[Перевод] Как я случайно обошёл блокировку Google Pixel и получил за это $70 тысяч
Я обнаружил уязвимость, похоже, затронувшую все телефоны Google Pixel: вы можете дать мне любое заблокированное устройство Pixel, и я верну его вам разблокированным. Баг устранили в обновлении безопасности 5 ноября 2022 года. Проблема позволяла атакующему с физическим доступом к телефону обойти...
Одноплатник Orange Pi 5: характеристики и возможности одного из конкурентов Raspberry Pi 4
Raspberry Pi — почти что идеальный вариант одноплатника как для корпоративный проектов, так и для собственных DIY-проектов. Эти системы относительно недорогие, функциональные и небольшие по размеру, что и сделало их одними из самых популярных одноплатных компьютеров в мире. Но время от времени...
Как и зачем создавалась одна из первых систем квантового распределения ключей в России
Экспертиза нашей компании традиционно лежала в теме «классической» криптографии, но свою первую статью в блоге мы хотим посвятить инновационной теме и разработкам, которыми особенно гордимся — квантовому распределению ключей и системам их доставки. Подробнее...
Выход из плоскости. Тактильная графика и закоулки интеллекта
Уже очень давно я писал на Хабре статью о кипу – узелковом письме древних инков. В этой статье я упоминал, что Луи Брайлю удалось создать шрифт для слепых из-за стечения обстоятельств: Луи не был слеп от рождения, а утратил зрение, поранив себе глаз грязным шорным ножом, с которым неосторожно играл...
Как команда отразила крупную DDoS-атаку на инфраструктуру клиента
Привет, Хабр! В сентябре команда #CloudMTS отразила масштабную DDoS-атаку на клиентов одного из наших коммерческих дата-центров в Москве. На пике мы зафиксировали 30 млн flows per second, что для данной площадки в 300 раз превышало привычные значения. Атака длилась несколько дней подряд, в ходе...
Как случайность позволяла группе подростков обманывать пользователей Telegram в течении 3меc, с общим ущербом в $1.5 млн
Эта статья выйдет раньше официального ответа Дурова или даже "расследования" Кода Дурова. Причина тому - некомпетентность, халатность и замаличвание. 28 октября 2022 года в час ночи Давронбек Рустамов, модератор узбекского чата Дурова, получил сообщение об уязвимости в оплате премиум подписки...
KasperskyOS: от абстрактной идеи к реальной системе
Добрый день, Хабр! Меня зовут Андрей Духвалов и я руковожу департаментом перспективных технологий aka Future Tech в «Лаборатории Касперского». Сегодня, 11 ноября 2022 года, исполняется ровно 20 лет идее, которая в итоге усилиями большой команды разработчиков превратилась в нашу операционную...
Пакуем секреты правильно
Безопасное хранение и передача секретов (токенов, паролей и т.п.) между пользователями и сервисами – это один из вызовов, с которыми сталкиваются разработчики и DevOps инженеры. Традиционные централизованное хранение в менеджерах паролей, например, полностью проблему не решает, а лишь смещает её в...
Google Dorking. Если ты сотрудник СБ компании
Про Google доркинг написано и сказано много. Косвенно данной темы мы касались в статье: как проверяют физических лиц в СБ компаний методом OSINT. Ну и самой, на мой взгляд, толковой статьей на просторах Хабр по вопросу доркинга является статья: Google Dorking или используем Гугл на максимум. В...
Как построить Security Сenter для Kubernetes-платформы
Эта статья будет полезна специалистам по безопасности и DevSecOps, платформенным командам и DevOps, и вообще всем, кто сталкивался или может столкнуться с более, чем одним кластером Kubernetes в продакшене. За основу взято выступление Алексея Миртова на HighLoad++ Foundation 2022. Он является...
5 шагов до крупного заказчика: что сделать SaaS-приложению, чтобы начать работать с enterprise
Привет, Хабр! Меня зовут Андрей, в Selectel я руковожу отделом продуктов клиентской безопасности. Мы предоставляем и развиваем защищенную IT-инфраструктуру, помогаем клиентам хранить данные в соответствии с лучшими практиками и стандартами. Мы видим, что число компаний, разрабатывающих...
Что принципиально поменялось в ИБ
Ситуация меняется буквально на лету — а с ней так же стремительно меняется и нормативка. За два последних года это активно коснулось всех основополагающих законов: о защите информации, персональных данных, критической инфраструктуры, электронной подписи. Вместе с ними меняются или уточняются и...
PAM: Когда нужно запустить безопасную работу с чем-то действительно очень важным
Привет, Хабр! Сегодня мне хотелось бы поговорить о том, как можно контролировать облачного провайдера или внешних подрядчиков, если речь идет о работе с действительно важными и даже критически важными ИТ-системами. В этом посте речь пойдет про решение категории PAM, а также о сценариях его...
Лампы GP из магазина Пятёрочка
В магазинах Пятёрочка по всей России появились в продаже светодиодные лампы GP. Я изучил их и протестировал. Читать дальше →...
От взлома Firefox до подготовки к Апокалипсису. Как польский хакер Михал Залевски попал в «Матрицу»
Как говорят философы, лучший код — код, которого нет или который не нужно поддерживать. Эта мудрость объясняет, почему некоторые выдающиеся разработчики не пишут много нового кода, а наоборот — ставят целью поиск и удаление лишнего. К ним относится хакер-самоучка Михал Залевски (Michal Zalewski),...
Обзор изменений в законодательстве за октябрь 2022
В обзоре изменений за октябрь 2022 года рассмотрим: поручения о размещении согласий субъектов персональных данных на Госуслугах, назначение оператора единой биометрической системы и законопроект о системе, порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ...
[Перевод] Система типов — лучший друг программиста
Я устал от одержимости примитивами и от чрезмерного использования примитивных типов для моделирования функциональной области. Значение в string не лучший тип для записи адреса электронной почты или страны проживания пользователя. Эти значения заслуживают гораздо более богатых и специализированных...
Эффективная защита RDP «на минималках» ч.2
В поисках самого простого и бесплатного (или максимально дешевого) способа защиты RDP предлагаю добавить известный многим IPBAN от Jeff Johnson: https://github.com/jjxtra. Единственный замеченный минус - у меня, почему-то, не зависимо от того указываю я 3 попытки для блокировки или 5 - всё равно...