Будь что будет, или как я получила сертификат GCFA
Лада Антипова, специалист по киберкриминалистике Angara SOC, совсем недавно вернулась из Казахстана с отличными новостями: сдала свой первый экзамен на сертификат международного уровня – GIAC Certified Forensic Analyst (GCFA). В материале она рассказала, как готовилась, как пережила epic fail и...
Безопасная разработка, управление рисками и внутренний контроль
В настоящее время все больше компаний перестраивают свои процессы с учетом выгод от цифровизации. Потребность рынка России в цифровых продуктах растет. А с учетом текущих реалий и уходом основных производителей программного обеспечения с российского рынка возрастает проблема эффективности и...
Gryffine — история одного пет-проекта
Как-то раз один знакомый сисадмин пожаловался мне на жизнь суровую. Он рассказал об одном инциденте в его конторе. Стоит оговориться, что контора небольшая и такой сущности как отдельный специалист по информационной безопасности там нет. Инцидент стандартный до банальности. Случайно заметили...
Обратный отсчёт пошёл: последний шанс поучаствовать во взломе года
Кого убил Энтони? Время идёт, а правильного ответа до сих пор нет. Это закономерно — никто не обещал, что будет легко. Но моё терпение заканчивается. Я запускаю обратный отсчёт: с этого момента у вас есть ровно сутки, по истечении которых предложение аннулируется. Напоследок хотел сказать лишь...
Настраиваем Git server hook в GitLab On-Premise для защиты кода от вмешательства злоумышленников
Как убедиться в том, что коммиты в продуктовых репозиториях «настоящие»? То есть отправлены тем человеком, имя которого указано в коммите. Мы с коллегами из команды DevOps задались целью построить процесс, который будет давать нам полностью прозрачную картинку, и у нас это получилось. Эта статья...
Искусство создания безопасных и надежных приложений
Как сказал в свое время известный программист Эдсгер Вибе Дейкстра: «Программирование – это искусство контроля сложности». Чтобы достичь этого контроля необходимо не только уметь писать код, но и понимать, какие уязвимости могут возникнуть в процессе его выполнения. Поэтому среди множества проблем...
Не набирайте тексты в интернете, или Обфускация времени между нажатиями клавиш в SSH
В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре. Спрашивается, почему разработчики озаботились такими нюансами информационной безопасности? Но причина есть. И на самом...
Детектируем горизонтальное перемещение с WMIExec
Привет, Хабр! Ранее мы рассказывали о возможных способах выявления горизонтального перемещения (Lateral Movement) с помощью таких инструментов, как PsExec, SMBExec и AtExec. Сегодня мы продолжим "работать" с данной техникой и рассмотрим еще один инструмент - WMIExec. В статье мы разберем его...
Почему ChatGPT пишет код с уязвимостями и как это исправить: наблюдение белого хакера
Всем привет! Я Артемий Богданов, занимаюсь практической безопасностью и работаю в Start X (ex-Антифишинг). А в прошлом находил уязвимости в Uber, Yahoo и ВКонтакте, занимал призовые места в конкурсах PHDays, NeoQUEST и других CTF. Как-то раз для одной отраслевой конференции по кибербезопасности мне...
(Не) безопасный дайджест: слив через подрядчика, взлом авиакомпании и корпоративное мошенничество
В конце месяца традиционно собрали для вас подборку ИБ-инцидентов. Сегодня в программе: инсайдер из японской телекоммуникационной компании, утечка данных сотрудников французского ритейлера и мошенница, потратившая деньги работодателя на роскошную жизнь. Читать далее...
Краткий обзор форума GIS DAYS 2023. День информационной безопасности
Продолжаем обзор программы форума GIS DAYS. Завершающий день форума был посвящен теме информационной безопасности, методике защиты от злоумышленников в период внедрения ИИ, а также обсуждению реальных потребностей бизнеса в области ИБ в условиях импортозамещения. Читать далее...
Тестируем инфраструктуру и приложение на устойчивость к DDoS-атакам
Сегодня расскажу, как можно протестировать свою ИТ-инфраструктуру или приложение на предмет устойчивости к DDoS-атакам на уровнях L4 и L7. Сразу скажу, что это нельзя назвать серьезным нагрузочным тестированием, это простой и бесплатный метод теста. У него две задачи: 1. Узнать, какой минимальной...
[Перевод] Знакомьтесь: 97 вещей которые должен знать каждый Cloud-инженер
Облачные вычисления уже давно стали неотъемлемой частью нашей жизни, и все больше компаний предоставляют свои услуги через облако. Облачные сервисы уже используются в различных отраслях. Однако, не все компании понимают, как использовать облако эффективно. Эта книга может помочь IT специалистам из...
Как мы создаём защищённые автоматизированные рабочие места
Разведчики и люди, занимающиеся промышленным шпионажем, с помощью специального оборудования могут с расстояния в несколько сотен метров перехватить информацию с монитора своей цели. А почти в любую плату компьютера, в кулер или в настенные часы можно встроить устройство перехвата. Вместе с...
Обзор утилиты для поиска секретов TruffleHog
При написании программного кода или при редактировании конфигурационных файлов порой можно случайно оставить чувствительные данные (такие данные обычно называют секретами или просто secrets). Обычно к секретам относят такую информацию как логины, пароли, ключи, API-токены и т. д. Чем может грозить...
Раскрой тайну убийства, чтобы присоединиться ко взлому века
Хабр, на этот раз я задумал нечто на самом деле грандиозное – взломать целое государство не пытался еще никто. Детали будут позже, а пока вам нужно знать лишь одно: я ищу помощников. Пройдёте мой тест – получите право присоединиться к команде мечты и пойти на большое дело. Читать дальше →...
Security Week 2344: исследование кампании «Операция Триангуляция»
На прошлой неделе в Таиланде прошла конференция Security Analyst Summit, организованная «Лабораторией Касперского». Одной из главных тем конференции стало исследование атаки, которая получила название «Операция Триангуляция». О ней стало известно в июне, когда эксперты «Лаборатории Касперского»...
Как я делал то же, что и ФСТЭК, когда это еще не было трендом
Всем привет, меня зовут Андрей Рогов. В СИГМЕ, где мы разрабатываем и внедряем ИТ-решения для всей электроэнергетики — от контроля работы электростанций до расчета платежей «за свет», я работаю в отделе аудита и консалтинга. А значит, в мои должностные обязанности входит написание множества...