PVS-Studio как SAST решение
До недавнего времени в своих статьях мы позиционировали PVS-Studio как инструмент для выявления ошибок в коде. При этом мы почти не рассматривали PVS-Studio в контексте безопасности. Попробуем немного исправить эту ситуацию и взглянем на инструмент с точки зрения тестирования защищённости...
[Перевод] 11 способов (не) стать жертвой взлома в Kubernetes
Прим. перев.: Оригинал этой статьи был опубликован в официальном блоге Kubernetes и написан Andrew Martin — одним из основателей молодой британской компании Control Plane, специализирующейся на безопасности для cloud native-приложений, запускаемых в K8s. Безопасность в Kubernetes прошла длинный...
Epic fail of the month: rsync как «вектор» на утянуть данные
Изначально просто хотел бросить ссылкой к некоторым комментариям для первой ветки вот этой статьи, в качестве примера, почему торчать портами наружу (почём зря) — не есть хорошо. Ну и ответ вырос в простыню в эту статью, да и коммент увидит раз-два человека (а так возможно кому пригодится). Речь...
[Из песочницы] 80% касс самообслуживания под угрозой
С малых лет всегда интересовало тестирование, особенно в области безопасности, но кстати тестировщиком я так и не стал, но иногда люблю потыкать чужие автоматы и поискать уязвимости. Помню, когда впервые открывались известные кассовые автоматы приема платежей, при обновлении ПО каким-то образом там...
Около 500 млн IoT-устройств подвержены атаке через подмену DNS
Исследователи в области информационной безопасности из фирмы Armis сообщили на днях о том, что около 500 млн IoT-устройств подвержены атаке через перепривязку DNS. В ходе этой атаки злоумышленник привязывает устройство жертвы к вредоносному DNS, что в последующем позволяет проводить целый ряд...
Около 500 млн IoT-устройств подвержены атаке через подмену DNS
Исследователи в области информационной безопасности из фирмы Armis сообщили на днях о том, что около 500 млн IoT-устройств подвержены атаке через перепривязку DNS. В ходе этой атаки злоумышленник привязывает устройство жертвы к вредоносному DNS, что в последующем позволяет проводить целый ряд...
Анализ поведения трояна Pegasus в сети
Недавно был опубликован исходный код банковского трояна Pegasus. Несмотря на упоминание группы Carbanak в названии архива, исследователи из компании Minerva Labs опровергли причастность трояна к этой группе и доказали причастность к группе Buhtrap (Ratopak). Внутри архива находится краткое описание...
Анализ поведения трояна Pegasus в сети
Недавно был опубликован исходный код банковского трояна Pegasus. Несмотря на упоминание группы Carbanak в названии архива, исследователи из компании Minerva Labs опровергли причастность трояна к этой группе и доказали причастность к группе Buhtrap (Ratopak). Внутри архива находится краткое описание...
Разработчики ПО не согласны с определением «специальных технических средств» от ФСБ
3 июля 2018 года ФСБ опубликовала для общественного обсуждения проект поправок к Уголовному кодексу (УК) РФ, который вводит определение технических средств для негласного получения информации. Авторы проекта поясняют, что в настоящее время значение термина «специальные технические средства,...
Разработчики ПО не согласны с определением «специальных технических средств» от ФСБ
3 июля 2018 года ФСБ опубликовала для общественного обсуждения проект поправок к Уголовному кодексу (УК) РФ, который вводит определение технических средств для негласного получения информации. Авторы проекта поясняют, что в настоящее время значение термина «специальные технические средства,...
Планируются изменения в ФЗ-152
На сайте regulation.gov.ru появились и уже прошли 25 июня 2018 г. окончания публичного обсуждения два интересных проекта: Проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 2: «Контроль хакерских атак», часть 3
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 2: «Контроль хакерских атак», часть 2
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 2: «Контроль хакерских атак», часть 1
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...
Security Week 27: Поддельный айфон и цена безопасности
19 июля издание Motherboard опубликовало интересный лонгрид про поддельный айфон стоимостью в сто долларов. Android-смартфон, мимикрирующий под iPhone X, был приобретен в Китае; он из тех, что и у нас редко попадаются, а на Западе вообще неизвестны — целевая аудитория не та. Подделка не то чтобы...
Security Week 27: Поддельный айфон и цена безопасности
19 июля издание Motherboard опубликовало интересный лонгрид про поддельный айфон стоимостью в сто долларов. Android-смартфон, мимикрирующий под iPhone X, был приобретен в Китае; он из тех, что и у нас редко попадаются, а на Западе вообще неизвестны — целевая аудитория не та. Подделка не то чтобы...
Кибербитва на PHDays, или Как за 30 часов взломать городскую инфраструктуру
Третий год подряд главным соревнованием форума Positive Hack Days остается The Standoff — кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC). Игры 2016 и 2017 года показали, что максимально приближенный к реальности формат соревнований понятен и интересен не...
Кибербитва на PHDays, или Как за 30 часов взломать городскую инфраструктуру
Третий год подряд главным соревнованием форума Positive Hack Days остается The Standoff — кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC). Игры 2016 и 2017 года показали, что максимально приближенный к реальности формат соревнований понятен и интересен не...