[Перевод] Свой среди чужих: насколько токсична рабочая среда безопасника?
Привет, Хабр! В прошлом году мы опросили больше 300 ИБ-специалистов про уровень стресса на работе, и больше половины (53%) выбрали значения выше среднего. Выгорание – популярная тема обсуждений и реальная проблема в отрасли. Почему так происходит? Разбирались по следам интервью Роба Ли,...
[Перевод] Обход двухфакторной аутентификации в публичной баг-баунти программе: путь к $6000
Находить уязвимости в публичных программах — это одновременно захватывающе и прибыльно. В этом посте я расскажу, как обнаружил и использовал уязвимость обхода 2FA в одной публичной баг-баунти программе (название скрыто, используется redacted.com из соображений конфиденциальности), что принесло мне...
Кратко про XHTTP для VLESS: что, зачем и как
Просили нас тут рассказать про протокол технологию XHTTP в контексте XRay, VLESS и прочих. Просили - рассказываем! Для начала немного истории. Классическое использование VLESS и подобных прокси-протоколов (в том числе с использование XTLS-Reality) предполагает подключение клиента напрямую к...
[Перевод] Как я нашёл уязвимость в ядре Linux при помощи модели o3
В этом посте я расскажу, как нашёл уязвимость нулевого дня в ядре Linux при помощи модели OpenAI o3. Уязвимость обнаружилась благодаря одному лишь API o3 — не потребовались никакая дополнительная настройка, агентские фреймворки и инструменты. Недавно я занимался аудитом уязвимостей ksmbd. ksmbd —...
Забавы в ближнем инфракрасном. Часть 3. Странный счётчик
В предыдущих публикациях ( Часть 1 и Часть 2 ) рассказывалось, как изготовить самодельный счётчик объектов, пересекающих единственный инфракрасный луч (барьер). В счётчике использовался механизм внешних прерываний микроконтроллера. Соответственно, скетч для Arduino выглядит крайне простым. Теперь...
SelfCoerce для локального повышения привилегий на Windows 10
Всем привет! Меня зовут Дмитрий Неверов, я руковожу направлением анализа защищенности внутренней инфраструктуры в Бастионе. Сегодня представлю метод локального повышения привилегий на Windows 10. Сам подход не новый и уже после его тестирования я обнаружил статью, в которой описывается нечто...
Теория мертвого 2GIS
Выбрали хороший ресторан (врача, СТО, юриста, риэлтора) по отзывам и высокому рейтингу в 2GIS, а оказалось, что там если не ужас-ужас-ужас, то как-то средне, явно не похоже на то, что вы бы ожидали от рейтинга 4.8 или даже 5 баллов. Знакомо? Все знают, что в 2GIS могут быть накрученные фейковые...
Постквантовые криптостандарты США на алгоритмы электронной подписи на основе хеш-функций с сохранением состояния
Приветствую, Хабр! В моей предыдущей статье были описаны принятые в прошлом году стандарты США FIPS (Federal Information Processing Standard – Федеральный стандарт обработки информации – аналог стандартов ГОСТ Р в России) на постквантовые алгоритмы электронной подписи (FIPS 204 и FIPS 205) и...
Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных
После ухода HashiCorp с российского рынка многие компании стоят перед выбором: переехать на Community-редакцию Vault и дорабатывать её под свои потребности или купить готовый продукт, где многие фичи доступны «из коробки» и есть поддержка от разработчиков. В этом году мы добавили в свой менеджер...
[Перевод] Single Sign-On c OpenAM и OpenIG: практические примеры реализации
Single Sign-On или SSO — технология, которая позволяет пользователям получать доступ к различным приложениям, используя единый сервис аутентификации и одни учетные данные. Такой подход повышает не только удобство пользователей, но и безопасность, так как управление учетными данными, политиками...
Безопасность по ГОСТу: процесс интеграции HSM отечественного производства
В последние годы аппаратные модули безопасности (HSM, Hardware Security Module) стали неотъемлемой частью цифровой инфраструктуры — от банков и удостоверяющих центров до критически важных промышленных объектов. Эти устройства выполняют ключевую задачу — защищают криптографические ключи,...
Apple Pro Weekly News (19.05 – 25.05.25)
В свежем дайджесте из событий в мире Apple и не только, вспоминаем: какова судьба Apple Watch с камерой, умных очков от Apple, когда OLED в MacBook Pro, а также куда ушёл легендарный дизайнер Apple и первые слухи о продукте, который он разрабатывает. Fortnite вернулся в App Store, но проблем меньше...
Цифровой детокс: миф, рабочая система или детище маркетологов? Уже пора выбрасывать смартфон?
Совсем недавно смартфоны казались настоящими технологическим чудом. А сегодня как минимум 35% людей подтверждают свою зависимость от этих чудес (остальные ещё верят в силу воли). Цифровой детокс для одних стал модным трендом, а для других — источником заработка. Разбираемся, стоит ли делать отдых...
Информационной безопасности в малом и среднем бизнесе не существует
Я давно в ИТ, помню хриплые стоны модема и то, почему кота зовут Зухелем. Всё это время мне казалось, что сейчас ещё чуть-чуть — и у нас будет нормальная ИБ. Все эти годы. Но на самом деле ИБ в малом и среднем бизнесе нет. И не будет. То, что мы иногда видим под вывеской ИБ, — это либо иллюзия,...
Как ИИ меняет кибербезопасность: от детектирования угроз до нейропомощников
Искусственный интеллект уже не просто тренд — это рабочий инструмент, который сокращает время реагирования на атаки, автоматизирует рутину и даже предугадывает действия злоумышленников. Разбираемся вместе с Максимом Бузиновым, руководителем R&D-направления Центра технологий кибербезопасности ГК...
MX-440 снова в деле: обзор ноутбука-трансформера Unchartevice MX-440
Unchartevice MX-440 — свежая модель портативного компьютера от отечественного бренда, которая не лишена особенностей, и которую не часто можно встретить в бюджетных ноутбуках. Пока вендор формирует определённую линейку своих устройств, есть время на различного рода эксперименты и данная модель...
Постквантовая криптография для современной почты
Электронная почта — это сервис и хранилище самой конфиденциальной информации пользователей. Следовательно, он нуждается в надёжном сквозном шифровании, также как мессенджеры. Компьютерная индустрия продолжает готовиться к распространению квантовых вычислений. Поскольку некоторые операции на...
Как работает безопасность, когда никто никому не доверяет — Zero Trust на пальцах
Вы потратили кучу времени на защиту снаружи: двухфакторка, фаерволы, бюрократическая заморочка для каждого. Это всё правильно, но один фишинговый email, одна слабая учётка — и левый юзер уже внутри вашей сети. А дальше: данные HR-отдела, финансовая информация, API — доступ ко всему, потому что...