DevSecOps и практики разработки защищенного ПО в контексте современных вызовов
Всем привет! В этой статье хочу поговорить о технологических вызовах, рассмотреть наиболее актуальные сегодня практики безопасной разработки с точки зрения современных запросов индустрии, поделиться собственным взглядом на тренды отрасли и вектора развития в текущих реалиях. Я Юрий Сергеев,...
Итоги Standoff 10: о технологической независимости, переходе на отечественные операционки и опасности цифрового следа
Три дня подряд десять команд хакеров со всего мира[1] пытались ограбить банк, нарушить работу нефтегазовой отрасли, транспорта или реализовать другие недопустимые события в виртуальном Государстве F, построенном на настоящих физических IT-системах и контроллерах. Шесть команд защитников наблюдали...
SAST для самых маленьких. Обзор open-source инструментов поиска уязвимостей для C/C++
Привет, Хабр! Навыки статического анализа кода в арсенале исследователя безопасности приложений фактически являются must-have скиллом. Искать ручками уязвимости в коде, не прибегая к автоматизации, для небольших проектов вполне быть может и приемлемый сценарий. Но для больших задач с миллионами...
Как перестать бояться и полюбить менеджер паролей
Знаете, что нужно перейти на менеджер паролей, но не знаете, с чего начать? Это короткая статья для вас. Читать далее...
Синяя немецкая стрекоза. Siemens C65 — народный телефон 2004 года
Среди молодёжи всё более популярным занятием становится коллекционирование различных ретро-телефонов, и в особенности - моделей марки Siemens. Всё просто - большинство моделей этой компании и были ориентированы на молодёж, просто на одно поколение старше, и выделялись молодёжным дизайном, обилием...
Payment Village на PHDays 11: как проверяли на прочность онлайн-банк
Всем привет! В нашем блоге мы уже рассказывали о том, что на форуме Positive Hack Days 11 работала специальная зона Payment Village, где любой желающий мог поискать уязвимые места в онлайн-банке, банкоматах (если вдруг пропустили, читайте подробный райтап) и POS-терминалах. Делимся райтапом и...
Безопасность и шифрование. Element/Matrix — достойная альтернатива Slack и Mattermost
Сегодня многие ищут более удобный, дешёвый и безопасный вариант для корпоративных коммуникаций. К сожалению, Slack, Microsoft Teams и другие проприетарные решения не удовлетворяют требованиям по безопасности, а за коммерческие лицензии нужно платить. В качестве альтернативы часто смотрят в сторону...
Domain Fronting. версия 1.3
В данной статье представляется новый взгляд на старую и знакомую заядлым пентестерам тему как DomainFronting. Тем более, что после недавних нововведений в протокол TLS v1.3 от компании Cloudflare эта избитая тема заиграла новыми красками. Читать далее...
Анонимность и подлинность
Изложенный ниже текст состоит из двух логически связанных частей. В первой части предлагается конструктивное опровержение утверждения о том, что неотслеживаемость включает в себя анонимность. Во второй, на примере конкретных практических задач, смысловое содержание которых преподносится в форме...
Взламываем простой смарт-контракт в блокчейне TON
В данной статье мы разберем взлом простейшего смарт-контракта в сети TON. Не переживайте, если вы не знаете, что такое TON или как писать смарт-контракты, в данной статье будет и краткий разбор для "профи блокчейн разработки", так и подробный разбор для новичков. Читать далее...
Lumia 640 — всё ещё достоин?
С момента развала "той самой" Nokia прошло уже 10 лет. С момента развала Nokia под надзором Microsoft прошло уже 6 лет. С момента окончания поддержки Windows Phone прошло уже 3 года. Для любого софтварного продукта такой большой срок иногда просто критичен, а иногда система умудряется получить...
Уязвимость в Zendesk могла позволить злоумышленникам получить доступ к конфиденциальной информации
Исследователи из Varonis Threat Labs обнаружили возможность SQL-инъекции и уязвимость логического доступа в Zendesk Explore, компоненте платформы Zendesk. Читать далее...
Это не тот ЦОД, к которому вы привыкли. Чем аттестованный сегмент отличается от классического?
Сегодня у компаний есть несколько вариантов размещения своих приложений в зависимости от задач и требований регуляторов. Аттестованный сегмент ЦОД занимает выгодную позицию с точки зрения возможности масштабирования и гибкости оплаты по сравнению с on-premise инфраструктурой. При этом сохраняет...
Тест старения светодиодных ламп: 2000 часов
Более восьми месяцев ушло на то, чтобы измерить, как меняются характеристики светодиодных ламп через 500, 1000 и 2000 часов работы. Читать дальше →...
Этот китайский смартфон за 250 рублей имеет аккумулятор, который можно подключить «на горячую». Всё ещё достоин?
Как обычно, без технички и колхоза не обойдется. Но на этот раз не только с моей стороны - но и со стороны китайцев. Иначе как можно объяснить решение, что китайцы решили выпустить смартфон с целыми двумя аккумуляторами, один из которых "пристегивается" на лету? Кроме того, мы попытаемся сделать...
20+ хакерских операционных систем для атаки и защиты
На этот раз речь о различных десктопных Linux-дистрибутивах, но найдется место и Android, и даже Windows. Большинство хакерских ОС отчасти похожи на подборки узкоспециализированных утилит, которые я уже выкладывал. Они представляют собой готовые наборы инструментов с некоторыми предустановками для...
(не) Безопасный дайджест: потерянные учетки, компенсация за мегасливы и утечки «с ветерком»
Пришло время обсудить, что натворили хакеры и инсайдеры в ноябре. Нынешняя подборка ИБ-инцидентов серьезнее некуда: тут и кибератаки на гигантов, и фишинг, и даже забывчивые сотрудники, действия которых стоили компании клиентских данных. Читать далее...
Дайджест недели от Apple Pro Weekly News (21.11 – 27.11.22)
Сколько Apple потеряет из-за протестов на китайском заводе Foxconn, что случилось с приложением iCloud на Windows, выпущено новое приложение для Apple Watch Ultra и новости по банковским приложениям в App Store. Это новый дайджест Apple Pro Weekly News, переходим к новостям. Перейти к новостям...