Перетягивание одеяла: техподдержка vs СБ
С точки зрения службы техподдержки, что позволяет как можно быстрее и проще удовлетворить заявку пользователя — то и хорошо. С точки зрения Службы Безопасности — это совсем нехорошо, а нужно делать максимально безопасно. Беда в том, что чем выше требования к безопасности, тем больше неудобств для...
Перетягивание одеяла: техподдержка vs СБ
С точки зрения службы техподдержки, что позволяет как можно быстрее и проще удовлетворить заявку пользователя — то и хорошо. С точки зрения Службы Безопасности — это совсем нехорошо, а нужно делать максимально безопасно. Беда в том, что чем выше требования к безопасности, тем больше неудобств для...
Подборка полезного контента с нашей российской конференции Day of the DEVs
12 октября мы провели локальную российскую конференцию Day of the DEVs. Всего в рамках конференции было задействовано 5 направлений: Hybrid/Multi cloud, Security, OSS, Data&AI для приложений, Продуктивность разработчиков. В этой статье мы собрали весь полезный контент с этих треков, в том числе...
Подборка полезного контента с нашей российской конференции Day of the DEVs
12 октября мы провели локальную российскую конференцию Day of the DEVs. Всего в рамках конференции было задействовано 5 направлений: Hybrid/Multi cloud, Security, OSS, Data&AI для приложений, Продуктивность разработчиков. В этой статье мы собрали весь полезный контент с этих треков, в том числе...
[Перевод] Серьезная ошибка в процессорах Intel раскрывает ключи шифрования
CVE-2021-0146, идентификатор уязвимости, возникающей при использовании функции отладки с чрезмерными привилегиями, в результате чего злоумышленники могут читать зашифрованные файлы. Уязвимость в безопасности чипов Intel открывает возможности для доступа к зашифрованным файлам и шпионажа, а также...
[Перевод] Серьезная ошибка в процессорах Intel раскрывает ключи шифрования
CVE-2021-0146, идентификатор уязвимости, возникающей при использовании функции отладки с чрезмерными привилегиями, в результате чего злоумышленники могут читать зашифрованные файлы. Уязвимость в безопасности чипов Intel открывает возможности для доступа к зашифрованным файлам и шпионажа, а также...
[Перевод] Я готов платить деньги тем, кто удалит свой модуль npm
Культура npm создает серьезную опасность для защиты программного обеспечения в мировых масштабах. Это крайне безответственно – позволять деревьям зависимостей разрастаться до таких размеров, что в них входят тысячи зависимостей, связывающих вас с производителями, о которых вы никогда не слышали и...
[Перевод] Я готов платить деньги тем, кто удалит свой модуль npm
Культура npm создает серьезную опасность для защиты программного обеспечения в мировых масштабах. Это крайне безответственно – позволять деревьям зависимостей разрастаться до таких размеров, что в них входят тысячи зависимостей, связывающих вас с производителями, о которых вы никогда не слышали и...
Атака с большим будущим: за что SSRF поместили в ТОП-10 киберугроз
В конце сентября сообщество OWASP (Open Web Application Security Project) выпустило обновленную версию списка наиболее опасных угроз для веб-приложений OWASP Top-10. Примечательным стало появление в нем A10:2021 – Server-Side Request Forgery (SSRF) или подделка запроса на стороне сервера. При этом...
Атака с большим будущим: за что SSRF поместили в ТОП-10 киберугроз
В конце сентября сообщество OWASP (Open Web Application Security Project) выпустило обновленную версию списка наиболее опасных угроз для веб-приложений OWASP Top-10. Примечательным стало появление в нем A10:2021 – Server-Side Request Forgery (SSRF) или подделка запроса на стороне сервера. При этом...
Системы большие и маленькие: парадокс «четвёртого измерения» в эволюции SIEM
Кадр из х/ф «Интерстеллар», все права у правообладателей Как-то раз наш начИБ Алексей Дрозд (aka @labyrinth) оказался в эфире AM Live – медиа собрало коллег по цеху обсудить будущее SIEM. Компания подобралась отменная: IBM, Positive Technologies, Micro Focus, Kaspersky, RuSIEM, мы и Solar JSOC....
Системы большие и маленькие: парадокс «четвёртого измерения» в эволюции SIEM
Кадр из х/ф «Интерстеллар», все права у правообладателей Как-то раз наш начИБ Алексей Дрозд (aka @labyrinth) оказался в эфире AM Live – медиа собрало коллег по цеху обсудить будущее SIEM. Компания подобралась отменная: IBM, Positive Technologies, Micro Focus, Kaspersky, RuSIEM, мы и Solar JSOC....
Если мошенники украли деньги с банковской карты — не спешите в полицию
Мне давно надоели эти банки, но инфопространство постоянно забито историями, как мошенники в очередной раз украли деньги, причём даже без социальной инженерии. Народ жалуется на Tinkoff, Альфа-банк и прочие банки, на операторов сотовой связи. Портал banki.ru ввёл драконовские правила, что у него...
Если мошенники украли деньги с банковской карты — не спешите в полицию
Мне давно надоели эти банки, но инфопространство постоянно забито историями, как мошенники в очередной раз украли деньги, причём даже без социальной инженерии. Народ жалуется на Tinkoff, Альфа-банк и прочие банки, на операторов сотовой связи. Портал banki.ru ввёл драконовские правила, что у него...
Security Week 47: обновленная атака Rowhammer на модули памяти DDR4
На прошлой неделе исследователи из Высшей технической школы в Швейцарии (ETH Zurich) опубликовали работу (пост в блоге команды, сама работа, исходники на GitHub), описывающую новый метод атаки типа Rowhammer на модули памяти стандарта DDR4. Атака получила название Blacksmith и идентификатор...
Security Week 47: обновленная атака Rowhammer на модули памяти DDR4
На прошлой неделе исследователи из Высшей технической школы в Швейцарии (ETH Zurich) опубликовали работу (пост в блоге команды, сама работа, исходники на GitHub), описывающую новый метод атаки типа Rowhammer на модули памяти стандарта DDR4. Атака получила название Blacksmith и идентификатор...
Шо там по MTProto в Telegram-то?
В наше время в условиях тотальной слежки, где любой разговор рядом с телефоном, любой запрос в интернете, обрабатывается системой для того, чтобы подобрать нативную рекламу, хочется иметь какой-то маленький островок безопасности и надежности. С высоко поднятым флагом свободы Пашенька говорит нам,...
Шо там по MTProto в Telegram-то?
В наше время в условиях тотальной слежки, где любой разговор рядом с телефоном, любой запрос в интернете, обрабатывается системой для того, чтобы подобрать нативную рекламу, хочется иметь какой-то маленький островок безопасности и надежности. С высоко поднятым флагом свободы Пашенька говорит нам,...