление — червь Морриса
История развития компьютеров: эволюция и уязвимости Изобретение компьютера провозгласили поворотным пунктом в истории человечества. Он обещал упростить сложные задачи, повысить эффективность и совершить революцию в области коммуникации. Первые разработчики рассматривали его как шаг к светлому...
OpenVPN & i2pd: VPN через I2P (часть 2)
В предыдущей статье я описал как сконфигурировать wireguard для работы через I2P. Эту статью можно считать копией с тем отличием, что будем использовать OpenVPN. Желание попробовать OpenVPN в конфигурации "VPN over I2P" не случайно: в i2pd работа с TCP-туннелями сделана на порядок лучше, чем с UDP...
Топ новостей инфобеза за декабрь 2024
Всем привет! Закрываем год нашим традиционным дайджестом новостей. Декабрь выдался богатым на инфоповоды о спайвари: засветилась Pegasus по выигранному Whatsapp делу, её конкурент Paragon выкуплен США, развернулся очередной скандал в Сербии, и обнаружили неизвестное китайское шпионское ПО. Помимо...
Изоляция процессов и минимизация привилегий: использование Linux namespaces и seccomp
По статистике, каждые 39 секунд в мире происходит кибератака. Задумайтесь об этом на мгновение. А теперь представьте, что процессы на сервере работают как супергерои, готовые к борьбе с внешними угрозами. Но только если они не захотят стать злодеями. Что если один из процессов решит, что ему по...
Сложность биометрической идентификации монозиготных близнецов
Представьте зал суда. Прокурор с гордостью представляет неопровержимые, как ему кажется, доказательства: отпечаток пальца, запись с камеры наблюдения, ДНК-экспертизу. Всё сходится идеально, виновность очевидна. И тут адвокат, заявляет: «Ваши доказательства подходят и к его брату-близнецу»......
[Перевод] Как я нашел RCE уязвимость в API-эндпоинте
За время моего пути в баг-баунти я сталкивался с различными интересными уязвимостями, но эта превзошла их все — уязвимость удаленного выполнения кода (RCE) в API-эндпоинте на языке R. Проэксплуатировав ее, мне удалось получить доступ к важным системным файлам и даже установить reverse shell на...
Технологии решают: про Web3, автоматизацию, кванты и российский open source
Уходящий год отчетливо дал понять, что в ближайшее время тренды на рынке кибербезопасности будут диктовать технологии. Блокчейн и искусственный интеллект все глубже проникают в бизнес- и государственные процессы, однако четких механизмов работы с ними все еще нет. Это формирует пространство для...
В кино сплошная ложь: почему позаимствованный глаз босса не откроет хранилище
Мы все видели, как в голливудских блокбастерах герои легко обходят системы безопасности, используя поддельные отпечатки пальцев или маски. Но насколько это соответствует действительности? Сравним киношные клише с реальными технологиями биометрической аутентификации. Узнаем, какие угрозы...
Как атакуют системы 1С: серверные элементы
Мы - ЛианМедиа и на протяжении 5-ти лет информационная безопасность наша главная специализация! В этой статье мы раскрываем тему уязвимостей в 1С на desktop версиях. В прошлой статье мы поделились с вами о практике пентеста приложения 1С для клиентских версий, в этот раз мы поделимся опытом об...
Что нужно учесть на старте, чтобы сделать облако безопасным
Привет! Я Виктор Бобыльков — CISO MWS. В этой статье расскажу, как обезопасить облако физически и инфраструктурно, как правильно использовать Red Teaming, чтобы натренировать Security Operation Center, и спасти клиентов от кибератак. Читать далее...
Как приготовить обфускацию в JavaScript и не сжечь лабораторию: AST, babel, плагины
Вероятно каждый программист или компания, сталкивались с мыслями о своей крутости или хотя бы крутости своих алгоритмов 😎. Разумеется, в этом случае может возникнуть соответствующее нежелание делиться разработками с широкой аудиторией. Данная проблема минимизируется переносом части кода на сервер...
Секреты в Java-сервисах на Spring: где брать и как обновлять
Привет, Хабр! Меня зовут Андрей Чернов, я Java‑архитектор в СберТехе, где разрабатываю архитектуру микросервисов. Сейчас я расскажу про нюансы работы с секретами в Java‑сервисах на всеми любимом Spring Boot и про наш опыт такой работы. В современном мире практически не осталось автономных, ни с чем...
Борьба со спамом и мошенничеством или почему не надо блокировать голосовые звонки в мессенджерах
Борьба со спамом и мошенничеством или почему не надо блокировать голосовые звонки в мессенджерах Несколько дней назад на Коммерсант Ру пояилась новость https://www.kommersant.ru/doc/7402091 Минцифры и Роскомнадзор обсуждают ограничения на звонки в мессенджерах Как стало известно «Ъ», Минцифры и...
Два столпа Linux мониторинга
И снова здравствуйте! Продолжаем наш цикл статей о методах сбора данных (Прошлые статьи здесь и здесь). В данной (третьей) статье опубликована сжатая аналитика по двум технологиям сбора на Linux Endpoint на основе проработки наших продуктов по лог-менеджменту и сбору событий. Читать далее...
Харденинг zVirt: защищаем виртуальную среду от хакеров
Один из наших клиентов поделился деталями атаки, в результате которой злоумышленники зашифровали диски многих виртуальных машин на его платформах виртуализации. Другой наш партнер рассказал такую историю — некоторые виртуальные машины в его парке начали активно, не характерно для них, потреблять...
Developer-центричный подход в обеспечении безопасности приложений
Привет, Хабр! Меня зовут Нияз Кашапов, я AppSec Lead в Купере. Недавно я рассказывал на ecom.tech Information Security meetup, как выстраивается процесс написания безопасного кода и разбора срабатываний статических анализаторов. Эта статья — изложение моего выступления с дополнительными...
Обзор 8 платформ для виртуализации с сертификацией ФСТЭК: что выбрать?
В последнее время государство усилило требования к информационной безопасности. Это коснулось государственных информационных систем, критической инфраструктуры и систем обработки персональных данных. Теперь компаниям приходится выбирать между двумя вариантами защиты виртуальной инфраструктуры:...
Awareness? Да кому это вообще нужно?
Проблема — налицо: рынок специалистов по awareness в России почти пуст, а сами компании не всегда понимают, зачем это вообще нужно. Также неплохо было бы понимать, что мы хотим от специалистов по awareness и какими качествами он должен обладать. Но давайте по порядку. На данную тему буду рассуждать...