Новая методология AppSec Table Top: как эффективно и безболезненно выстроить процессы безопасной разработки
Всем привет! Меня зовут Евгений Иляхин, я работаю архитектором процессов безопасной разработки в Positive Technologies, вместе с командой консалтинга в области безопасной разработки мы специализируемся на внедрении AppSec в различных компаниях и всячески продвигаем этот подход в массы. В отрасли ИБ...
[Перевод] Охота за уязвимостями File Upload. Особенности
В этом блоге я расскажу о некоторых уязвимостях при загрузке файлов. Введение: Во многих приложениях существует функция загрузки файлов. Однако её реализация отличается в зависимости от специфики использования. Некоторые приложения позволяют загружать только изображения, поддерживая лишь форматы,...
Jmeter + ГОСТ TLS. Подключаем отечественную криптографию к тестам веб сервисов
Многие знают, а многие возможно и не знают, что передача различной чувствительной информации в финансовой и банковской сфере, по требованиям ФСТЭК, должна защищаться отечественными алгоритмами шифрования и продуктами прошедшими сертификацию в ФСБ. Но как тестировать создаваемые продукты на...
(Не) безопасный дайджест: вымогатели багетов, арахисовый саботаж в Disney, парад компрометации «кредов»
Подоспело время обзора интересных и громких ИБ-инцидентов ноября. В подборке: многомиллионная афера бывшего топ-менеджера, кибер-отравитель в Disney World, отголоски взлома MOVEit в Amazon – и это еще не все. Читать далее...
РКН и ФАС выпишут штрафы, если не найдет двух важных согласий на вашем сайте! Вот инструкция, как их составить
Год назад штрафы за неправильную обработку персональных данных выросли на сотни тысяч рублей. Например, за распространение персональных данных без согласия клиента организации теперь должны платить от 300 000 до 700 000 рублей. Новость разлетелась в СМИ 23 декабря 2023, но предпраздничное...
[Перевод] Ломаем капчу 4Chan
Этот проект начинался как обучающий: я хотел углубить свои знания в машинном обучении, и в частности в TensorFlow. В конечном итоге мне хотелось получить работающую в браузере модель машинного обучения, которая смогла бы надёжным образом (с точностью не менее 80%, а предпочтительно >90%) решала...
Как спрятать любые данные в JPEG
А вы уже прятали что-то внутри JPEG? Разбираем базовый способ надежно спрятать что-то внутри картинки. Покажите...
Делаем из смартфона рацию Push-To-Talk, вызываем диспетчера или подаём SOS одним нажатием. Обзор XCover7 и MIL-STD-810H
Самое первое защищённое устройство (rugged device) Samsung появилось в далёком 2011 году. С виду укреплённый корпус и заменяемая батарея, что продлевает жизнь смартфона, но всё не так просто. Линейка rugged моделей создана для снижения расходов бизнеса при эксплуатации смартфонов в долгосрочной...
Больше чем математик. Кумир, учитель, вдохновитель
Впервые шла рядом с человеком, при виде которого окружающие перешептывались, радостно восклицали и оборачивались. Самые смелые здоровались и просили сфотографироваться. «Маткульт‑привет!», — звучало постоянно при встрече с нами. Привет Хабр, сегодня я расскажу про лекцию Алексея Савватеева, которую...
VPN Протоколы: Обзор Самых Популярных
С ростом угроз конфиденциальности и постоянными ограничениями в интернете использование VPN стало нормой для многих пользователей. Однако за простотой подключения скрываются технические особенности, которые могут существенно повлиять на пользовательский опыт. Один из ключевых факторов — это выбор...
Зачем нужен сертифицированный WAF и когда его стоит использовать? Обзор и настройка файрвола веб-приложений
Привет, Хабр! Меня зовут Иван Коробов, я ведущий инженер по информационной безопасности в Selectel. В этой статье познакомимся с WAF: узнаем, что это такое и в каких случаях его применение обязательно. Также разберемся, как этот инструмент использовать с продуктами Selectel. Читать дальше →...
Зачем нужны метрики работы с инцидентами в Security Operations Center: объясняем на примере из «Властелина колец»
Одной из важных и сложных задач, решаемых центром кибербезопасности (Security Operations Center, SOC), является оценка последствий киберинцидентов (уже наступивших или тех, которые вот-вот наступят). Это позволяет присваивать инциденту приоритет и реагировать в соответствии с ним. Но куда труднее...
Три слона, на которых держится логирование в Windows
Продолжаем наш цикл статей о типах и методах работы сборщиков данных с конечных точек, или, как принято их называть – агентов. В первой статье мы познакомились с этой сущностью и изучили основные нюансы сбора данных с их помощью. Так как мы в рамках разработки своих продуктов занимаемся и...
Практическое расследование инцидентов в облачных средах: самые наглядные кейсы в 2024 году
Киберинциденты в облаках отличаются своей спецификой: источников угроз больше, классические векторы атак и техники сочетаются с тонкостями cloud computing, но зато гораздо проще собирать артефакты для расследований. При этом со стороны может показаться, что самым значимым риском для облачных...
[Перевод] Полное руководство по поиску уязвимостей с помощью Shodan и Censys
Содержание: - Важность разведки - Что такое поисковые системы, что такое Shodan и Censys? - Основные операторы поиска - Продвинутые операторы поиска - Более интересные способы использования - Заключение Читать далее...
Китайская криптография. Анализ проприетарного протокола MMTLS из WeChat
Изображение из документации протокола MMTLS Академическая исследовательская группа Citizen Lab из университета Торонто провела первый публичный анализ протокола шифрования MMTLS на предмет безопасности и конфиденциальности. Это основной протокол приложения WeChat, которым пользуется более 1,2 млрд...
VPN: последний выпуск. Завтра об этом писать нельзя
Закрываем двери в свободный интернет: завтра, 30 ноября, вступает в силу закон №406-ФЗ запрещающий распространять информацию о способах обхода блокировок. Кто знает о визитах на Pornhub? - Какие именно данные сохраняют провайдеры о нас — с VPN и без. - Что нового запретят обсуждать о VPN (и...
Всё о новых штрафах за утечки данных. Сколько светит и как защитить своё приложение
На этой неделе Госдума ужесточила ответственность за нарушения в работе с данными — для компаний штрафы вырастут до 3% от выручки или до 500 миллионов рублей. По оценке нововведения затронут каждую третью компанию в стране. Поэтому сегодня совместно с лидом Android-разработки Surf Алексеем Рябковым...