Низкоуровневый взлом банкоматов NCR
Изображение: Sascha Kohlmann, CC BY-SA 2.0 Существуют системы, доступа к которым у простых смертных нет по умолчанию. И разработчики таких систем наивно полагают, что они защищены от проникновения и зорких глаз исследователей. Взять хотя бы банкоматы (АТМ). Нередки случаи, когда к АТМ подходят...
Утечка персональных данных МосОблЕирц
Дисклеймер: да, я пытался связаться с разработчиками. Нет, ответа не было. «Дыре» скорее всего столько же лет, сколько и их мобильному приложению, и возможно ей уже давно кто-то пользуется. И я до конца не понимаю, это везде декларируется как фича, просто никто не думал, что можно батчем начислить...
Безопасность Microsoft Office: Автоматизация
Программы электронного документооборота совершили настоящий прорыв, значительно облегчив работу офисных сотрудников. Но вскоре стало понятно, что можно продвинуться еще дальше, автоматизировав рутинные действия пользователей. У программируемых офисных приложений было явное преимущество на рынке....
Безопасность Microsoft Office: Автоматизация
Программы электронного документооборота совершили настоящий прорыв, значительно облегчив работу офисных сотрудников. Но вскоре стало понятно, что можно продвинуться еще дальше, автоматизировав рутинные действия пользователей. У программируемых офисных приложений было явное преимущество на рынке....
[Перевод] Где Голливуд изображает хакеров правильно, а где — ошибочно
Технология окружает нас со всех сторон, поэтому неудивительно, что она проникла и в фильмы, и в сериалы. Однако нельзя сказать, что в кино её изображают правильно, особенно когда речь идёт о компьютерном взломе. В последние 20 лет я периодически работал системным администратором Linux. А это...
[Перевод] [в закладки] 23 рекомендации по защите Node.js-приложений
В наши дни веб-сервисы постоянно подвергаются самым разным атакам. Поэтому безопасность — это то, о чём стоит помнить на всех этапах жизненного цикла проектов. Авторы материала, перевод которого мы сегодня публикуем, поддерживают репозиторий на GitHub, содержащий около 80 рекомендаций по...
Теперь все основные списки корневых сертификатов доверяют Let's Encrypt
Немного незаметной прошла новость о том, что ISRG Root X1, корневой сертификат ЦС Let’s Encrypt, стал напрямую доверенным со стороны продуктов Microsoft. Теперь прямое доверие существует со стороны всех основных списков доверительных корневых сертификатов, включая Microsoft, Google, Apple, Mozilla,...
Машинное обучение в Offensive Security
Вопреки расхожему мнению, машинное обучение — изобретение не XXI века. За последние двадцать лет появились лишь достаточно производительные аппаратные платформы, чтобы нейросети и другие модели машинного обучения было целесообразно применять для решения каких-либо повседневных прикладных задач....
Зачем вам нужен Splunk? Аналитика событий безопасности
Было ли нарушение информационной безопасности предприятия? Какие внутренние угрозы есть у организации? Как и насколько быстро мы можем обнаружить, заблокировать или остановить атаку? В этой статье мы расскажем, как вам может помочь Splunk в поиске ответов на эти вопросы. Читать дальше →...
Зачем вам нужен Splunk? Аналитика событий безопасности
Было ли нарушение информационной безопасности предприятия? Какие внутренние угрозы есть у организации? Как и насколько быстро мы можем обнаружить, заблокировать или остановить атаку? В этой статье мы расскажем, как вам может помочь Splunk в поиске ответов на эти вопросы. Читать дальше →...
Яндекс блокирует аккаунты, к которым не привязан номер телефона
Я наверное как те самые мыши, которые «плакали, кололись, но продолжали жрать кактус». Который раз пытаюсь патриотично пользоваться сервисами Яндекса — и который раз это выходит мне боком. В этот раз заблокировали доступ к почте под предлогом «подозрения на взлом». А в реальности — потому что при...
Первый опыт в съемках IT ситкома: вторая и третья серия от Cloud4Y
Вторая и третья серия мини-ситкома про борьбу админа, ИТ-руководителя, генерального директора на полях сражений с мировыми катаклизмами, проверяющими органами, раздолбайством и собственным самолюбием. Просим не судить строго, это наш первый опыт в производстве подобного контента....
[Из песочницы] Уязвимость в Telegram позволяет скомпрометировать секретные чаты
Посвящается к юбилею Telegram В секретных чатах Telegram используется «сквозное шифрование», и что? End to end encryption Telegram слабо защищает переписку пользователей. Простой пример: злоумышленник достал приватный ключ gpg Алисы, естественно, чтобы расшифровать сообщение, зашифрованное для...
Операция на сердце: как мы переписывали основной компонент DLP-системы
Переписывание legacy-кода как поход к стоматологу – вроде, все понимают, что надо бы пойти, но все равно прокрастинируют и стараются оттянуть неизбежное, потому что знают: будет больно. В нашем случае дела обстояли еще хуже: нам надо было переписать ключевую часть системы, и в силу внешних...
Игрушка или находка для шпиона: пишущая машинка Barbie™
В этой статье-обзоре продолжаем тему об искусстве шифрования и всевозможных шпионских изобретениях. Вмонтированные в брелоки видео-фото камеры и аудиорегистраторы, ручки с камерами, пепельницы с диктофонами — чего только не придумывали. Настал черед и таким безобидным вещам, как детские игрушки. На...
Стадион «Центральный» в Екатеринбурге: как мы реконструировали инженерные системы
С каждым годом департаменту интеллектуальных зданий достаются всё более интересные объекты. Начинали мы довольно банально — с СКС в офисах более 20 лет назад. Потом пошли умные здания, энергоцентры, ЦОД, автономные установки далеко за пределами городов, промышленные объекты — и вот теперь несколько...
Стадион «Центральный» в Екатеринбурге: как мы реконструировали инженерные системы
С каждым годом департаменту интеллектуальных зданий достаются всё более интересные объекты. Начинали мы довольно банально — с СКС в офисах более 20 лет назад. Потом пошли умные здания, энергоцентры, ЦОД, автономные установки далеко за пределами городов, промышленные объекты — и вот теперь несколько...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 6: «Возможности», часть 2
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...