Реверсинг приложений под Android. Смотрим под капот
Мобильные устройства стали неотъемлемой частью нашей жизни. Без любимого гаджета мы лишаемся банковских приложений, госуслуг и других сервисов, без которых наша жизнь становится намного сложнее. По этой причине мобильные приложения, являются лакомой целью для злоумышленников. Подселив вредонос на...
Зачем инженеру идти в преподавание (это не деньги или слава). Разбираемся, как всё успеть и не умереть
Привет, Хабр! Меня зовут Тимофей, я работаю в центре информационной безопасности «Инфосистемы Джет» и параллельно преподаю на родной кафедре ИБ в одном из региональных вузов уездного (по моему субъективному мнению) города N. Раньше мне казалось, что совмещать и то и другое — невозможно. И честно, я...
СДЭК — как пропадают Наши посылки
Как пролюбить вещей на миллион благодаря "качеству" работы операторов CDEK? Записывайте рецепт: Берём в старом бунгало (купленном за 11 миллионов баксов) в Сингапуре пару люстр Викторианской эпохи и решаем повесить их на даче в самом чистом месте на глобусе, к сожалению наступают известные всем...
Настоящий хоррор: кибербезопасность в автомобильной индустрии
Автопром сделал первый шаг в цифровую эпоху еще в 1967 году, когда в Германии выпустили Volkswagen Typ 3 с электронной системой впрыска D-Jetronic от Bosch. Сегодня же компьютерные системы управляют почти всеми функциями большинства авто — от режимов работы двигателя до стеклоочистителей. Как...
Профиль защиты ЦБ РФ и мобильные приложения: разбираемся, как соответствовать
Всем привет! На связи Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». Вообще я сторонник технических материалов, статей с примерами кода или разбором технологий, но сегодня речь пойдет о другом. Меня всегда интересовало, почему в требованиях регуляторов в области ИБ не указываются...
НЕ идеальный алгоритм шифрования… HASH-CRYPT (2 часть)
Кажется, мой алгоритм шифрования оказался ужасен... Или нет? Какие уязвимости могут быть в самой основе любого алгоритма шифрования, или при их неправильной эксплуатации? И как я исправил уязвимость в предыдущей версии алгоритма? > DECRYPT...
Apple Pro Weekly News (20.05 – 26.05.24)
В этом выпуске: причина бага с фотографиями в iOS 17.5, как Apple заставила Дурова изменить работу Telegram-ботов, а что происходит на суде Apple в ЕС. Что за новые эмодзи появятся в iOS 18, каким может быть первое гнутое устройство от Apple, а также живые фотографии невышедшей колонки Beats. Это и...
Что, если не Слизерин? Или как можно стать мракоборцем в мире маглов?
Все мы в своё время ждали письмо из Хогвартса, но прошли годы, а сова так и не прилетела. Однако, что, если я скажу, что профессию мракоборца можно освоить в мире виртуальном? Защита от тёмных искусств, охрана правопорядка, необходимость знать противника изнутри… Да это же всё напрямую относится к...
Внедряем DevSecOps в процесс разработки. Часть 2. Обзор инструментов, Commit-time Checks
Привет! На связи Олег Казаков из Spectr. Мы продолжаем публикацию цикла статей, где делимся опытом и наработками и рассказываем, из чего состоит DevSecOps и как его внедрить в процесс разработки. В предыдущей части статьи я рассказал о том, что представляет собой процесс DevSecOps в целом, из каких...
Безопасное проектирование программного обеспечения. Конфиденциальность и Шифрование
Привет Хабр! В современном мире, где информационные технологии играют ключевую роль во всех аспектах жизни, безопасность программного обеспечения стала одной из самых важных задач для разработчиков. С каждым годом количество кибератак увеличивается, а их методы становятся всё более изощренными. В...
Модели зрелости в кибербезопасности на примере OWASP SAMM
Медленно, но верно компании движутся к кибербезопасности, основанной на оценке рисков. Этот подход признает, что в современном киберпространстве не все активы созданы равными и не могут быть одинаково защищены. Некоторые имеют исключительное значение для компании и ее бизнеса. Защита таких...
Локальный HTTPS в dev-окружении — простая настройка
Иногда в процессе веб-разработки требуется безопасное окружение в браузере, то есть HTTPS. Удобный способ сделать это — установить локальный УЦ и автоматизировать выдачу сертификатов на любые поддомены lcl.host и localhost. Это более функциональная и удобная альтернатива самоподписанным...
Создаем простые OSINT и пентест инструменты на Python
Кобра: создаем OSINT инструмент на Python, часть 1 Итак, каждый программист желает все автоматизировать — и не только программист. В этой статье мы рассмотрим создание OSINT-инструмента на Python. Я хочу предупредить, что все показано в целях ознакомления, данные человека не подлежат хранению или...
Анатомия визуализации. Часть первая: от задачи к исполнению
«Усложнять просто, упрощать сложно» Закон Мейера Часто ли вы задумываетесь о том, как вы воспринимаете ту или иную информацию? Почему одни статьи или книги идут легче, а другие - тяжелее? Бывало ли у вас такое, что вы раз за разом скользили взглядом по абзацу текста и не могли понять, что вы только...
Безопасность на новом уровне: исследование Smallstep CA и его применение
Рассмотрим Smallstep CA — современное и инновационное решение для управления сертификатами. Оно может предложить несколько преимуществ по сравнению с OpenSSL. Читать далее...
[Перевод] Как был запущен диспетчер задач: о чем говорят цифры после taskmgr.exe?
Если вы запускаете Диспетчер задач при помощи комбинаций клавиш, к примеру CTRL+SHIFT+ESC, то возможно вы замечали, что в командной строке запуска taskmgr.exe будет присутствовать аргумент "/2". Что значат эти аргументы? Разберемся в этом посте. Читать далее...
Основы безопасности в Kubernetes
В моей роли DevOps-инженера, специализирующегося на Kubernetes, я регулярно сталкиваюсь с задачами, требующими глубокого понимания множества аспектов этой технологии. Особое внимание уделяется безопасности — критически важному условию для эффективного функционирования и защиты приложений в...
Доверяй, но проверяй: история расследования инцидента на основе OSINT
Меня зовут Анастасия Гаранжа, я аналитик центра мониторинга и реагирования на инциденты МТС RED SOC. Недавно мы столкнулись с любопытной атакой, которая ещё раз показала, что оперативность выявления инцидентов кибербезопасности почти всегда зависит от экспертности и скорости реакции аналитиков. А...