Обратный отсчёт пошёл: последний шанс поучаствовать во взломе года
Кого убил Энтони? Время идёт, а правильного ответа до сих пор нет. Это закономерно — никто не обещал, что будет легко. Но моё терпение заканчивается. Я запускаю обратный отсчёт: с этого момента у вас есть ровно сутки, по истечении которых предложение аннулируется. Напоследок хотел сказать лишь...
Настраиваем Git server hook в GitLab On-Premise для защиты кода от вмешательства злоумышленников
Как убедиться в том, что коммиты в продуктовых репозиториях «настоящие»? То есть отправлены тем человеком, имя которого указано в коммите. Мы с коллегами из команды DevOps задались целью построить процесс, который будет давать нам полностью прозрачную картинку, и у нас это получилось. Эта статья...
Искусство создания безопасных и надежных приложений
Как сказал в свое время известный программист Эдсгер Вибе Дейкстра: «Программирование – это искусство контроля сложности». Чтобы достичь этого контроля необходимо не только уметь писать код, но и понимать, какие уязвимости могут возникнуть в процессе его выполнения. Поэтому среди множества проблем...
iPhone 15: обзор новейшего смартфона от Apple из первых рук. Что это за девайс?
Каждый год компания Apple удивляет своих пользователей какой-то фишечкой, пусть и не особо значительной. Знаете, мелочь, а приятно. Иногда удивляют очень сильно, иногда не очень. В этом году корпорация решила сделать корпус устройства из титана, что очень понравилось не только пользователям, но и...
Не набирайте тексты в интернете, или Обфускация времени между нажатиями клавиш в SSH
В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре. Спрашивается, почему разработчики озаботились такими нюансами информационной безопасности? Но причина есть. И на самом...
Детектируем горизонтальное перемещение с WMIExec
Привет, Хабр! Ранее мы рассказывали о возможных способах выявления горизонтального перемещения (Lateral Movement) с помощью таких инструментов, как PsExec, SMBExec и AtExec. Сегодня мы продолжим "работать" с данной техникой и рассмотрим еще один инструмент - WMIExec. В статье мы разберем его...
Почему ChatGPT пишет код с уязвимостями и как это исправить: наблюдение белого хакера
Всем привет! Я Артемий Богданов, занимаюсь практической безопасностью и работаю в Start X (ex-Антифишинг). А в прошлом находил уязвимости в Uber, Yahoo и ВКонтакте, занимал призовые места в конкурсах PHDays, NeoQUEST и других CTF. Как-то раз для одной отраслевой конференции по кибербезопасности мне...
(Не) безопасный дайджест: слив через подрядчика, взлом авиакомпании и корпоративное мошенничество
В конце месяца традиционно собрали для вас подборку ИБ-инцидентов. Сегодня в программе: инсайдер из японской телекоммуникационной компании, утечка данных сотрудников французского ритейлера и мошенница, потратившая деньги работодателя на роскошную жизнь. Читать далее...
Краткий обзор форума GIS DAYS 2023. День информационной безопасности
Продолжаем обзор программы форума GIS DAYS. Завершающий день форума был посвящен теме информационной безопасности, методике защиты от злоумышленников в период внедрения ИИ, а также обсуждению реальных потребностей бизнеса в области ИБ в условиях импортозамещения. Читать далее...
Тестируем инфраструктуру и приложение на устойчивость к DDoS-атакам
Сегодня расскажу, как можно протестировать свою ИТ-инфраструктуру или приложение на предмет устойчивости к DDoS-атакам на уровнях L4 и L7. Сразу скажу, что это нельзя назвать серьезным нагрузочным тестированием, это простой и бесплатный метод теста. У него две задачи: 1. Узнать, какой минимальной...
[Перевод] Знакомьтесь: 97 вещей которые должен знать каждый Cloud-инженер
Облачные вычисления уже давно стали неотъемлемой частью нашей жизни, и все больше компаний предоставляют свои услуги через облако. Облачные сервисы уже используются в различных отраслях. Однако, не все компании понимают, как использовать облако эффективно. Эта книга может помочь IT специалистам из...
Самые лёгкие ноутбуки для работы и не только: что предлагает рынок
Каждый год выпускается несколько десятков новых и/или усовершенствованных моделей ноутбуков. Для того чтобы упростить задачу выбора хорошей модели для себя, мы сделали подборку девайсов. Это уже вторая часть, продолжение статьи о мощных и компактных ноутбуках 2023 года. Мы постарались указать...
Как мы создаём защищённые автоматизированные рабочие места
Разведчики и люди, занимающиеся промышленным шпионажем, с помощью специального оборудования могут с расстояния в несколько сотен метров перехватить информацию с монитора своей цели. А почти в любую плату компьютера, в кулер или в настенные часы можно встроить устройство перехвата. Вместе с...
Нужны как воздух. История очистителей воздуха
Мы проводим 90% нашей жизни в помещениях или закрытых пространствах. Химические процессы, постоянно происходящие в воздухе в этих пространствах, сильно влияют на наше здоровье. 8 из 10 аллергиков имеют периодические приступы аллергии из-за загрязнённого воздуха в помещении. По оценкам Всемирной...
Обзор утилиты для поиска секретов TruffleHog
При написании программного кода или при редактировании конфигурационных файлов порой можно случайно оставить чувствительные данные (такие данные обычно называют секретами или просто secrets). Обычно к секретам относят такую информацию как логины, пароли, ключи, API-токены и т. д. Чем может грозить...
Раскрой тайну убийства, чтобы присоединиться ко взлому века
Хабр, на этот раз я задумал нечто на самом деле грандиозное – взломать целое государство не пытался еще никто. Детали будут позже, а пока вам нужно знать лишь одно: я ищу помощников. Пройдёте мой тест – получите право присоединиться к команде мечты и пойти на большое дело. Читать дальше →...
Спецвыпуск Apple Pro Weekly News – Презентация Apple (31.10.23)
Состоялась «Пугающе быстрая» презентация Apple, на которой ровно за 30 минут показали новые чипы M3, свежие MacBook Pro на новых же чипах, а ещё обновили iMac. Что хорошо, что могло быть лучше, да и когда в продаже – в этом специальном выпуске по следам презентации, на случай если вы проспали....
Security Week 2344: исследование кампании «Операция Триангуляция»
На прошлой неделе в Таиланде прошла конференция Security Analyst Summit, организованная «Лабораторией Касперского». Одной из главных тем конференции стало исследование атаки, которая получила название «Операция Триангуляция». О ней стало известно в июне, когда эксперты «Лаборатории Касперского»...