Статистика дел, связанных с охраной интеллектуальных прав
Статья посвящена анализу динамики судебных дел, связанных с охраной интеллектуальных прав в Российской Федерации в 2021–2024 годах. Рассматривается статистика арбитражных судов по ключевым категориям споров: авторские и смежные права, патентные права, а также средства индивидуализации. Отмечается...
Getting Started: установка и инициализация комплекса «Соболь» 4.5
В этом гайде разбираем установку и первичную инициализацию программно-аппаратного комплекса «Соболь» версии 4.5. Пошагово пройдемся по установке платы, запуску инициализации, регистрации администратора и настройке параметров безопасности. Читать далее...
[Перевод] Захват аккаунта без единого клика с помощью параметра сброса пароля
Когда речь идёт о безопасности, процесс сброса пароля — одно из тех мест, где разработчики не могут позволить себе ошибаться. Одна единственная уязвимость может открыть дверь к критическим багам. Недавно, тестируя приложение Redacted.com, я обнаружил уязвимость перечисления пользователей. Честно...
Мультивселенная киберполигонов в РФ: часть 3. Интервью со специалистами платформы Standoff 365
Привет, Хабр! Рассказ о мультивселенной киберполигонов в РФ точно не мог обойтись без этого полигона. Я уже говорил в одном из материалов, что это был первый киберполигон, с которым я познакомился. Ну и было бы странно не рассказать об этой кибербез‑площадке. Первые две части читайте тут и тут....
Топологическая безопасность ECDSA: Динамические методы анализа и теоретические основы
Топологическая безопасность ECDSA: Раскрываем скрытые уязвимости через законы диагональной периодичности Ваши подписи на эллиптических кривых могут содержать скрытые паттерны, которые традиционные методы анализа пропускают. В новой статье я представляю революционный подход к анализу безопасности...
Kaspersky NGFW: тестирование фаервола в разрезе ИБ
Хочу рассказать об опыте пилотирования собственного решения компании — Kaspersky NGFW — с точки зрения специалиста по информационной безопасности. Статья написана с расчетом на то, что полученный нами опыт поможет коллегам из информационной безопасности убедиться, что импортозамещение не проблема,...
Туннель в никуда: как ngrok помогает обойти периметр и как это остановить
Всем привет! Сегодня речь пойдет о распределенном обратном прокси-сервере ngrok и эксплуатации его возможностей атакующими. По данным MITRE ATT&CK инструмент используется различными APT группировками, в том числе в атаках направленных на компании в России и странах СНГ, что упоминается в Ландшафте...
Строим корпоративную GenAI-платформу: от концепции до ROI. Часть 4. Безопасность и ограничения (guardrails)
Это четвертая статья специалиста по архитектуре ИТ-систем и трансформации ИТ-ландшафта Дениса Прилепского из серии «Строим корпоративную GenAI-платформу: от концепции до ROI». Он объясняет, какие бывают guardrails, как они встроены в архитектуру платформы и зачем нужны: от защиты пользователей до...
ГОСТ 57580 без головной боли: инструкция по автоматической оценке и отчетности
ГОСТ Р 57580.1-2017, как и любой другой стандарт на территории Российской Федерации, не является обязательным для применения. Однако Банком России выпущены нормативные акты, устанавливающие необходимость применения ГОСТ Р 57580.1-2017. В статье мы расскажем, как можно автоматизировать и упросить...
Дилемма, которая привела к краху Kodak
Люди вспоминают Kodak со смесью ностальгии и недоверия. Ностальгия по тем временам, когда её жёлтые коробки определяли мир фотографии для миллионов, и недоверие к тому, что столь доминирующая компания может всё потерять. От первой камеры для масс до изобретения самой цифровой камеры, Kodak помогала...
Capture the merch: реши задачу по кибербезу и получи приз от «Солара»
Эксперты Solar 4RAYS составили CTF-задачи по реверсу, вебу, форензике и OSINT для участников конференции OffZone — профессионалов, студентов и любителей кибербезопасности. Есть те, что решаются за полчаса, а есть те, над которыми придется поломать голову. За правильное решение участники получали...
[Перевод] Криптография, лежащая в основе passkeys
Когда большинство людей думают о криптографии, первым делом приходит на ум шифрование: сохранение конфиденциальности информации. Но не менее важно (если не важнее) — подлинность: гарантия того, что информация действительно исходит от аутентичного источника. Когда вы посещаете веб-сайт, сервер...
Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore
Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью...
Статья 5: Алгоритмы – реализация и модель ошибок
Предисловие. Получив ряд критических комментариев от читателей постарался учесть замечания и давать больше конкретики в описании реализации. Т.к. потребовалось излагать больше конкретики привожу описание формул в на мета-языке, либо картинками. Также хочу еще раз сказать, что создание данного...
Black, gray, white: разбираемся в методологиях пентеста
Пентесты помогают выявить и устранить слабые места в защите компании до того, как ими воспользуются злоумышленники. Но чтобы такая проверка действительно принесла пользу, важно понимать, зачем вы ее проводите, по какой методологии, и что будете делать с результатами. В этой статье мы разберемся: •...
Argon ONE UP: модульный ноутбук на Raspberry Pi CM5
Сейчас ноутбуки все чаще делают так, что самому в них уже почти ничего не поменять — ни апгрейдить, ни починить без сервиса. Argon ONE UP выглядит интересной альтернативой: это компактный компьютер на базе Raspberry Pi Compute Module 5 (CM5), который собрали ребята из Argon Forty. Он задуман как...
Как мы дали абонентам возможность управлять мобильной сетью на уровне оператора: архитектура Membrana МТС
Спам-звонки, фишинговые ссылки, рекламный трафик и утечки данных — все это не просто источники раздражения, а реальная угроза для мобильных абонентов. Большинство решений защищает на уровне смартфона, нагружая устройство. В МТС пошли другим путем: объединили телеком и IT-функции в тарифе, где можно...
Уязвимости в Naumen Service Desk
Naumen Service Desk — один из самых распространённых helpdesk-продуктов на отечественном рынке. Он используется в госсекторе, корпоративных ИТ-службах, интеграционных решениях. Именно поэтому любые найденные в нём уязвимости потенциально опасны — они используются в реальных атаках, которые могут...