ECSF — европейская система навыков кибербезопасности
Завершая небольшую серию материалов о моделях компетенций в ИБ, нельзя не рассказать о самой молодой и компактной из них — ECSF, впервые представленной на 1-й конференции ENISA по навыкам кибербезопасности в сентябре 2022 года. ECSF обобщает роли, связанные с кибербезопасностью, в 12 профилей,...
Построение надёжных систем из ненадёжных агентов
Большие языковые модели можно применять для разных практических целей. Одно из самых интересных направлений — это автономные AI-агенты. Если сгенерировать большое количество агентов по заданному запросу и заставить их конкурировать друг с другом, то теоретически можно получить оптимальный результат...
Все выше и выше: DDR3 будет лишь расти в цене. Но почему?
О динамике цен на рынке чипов ОЗУ и флеш-памяти на Хабре писали не раз и не два. Тем не менее ситуация постоянно меняется. В прошлом году все дешевело, по крайней мере, в самом начале года. Теперь ситуация изменилась. Так, ОЗУ прежних поколений, по мнению аналитиков, будет в дальнейшем лишь...
Чему нас НЕ учат случаи МТС, СДЭК и КБ Радуга или Имитационная Безопасность
Утром 17 марта (2024) стали недоступны VDS‑серверы одновременно в двух датацентрах CloudMTS — в 03:30 в 1cloud.ru, в 03:45 в oblako.kz Сервер в oblako.kz ожил 18 марта в 22:25 Сервер в 1cloud.ru ожил 23 марта в 15:40 Читать далее...
TI на коленке или как исследовать угрозу с помощью браузера
Всем привет! В этой статье мы не будем рассуждать на тему что такое Threat Intelligence, и с чем его едят, а сразу перейдем к делу. TL DR В этой небольшой заметке будет показано, как можно провести разведку угрозы и атрибутировать группировку имея лишь письмо и браузер, не прибегая к техническому...
Logitech G Pro X 60 Lightspeed: компактная игровая клавиатура. Что это за модель?
Источник. Клавиатур сейчас огромное количество — самых разных моделей, на любой вкус. Есть вполне привычные, традиционные. Выпускают и весьма странные аксессуары, которые, на первый взгляд, и на клавиатуры непохожи. Сегодня поговорим о модели Logitech G Pro X 60 Lightspeed. Ее можно назвать...
Что на неделе: презентация Apple, масштабный сбой в Telegram и внезапные успехи российских сервисов видеосвязи
Всем привет! В эфире Андрей Олег Малахов из AGIMA, и это мой дайджест новостей из мира технологий за последнюю неделю. Я долго (нет) размышлял, на каких событиях сделать акцент в этой подборке. И в итоге решил кратко пересказывать те новости, которые с большой вероятностью не доходили или почти не...
Даже в школе есть безопасники: решаем простые, но интересные CTF-турниры
В продолжение серии материалов по решению CTF-турниров из разных стран хочу рассказать о недавно прошедшем BYUCTF 2024 от организаторов из университета Бригама Янга. А также о bcactf 5.0 от академии округа Берген, который ориентирован на школьников старших классов. Оттого будет интересно узнать,...
Боль руководителя при внедрении систем безопасности в компании или как я MFA внедрял
Делюсь опытом по внедрению MFA в организации на 2000+ человек. Описываю проблемы, с которыми приходилось столкнуться, а также методами, которые помогли мне их решить. Данную статью рекомендую прочитать руководителям, внедряющим подобные решения у себя в компании, а также специалистам, эти решения...
«Я стал тимлидом и боюсь». Что почитать и зачем
Стресс, связанный с переходом на менеджерскую роль, способен пошатнуть любые, даже самые крепкие нервы. А если ваше решение стать руководителем желанное и осознанное, то вы легко можете загнать себя в ловушку из двух стен: тревожности и перфекционизма. Меня зовут Александр Шиндин, я — технический...
Acemagic X1: ноутбук с двумя экранами. Что это за девайс?
Источник: Acemagic Необычные ноутбуки довольно часто выпускаются как крупными игроками «железного» рынка, так и стартапами. И некоторые модели становятся популярными. На днях компания Acemagic выпустила лэптоп с двумя дисплеями. Он отличие которого от прочих «собратьев» — как раз дополнительный...
Использование Windows Credential Manager для безопасности PowerShell
Скрипты Powershell в большинстве случаев используются для автоматизации выполнения определенных задач, и зачастую для их выполнения необходимо указывать определенные учетные данные, часто с повышенными правами. Для интерактивных сценариев это не проблема, поскольку при необходимости они могут...
Взлом соцсетей: цены на черном рынке и риски для бизнеса
Мы решили выяснить, сколько стоит угон личного и корпоративного аккаунтов в соцсетях. Даже больше — попытались его заказать. Заодно изучили публично известные атаки на бизнес, которые были связаны с соцсетями. А еще подготовили рекомендации по защите компании от таких инцидентов (советы...
Разбираем магических зверей безопасности: AuthZ: abac/rbac, AuthN и 2FA
Вы знаете, что меня действительно выбивает из колеи забавит? Даже люди, которые давно работают в IT, путают аутентификацию и авторизацию. На пару проектах я столкнулся с тем, что некоторые ребята, которые работают в индустрии годами, не видят разницы между этими двумя понятиями. И это не просто “я...
Роботогорничная Tuvio от Яндекса
В 20х числах мая на обзор приехал Tuvio TR05MLCB — робот-пылесос от Яндекса. Я против не была, поскольку наш прежний пылесос качественно производил только доведение до нервного подергивания глазом. Как справляется новичок — смотрим под катом. Читать далее...
Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре
Привет, Хабр! Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей. Материал будет интересен специалистам, которые уже сталкивались с DOM XSS и Prototype...
Первый в мире ноутбук на базе ARM-процессора Qualcomm X Elite и ОС Linux. Что это за девайс?
Компания Tuxedo представила, по ее словам, первый в мире Linux-ноутбук, основа которого — ARM-процессор Qualcomm X Elite. Он практически не уступает по характеристикам решениям от Intel и AMD. На прототипе установлена ОС Linux, с этой же операционной системой будут работать уже и устройства,...
Как решить проблему уязвимостей бизнес-логики? Поломать приложение еще до написания кода
Всем привет. Меня зовут Нияз Кашапов, я AppSec Lead в СберМаркете. Улучшаю процессы безопасной разработки уже более 5 лет. Начинал карьеру в финтехе, где занимался безопасностью кода, фич и бизнес-процессов в онлайн-банкинге. А сейчас продолжаю начатое в одном из самых быстрорастущих игроков на...