Бумажек — меньше, денег — больше: почему багхантеру полезно быть самозанятым?
Ожидание багхантера: компании повально выпускают программы bug bounty — только успевай чекать скоуп, находить баги и следить за СМС о поступлении выплат. Реальность: выход компании на bug bounty пока что занимает много времени, а вознаграждения получить сложно — сплошные бумажки, ожидание ответа...
Современный Интернет не предоставляет механизмов предотвращения захвата аккаунтов. FIDO2 — классно, но нас не спасет
Одна из главных задач отдела Application Security - усложнить массовый захват аккаунтов и самое сложное в них это таргетированные атаки. И, как оказалось, если ваш сервис имеет веб-аутентификацию и десятки или сотни миллионов пользователей в месяц - вы попадаете в ловушку из-за отсутствия...
Современный Интернет не предоставляет механизмов предотвращения захвата аккаунтов. FIDO2 — классно, но нас не спасет
Одна из главных задач отдела Application Security - усложнить массовый захват аккаунтов и самое сложное в них это таргетированные атаки. И, как оказалось, если ваш сервис имеет веб-аутентификацию и десятки или сотни миллионов пользователей в месяц - вы попадаете в ловушку из-за отсутствия...
Обнаружение ботов в социальных сетях при помощи методов машинного обучения
Почти все мы пользуемся социальными сетями. А почему бы и не пользоваться? Они ведь предоставляют так много возможностей! Взять ту же сеть ВКонтакте: можно пообщаться с друзьями, поделиться с подписчиками фотографиями только что сделанного крабового салата, посмотреть видео с котом соседа,...
Обнаружение ботов в социальных сетях при помощи методов машинного обучения
Почти все мы пользуемся социальными сетями. А почему бы и не пользоваться? Они ведь предоставляют так много возможностей! Взять ту же сеть ВКонтакте: можно пообщаться с друзьями, поделиться с подписчиками фотографиями только что сделанного крабового салата, посмотреть видео с котом соседа,...
Security Week 2247: статистика по вредоносному майнингу
На прошлой неделе исследователи «Лаборатории Касперского» опубликовали статистику по вредоносному ПО, которое использует зараженные компьютеры для майнинга криптовалют. Данные приведены за три квартала 2022 года. Несмотря на заметное падение обменного курса криптовалют, в области вредоносного...
Security Week 2247: статистика по вредоносному майнингу
На прошлой неделе исследователи «Лаборатории Касперского» опубликовали статистику по вредоносному ПО, которое использует зараженные компьютеры для майнинга криптовалют. Данные приведены за три квартала 2022 года. Несмотря на заметное падение обменного курса криптовалют, в области вредоносного...
Positive Hack Day 2022. Отчёт-ретроспектива
В преддверии новых киберучений The Standoff хочется вспомнить фестиваль Positive Hack Day 2022, прошедший в мае, куда пригласили информационную службу Хабра. Для полноты обзора я просмотрел весь отснятый и выложенный компанией Positive Technologies на их Youtube-канале материал. Все интервью, все...
Positive Hack Day 2022. Отчёт-ретроспектива
В преддверии новых киберучений The Standoff хочется вспомнить фестиваль Positive Hack Day 2022, прошедший в мае, куда пригласили информационную службу Хабра. Для полноты обзора я просмотрел весь отснятый и выложенный компанией Positive Technologies на их Youtube-канале материал. Все интервью, все...
Positive Technologies на HighLoad++ 2022: доклады экспертов, конкурс по поиску уязвимостей и безлимитная газировка
Positive Technologies 24 и 25 ноября примет участие в конференции для разработчиков высоконагруженных систем HighLoad++ 2022. Заходите на наш стенд, чтобы пообщаться с экспертами, узнать методы поиска уязвимостей и обеспечения безопасности ПО, поискать уязвимости в ходе конкурса, выиграть мерч, а...
Positive Technologies на HighLoad++ 2022: доклады экспертов, конкурс по поиску уязвимостей и безлимитная газировка
Positive Technologies 24 и 25 ноября примет участие в конференции для разработчиков высоконагруженных систем HighLoad++ 2022. Заходите на наш стенд, чтобы пообщаться с экспертами, узнать методы поиска уязвимостей и обеспечения безопасности ПО, поискать уязвимости в ходе конкурса, выиграть мерч, а...
[Перевод] Много ИБ-статистики. Как перевернулся мир ИБ за три года?
Привет, Хабр! Мы с новым переводом. Нашли отличный сборник глобальной статистики в сфере информационной безопасности за период с 2020 по 2022 год. Подборку цифр из различных отчетов об утечках данных, инсайдерах и осведомленности сотрудников об информационной безопасности сделали эксперты Security...
[Перевод] Много ИБ-статистики. Как перевернулся мир ИБ за три года?
Привет, Хабр! Мы с новым переводом. Нашли отличный сборник глобальной статистики в сфере информационной безопасности за период с 2020 по 2022 год. Подборку цифр из различных отчетов об утечках данных, инсайдерах и осведомленности сотрудников об информационной безопасности сделали эксперты Security...
Троян-снаряд против крипто-брони. Трагедия в трёх актах
Увидел я тут пост на Хабре, и решился рассказать вам одну старую историю. Которая потянула за собой другую, а та — третью. Само описанное событие, пробудившее во мне воспоминания о событиях тех времен, когда доллар был по 30, а флагманская видеокарта стоила дешевле человеческой почки, звучит как...
Троян-снаряд против крипто-брони. Трагедия в трёх актах
Увидел я тут пост на Хабре, и решился рассказать вам одну старую историю. Которая потянула за собой другую, а та — третью. Само описанное событие, пробудившее во мне воспоминания о событиях тех времен, когда доллар был по 30, а флагманская видеокарта стоила дешевле человеческой почки, звучит как...
Готовим, пробуем Casbin RBAC и handmade RBAC
Всем привет! Меня зовут Андрей Таболин, я системный аналитик в компании Bimeister. Casbin – одна из популярных библиотек для построения авторизации в веб-сервисах. В этой статье расскажу, как я тестировал Casbin, попутно подготовил своё решение для сравнения и покажу результаты работы обоих....
Готовим, пробуем Casbin RBAC и handmade RBAC
Всем привет! Меня зовут Андрей Таболин, я системный аналитик в компании Bimeister. Casbin – одна из популярных библиотек для построения авторизации в веб-сервисах. В этой статье расскажу, как я тестировал Casbin, попутно подготовил своё решение для сравнения и покажу результаты работы обоих....
Compliance-дайджест: что изменилось в ИБ-законодательстве в октябре
В свежем выпуске дайджеста вас ждет подборка основных изменений из мира комплаенса ИБ за прошедший октябрь. Как развивается нормативная база для защиты персональных данных? Какие новшества предусматривает законопроект, устанавливающий правовые основы обработки биометрических персональных данных? О...