Российские госсайты: посторонним вход разрешен
В 2015 году мы задались вопросом: как на сайтах органов власти обстоят дела с загрузкой ресурсов из сторонних источников? А то XSS, утечка данных о посетителях и это все… Оказалось, очень даже обстоят: на 92% госсайтов об этом всем даже не задумывались и грузили все подряд – счетчики, шрифты,...
Российские госсайты: посторонним вход разрешен
В 2015 году мы задались вопросом: как на сайтах органов власти обстоят дела с загрузкой ресурсов из сторонних источников? А то XSS, утечка данных о посетителях и это все… Оказалось, очень даже обстоят: на 92% госсайтов об этом всем даже не задумывались и грузили все подряд – счетчики, шрифты,...
[Перевод] Death Note, анонимность и энтропия
В начале “Death Note” местный гениальный детектив по сути занят деанонимизацией: он знает только то, что убийца существует где-то на планете. Никаких улик тот не оставляет, но довольно быстро оказывается пойман. Вообще-то хабр не площадка для обсуждения аниме, но такая же охота на того-не-знаю-кого...
[Перевод] Death Note, анонимность и энтропия
В начале “Death Note” местный гениальный детектив по сути занят деанонимизацией: он знает только то, что убийца существует где-то на планете. Никаких улик тот не оставляет, но довольно быстро оказывается пойман. Вообще-то хабр не площадка для обсуждения аниме, но такая же охота на того-не-знаю-кого...
Оригинальный способ генерации мастер-пароля: используй специальный набор костей
Каждый раз, когда речь заходит о криптостойком мастер-пароле, на ум приходит стандартные генераторы, встроенные в тот же 1password, KeePass или любой другой менеджер паролей по вкусу. Сначала ты его генерируешь, потом учишь как «Отче Наш», а потом уже на самом деле молишься о том, чтобы не забыть...
[Перевод] Как защитить Python-приложения от внедрения вредоносных скриптов
Python-приложения используют множество скриптов. Этим и пользуются злоумышленники, чтобы подложить нам «свинью» — туда, где мы меньше всего ожидаем её увидеть. Одним из достоинств Python считается простота использования: чтобы запустить скрипт, нужно просто сохранить его в .py-файле и выполнить...
Уязвимости в коде. Как отличить опасную брешь от незначительной ошибки?
Как обычно выглядит проверка кода приложений на уязвимости? Специалист по безопасности инициирует процедуру, код сканируется, в приложении обнаруживаются тысячи уязвимостей. Все — и безопасник, и разработчики — в шоке. Естественная реакция разработчика: «Да наверняка половина — это ложные...
[Из песочницы] DevSecOps: принципы работы и сравнение SCA. Часть первая
Значимость анализа сторонних компонентов ПО (англ. Software Composition Analysis — SCA) в процессе разработки растет по мере выхода ежегодных отчетов об уязвимостях open source библиотек, которые публикуются компаниями Synopsys, Sonatype, Snyk, White Source. Согласно отчету The State of Open Source...
Privacy Accelerator: приглашаем на прокачку проекты в сфере прайваси и доступа к информации
К нам часто приходят тематические проекты, которые просят помощи. В основном — с рекламой. Почему-то команды проектов считают, что если мы разместим на РосКомСвободе упоминание или пост-обзор их продукта, то сразу пойдет поток пользователей, и их бизнес- или гражданский проект заработает. Мы тем...
5. Check Point SandBlast Agent Management Platform. Logs, Reports & Forensics. Threat Hunting
Добро пожаловать на пятую статью цикла о решении Check Point SandBlast Agent Management Platform. С предыдущими статьями можно ознакомиться, перейдя по соответствующей ссылке: первая, вторая, третья, четвёртая. Сегодня мы рассмотрим возможности мониторинга в Management Platform, а именно работу с...
Туннель под безопасностью и брокеры сетевых пакетов
В современных сетях с виртуализацией и автоматизацией широкое применение получило туннелирование трафика. Однако, туннелирование ориентировано на построение сети и обеспечение надежной передачи данных, а вопросы информационной безопасности и мониторинга обычно остаются «за скобками». Проблема...
[Перевод] 7 интересных хаков с Black Hat / DEF CON 2020
Под катом приглядимся повнимательнее к некоторым наиболее примечательным находкам в области безопасности из числа представленных в этом году на хакерской конференции. Ежегодный «летний слет хакеров» в этом году вместо привычного Лас-Вегаса прошел исключительно в киберпространстве. Виной тому —...
Как мы построили виртуальную инфраструктуру для киберучений промышленных предприятий
В этом году мы начали большой проект по созданию киберполигона – площадки для киберучений компаний различных отраслей. Для этого надо создать виртуальные инфраструктуры, «идентичные натуральным» — чтобы они повторяли типовое внутреннее устройство банка, энергетической компании и т.д., причем не...
Security Week 35: масштабирование голосового фишинга
20 августа Федеральное Бюро Расследований США опубликовало предупреждение об атаках на корпоративную инфраструктуру с использованием голосового фишинга. Сокращенное название этого метода социальной инженерии, «вишинг», претендует на титул самого дурацкого security-баззворда 2020 года, но проблема...
[Перевод] FritzFrog — новое поколение ботнетов
Краткое содержание Guardicore обнаружили сложный ботнет пиринговой (P2P) сети FritzFrog, который еще с января 2020 года активно взламывал SSH серверы. Вредоносное ПО на Golang: FritzFrog исполняет модульный, мультипоточный и безфайловый вредоносный код на Golang, который не оставляет следов на...
Линус Торвальдс, Бьёрн Страуструп и Брендан Грегг контрибьютят в мой хобби-проект. Зачем?
Смотрите сами: вот проект, вот история коммитов. Список контрибьюторов с главной страницы репозитория: Ссылки на аватарках ведут на странички профилей реальных людей. Всё на месте. Кроме плашечки "Verified" как здесь: Знатоки Git и GPG, не торопитесь проматывать ленту: эта статья не про...
Линус Торвальдс, Бьёрн Страуструп и Брендан Грегг контрибьютят в мой хобби-проект. Зачем?
Смотрите сами: вот проект, вот история коммитов. Список контрибьюторов с главной страницы репозитория: Ссылки на аватарках ведут на странички профилей реальных людей. Всё на месте. Кроме плашечки "Verified" как здесь: Знатоки Git и GPG, не торопитесь проматывать ленту: эта статья не про...
[Из песочницы] Как мы выбирали VPN-протокол и сервер настраивали
Зачем всё это и для чего? У нас было: 10 самых простых конфигураций серверов на DigitalOcean, мобильные устройства на базе iOS, сервер для сбора статистики, никакого опыта в настройке VPN-серверов, а также неукротимое желание сделать быстрый, надёжный и простой в использовании VPN-сервис, которым...