(Не) безопасный дайджест New Year Edition: «бот» среди «своих», бусидо против мошенничества, ТБ слитых «снежинок»
За 2024 год мы наблюдали массу громких взломов, утечек, факапов и просто забавных новостей из мира ИБ. Под Новый год традиционно попросили Алексея Дрозда (aka @labyrinth), нашего начальника отдела безопасности, поделиться его личным топом самых запомнившихся ИБ-событий года. (И мемов накидали)...
Incident response XXII века: как PAM-система помогла выявить атаку в прямом эфире
В статье «Reign of king: тактики и инструментарий группировки Obstinate Mogwai» от Центра исследования киберугроз Solar 4Rays есть интересный кейс атаки через подрядчика. Важную роль в этом сыграла PAM-система Solar SafeInspect, установленная у заказчика. Изначально, системы класса Priviliged...
Базовая настройка SAST и DAST для django в gitlab cicd: как быстро внедрить решения по безопасности
Привет, меня зовут Егор и я Tech Lead в компании ИдаПроджект :) Занимаюсь стратегией, процессами и командами в направлении backend разработки. Сегодня расскажу вам о базовой настройке SAST и DAST для django в gitlab cicd. В разработке использование SAST (Static Application Security Testing) и DAST...
MITM атаки
Приветствуем дорогих читателей! Мы продолжаем рубрику статей “Без про-v-ода” посвящённую беспроводным технологиям, атакам на них и методами защиты. В этой статье мы рассмотрим различные инструменты для MITM-атак и проверим актуальность некоторых на сегодняшний день, и на основе этой проверки найдём...
Безопасная миграция данных из Vault одной командой
Представьте, что у вас есть Vault и нужно перенести данные из него в другое хранилище. Например, из одного закрытого контура в другой на обычной флешке. Или из одного backend storage в другой. Причём перенести нужно безопасно, не расшифровывая данные в процессе и не раскрывая секреты. В этой статье...
Оборотные штрафы за утечку персональных данных
В 2025 году штрафы за утечку информации станут значительно выше. Если раньше за подобные нарушения можно было отделаться несколькими десятками тысяч рублей, то после введения оборотных штрафов, можно потерять от 20 млн. рублей за первое нарушение, до 500 млн. рублей, при повторном. Также, за слив...
Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops
Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и...
Криптография Средних веков: от алхимических шифров до магических квадратов
Среди ярких символов Средневековья — колдуны, ведьмы и алхимики, которые «заклинают и превращают в золото ртуть». Криптография в это время тоже шла рука об руку с магией: взять хотя бы шифры оккультистских сообществ. Что же представляли из себя средневековые шифры? Являлись ли они простой...
Техника безопасности при запуске крупной фичи: баланс между быстрыми метриками и прыжком веры
Практически любой зрелый ИТ-продукт отчасти напоминает неповоротливый механизм, в который сложно вносить глобальные изменения, а предсказать реакцию пользователей на них еще сложнее. Но даже с учетом этого внесение новых крупных фич нередко является единственным вариантом развития продукта. В...
7 Дыр Я.Директ. Новогодний обзор фишек за которые платишь ты
Ты узнаешь, как настроить склик с одного рабочего места — ровно так, как это делают твои конкуренты. Спам-заявки, битые номера, нулевые визиты — всё это последствие идейного подхода системы защиты. Вот реальные проблемы: - Имя и телефон "его", но заявку никто не оставлял. - Телефон не существует. -...
Развитие Security Proxy. Динамические права
Всем привет! Классический подход к авторизации — когда её контроль помещают внутрь конкретного сервиса в виде статических правил. То есть зашивают в код проверку ролей и прав из JWT‑токена. В первых версиях наших сервисов так и было сделано. Позднее родилась идея снять с них эту нагрузку и передать...
[Перевод] Как OSINT воссоединил двух давно потерявших друг друга солдат
Лица и имена, указанные в этом блоге, являются реальными и используются с их разрешения. Некоторые детали были отредактированы или скрыты, чтобы защитить частную жизнь других лиц. Каждый день ветерана на протяжении почти десяти лет мой друг Билл Стивенс пытался найти и восстановить связь со своим...
Их будут искать с особым пристрастием: 7 документов, которые должны быть на сайте каждой российской компании
Сайт – это лицо компании. Даже если в вашем случае сайт — не площадка для продаж, а дань «тренду», оформлять его в соответствии с требованиями законодательства вы обязаны. Если прогуляться по подвалам онлайн-площадок, можно увидеть настоящие жемчужины околоправовой мысли. Читать далее...
Заставляем работать демонстрационный пример из официальной документации npm пакета csrf-csrf
Ничто так не бесит при изучении новых пакетов/библиотек, как неработающие примеры из официальной документации. До последнего не веришь, что авторы библиотеки так лоханулись с исходниками примеров. Считаешь, что программисты потратили кучу своего времени на разработку, тестирование и продвижение...
IoT на производстве – угроза для промышленности
В последние годы интернет вещей (IoT) плотно укоренился в сфере ИТ и представляет целую область, в которой физические и виртуальные объекты объединяются в одну инфраструктуру. Под «вещами» понимается все, что может быть подключено к сети: от смартфонов и бытовой электроники до отдельных станков и...
Установка и настройка VPN с VLESS и Reality
В статье рассмотрим 3 способа настройки VPN-подключения с VLESS и Reality. VLESS — это современный протокол передачи данных ориентированный на конфиденциальность, его еще часто называют VLESS VPN, хотя строго говоря, речь пойдет об установке прокси с протоколом VLESS на базе сервера XRay с Reality....
SVG-виджеты для tcl/tk. Финальный аккорд. Часть IV
Реализация проекта «SVG-виджеты для tckl/tk» позволяет устранить одну из главных претензий, предъявляемых к графическому интерфейсу приложений, разрабатываемых с использованием tk - устаревший дизайн виджетов. Переход от классических виджетов к svg-виджетам не требует больших усилий. В этом лично я...
Как мы построили SIEM для Холдинга «Газпром-Медиа» и научились подключать новые активы к SOC за сутки
Сегодня расскажу, как мы полтора года строили систему мониторинга информационной безопасности для одного из крупнейших медиахолдингов России. Это будет история о долгом и масштабном проекте, по итогам которого наша команда прокачала навыки инжиниринга и кардинально пересмотрела подход по внедрению...