Безопасное проектирование программного обеспечения: Хеширование и salting
Автор статьи: Рустем Галиев (IBM Senior DevOps Engineer & Integration Architect) Привет, Хабр! Сегодня продолжим про безопасную архитектуру. В современном цифровом мире безопасность данных становится все более актуальной задачей. С ростом числа кибератак и утечек информации, защита конфиденциальных...
Путь самурая SOC: создаем надежный workflow инцидента
Путь к идеальному workflow для обработки инцидентов напоминает путь самурая — это история непрерывного самосовершенствования. Привет! Меня зовут Кирилл Рупасов, я руковожу группой инженеров SOC (Security Operations Center) в «К2 Кибербезопасность». В этом посте я поделился нашим опытом организации...
[Перевод] Как бороться с ReDoS
Проверка кода (Code Scanning) автоматически обнаруживает ReDoS-уязвимости, но исправить их бывает не всегда просто. В этой статье описана 4-х этапная стратегия исправления багов ReDoS. Читать далее...
Как организовать безопасность контейнеров на базе Open Source
Привет Хабр! Меня зовут Татьяна Хуртина, и я программист в группе внутренней автоматизации ИБ VK. Недавно я выступала на киберфестивале PHDays c докладом про наш подход для мониторинга безопасности контейнеров. На примере опыта в inhouse-облаке Дзена я рассказала, как можно использовать open source...
Zyxel USG Flex 200H: не только файервол
Каких-то пару десятков лет назад большинство сайтов работали без SSL-шифрования и это давало возможность файерволам легко заглядывать в пролетающий трафик и вылавливать вредоносные файлы и куски кода. Теперь же мы живём в то время, когда сайта, работающего по HTTP днём с огнём не найдёшь. Весь...
Безопасный менеджер паролей или выстрели в колено пользователю
Всем привет! Сразу скажу: я не собираюсь претендовать на звание самого умного, просто хочу высказать ряд своих мыслей, которые являются ИМХО. Если вы с чем-то не согласны, прошу в комментарии, обсудим. Эта статья будет разделена на две части. В первой я рассмотрю некоторые популярные решения для...
Как мы создавали AmneziaFree, и боролись с интернет-цензурой в разных странах
Всем привет! На связи команда Amnezia. И если вы давно за нами следите, вы помните как мы были очень маленьким стартапом, который делал первые шаги по созданию более менее современного приложения с open source кодом, чтобы создавать VPN на собственном сервере. Мы понимали что подобное решение...
Метод Монте-Карло для оценки рисков в кибербезе
Руководители нуждаются в измерении рисков и выражении в денежном эквиваленте снижения рисков. Этой цели и посвящен описываемый ниже метод. Читать далее...
Trivy: вредные советы по скрытию уязвимостей
Привет, Хабр! Это что, еще одна статья о Trivy? Кажется, будто ничего нового уже об этом инструменте написать нельзя, а сам сканер внедрен в компаниях даже с низким уровнем зрелости ИБ. Но мы заметили, что большая часть статей в интернете представляет собой развернутое руководство по...
CTF — для начинающих
CTF «захватить флаг» - секретный код, который в реальной жизни мог бы хранить ценные данные. Побеждает тот, кто быстрее и эффективнее решит задачи, демонстрируя свои навыки. Читать далее...
Реверсинг приложений под Android. Разбираемся с функционалом
Сегодня мы продолжим изучение реверсинга приложений под Android. В предыдущей статье мы рассмотрели основы устройства приложений, установили необходимые инструменты и разобрали небольшой пример. В этой статье мы продолжим разбирать практические примеры. Читать далее...
Крекер. SQL инъекции. Уязвимость LFI
Введение Рады вновь приветствовать дорогих читателей! Начиная с этой статьи мы запускаем новую рубрику "Крекер", в серии этих статьей мы будем разбирать различные уязвимости, их эксплуатацию. В этой вступительной статье мы разберём уязвимости SQL, LFI, ADB и инструменты их эксплуатации. Дисклеймер:...
Xray на VDS сервере и маршрутизаторе Keneetic
Какие цели у этого руководства: Обеспечение доступа через VDS сервер используя технологии xray, посредством маршрутизатора Keenetic и скрипта Xkeen. Кому предназначено: Для людей, которые хотят решить поставленную задачу, не вдаваясь во все тонкости настройки, выполняя инструкции шаг за шагом....
«В черном-черном кабинете». Как Россия стала лидером по перехвату и расшифровке корреспонденции
Мы продолжаем освещать историю «черных кабинетов» – подразделений «без окон и дверей», где занимались перехватом и дешифровкой почты. Напомним, что в первой статьей цикла кандидат исторических наук и старший научный сотрудник московского музея криптографии Анастасия Ашаева рассказала о работе...
Использование ModSecurity в Nginx — практика защиты проекта на WordPress
ModSecurity, одно из наиболее популярных веб-приложений файрволов (WAF) в мире, помогает предотвращать различные виды атак на веб-приложения, включая SQL-инъекции, кросс-сайтовый скриптинг (XSS), фальсификацию межсайтовых запросов (CSRF) и другие угрозы. Инструмент работает как модуль для таких...
Как выбрать сертифицированную ОС на российском рынке. Часть 2
Продолжаем обсуждать, на что обращать внимание при выборе сертифицированных ОС на российском рынке. В прошлой части мы остановились на вопросе "Если все сертифицированные операционные системы обеспечивают одни и те же функции по защите информации, то нет разницы, какую покупать?". На самом деле...
Как выбрать сертифицированную ОС на российском рынке. Часть 2
Продолжаем обсуждать, на что обращать внимание при выборе сертифицированных ОС на российском рынке. В прошлой части мы остановились на вопросе "Если все сертифицированные операционные системы обеспечивают одни и те же функции по защите информации, то нет разницы, какую покупать?". На самом деле...
Как хакеры уничтожили «цифровую жизнь» IT-журналиста за считанные минуты. История Мэтта Хоннана
Даже если ты прожженный компьютерный журналист и блогер, написавший сотни статей о высоких технологиях, хакеры могут превратить твою цифровую жизнь в руины за считанные минуты. Именно это произошло в 2012 году с техническим экспертом и автором Wired Мэттом Хоннаном: в течение нескольких часов он...