[Перевод] Руководство по парольной политике. Часть 1
Руководство по парольной политике. Часть 1 Перевод чрезвычайно полезного документа от большого коллектива авторов. Содержит конкретные рекомендаци и объединяет появившиеся в последнее время руководства по парольной политике в одном месте, с целью создать универсальную парольную политику, которую...
Offline root CA с использованием YubiHSM
Общепринятой лучшей практикой считается использование отключенных от сети корневых удостоверяющих центров, a.k.a., offline root CA. Кроме того, не рекомендуется хранить закрытый ключ в файле, потому, что файл легко скопировать незаметно. Топовые HSM, типа Thales, стоят дорого: весь проект, включая...
VPN уровня Enterprise для всех
Привет! Мне захотелось раскрыть потенциал Pritunl, прикрыв его недостатки некоторыми доработками. Осмотрев все доступные по стоимости решения, Pritunl оказался единственным сервисом, который смог закрыть наши потребности. В этой статье описан процесс сборки кластера и базовые настройки, чтобы...
Дайджест недели от Apple Pro Weekly News (29.08 – 04.09.22)
Презентация Apple приближается: iOS 16 почти готова, новые слухи про iPhone 14 и Apple Watch Series 8, в России раньше всех в мире стартовал предзаказ на iPhone 14, но есть нюанс, а ещё зарегистрированы бренды для яблочной гарнитуры смешанной реальности. А также другие интересные новости – в свежем...
Проникновение в чужой ящик Gmail через скрытое расширение Chrome
Взлом почты — одно из самых популярных заданий на подпольном рынке хакерских услуг в даркнете, поскольку это краегольный камень для доксинга, кражи личности и перехвата коммуникаций жертвы. Неудивительно, что злоумышленники придумывают новые способы атаки для проникновения в чужой почтовый ящик. В...
Как защититься от сканирования портов и Shodan?
Серверы в опасности! Вы знали, что каждый включенный и подключенный к сети сервер постоянно подвергается атакам? Это могут быть разные атаки и с разной целью. Это может быть перебор портов с целью найти открытые от какой-то компании, которая позиционирует себя борцом за безопасность, но которая...
Новый одноплатник StarFive VisionFive 2 на 4-х ядерном RISC-V процессоре всего за $46
Совсем недавно программировали на Python и устанавливали Docker для Sipeed Lichee RV RISC-V. Модуль Lichee RV стал первым массовым дешевым решением на процессоре RISC-V с возможностью запуска Linux. Развитие архитектуры не стоит на месте, так компания StarFive, разработчик RISC-V процессоров,...
5 лучших ноутбуков для работы лета 2022 года: от ультрабуков до игровых ПК
Сегодня поговорим о технике, а именно — о рабочих инструментах для многих представителей IT-индустрии: от дизайнеров до разработчиков. Конечно, потребности у всех разные: кому-то нужен сверхмощный ПК, а для кого-то и хромбука 2018 года достаточно. В этой статье расскажем лишь о лэптопах 2022 года....
Выбираем: новое или альтернативное яблоко
Каждый год осень начинается со школьной линейки, мемов про Шуфутинского, сбора яблочного урожая. Ежики плачут, упираются, но продолжают есть кактусы покупать новые айфоны. В Купертино не устают подогревать интерес к новинкам. Интернет снова облетают тизеры, сотрудники теряют прототипы устройств в...
Бот или не бот — вот в чем вопрос
Идентификация пользователей интернета по "веб-отпечатку" (fingerprint) формирует новую реальность. Интернет теряет анонимность прямо сейчас. Это происходит не по причине насилия регулятора, а естественным путем вследствие появления доступной технологии защиты от ботов. Почему защита от ботов...
Стыкуем UserGate c зарубежными FW: боевой инструктаж
В одной из прошлых статей мы искали выход из ситуации с уходом вендоров NGFW из России и предлагали схемы безболезненного перехода на UserGate. Ситуация за это время особо не изменилась. Стало больше клиентов с задачей заменить зарубежный файрвол или протестировать отечественный, на этом фоне...
В интернете распространяется новый вариант вируса-шифровальщика — BianLian
Киберпреступники активно распространяют новый вариант программы-вымогателя под названием BianLian. Зловред написан на Go. По словам исследователей из Cyble Research Labs, популярность BianLian растёт с тех пор, как она была впервые обнаружена в середине июля 2022 года. Основную тяжесть атак...
XSS с мутациями: как безопасный код становится зловредным и при чем здесь innerHTML
В статье сначала взглянем на примеры mXSS уязвимостей недалекого прошлого, а затем рассмотрим совсем свежие примеры, которые позволили обойти защиту популярных HTML-санитайзеров. Разберемся как им это удалось, и почему так сложно надежно защититься от уязвимостей, основанных на мутациях...
Когда 2+2=5: чем страшны ошибки бизнес-логики приложений и почему их легко не заметить при разработке
Мы как-то писали про SSRF-атаку, которая входит в список наиболее распространенных уязвимостей OWASP Top 10. Однако мир уязвимостей намного разнообразнее и, конечно же, не ограничивается этим списком. Сегодня мы хотим рассказать про уязвимости, связанные с бизнес-логикой. Что в них необычного? Это...
Как мы строили безопасное web приложение на базе WIKI.JS
Особенности и условия Читать далее...
Старт 2 сезона Security Small Talk: ролики для профи и новичков в ИБ
Мы продолжаем делать видеоконтент, который может быть полезным как начинающим безопасникам, студентам, так и ИБ-и ИТ-специалистам. Сегодня публикуем 2 новых ролика Security Small Talk. В первом смотрите об управлении секретами в DevOps-окружениях, во втором найдете интересные факты о реагировании...
Найти и заблокировать: поиск фишера при помощи Maltego
Команда безопасности REG.RU в работе часто сталкивается с мошенниками, любителями спама, фишинговыми доменами, взломом аккаунтов, попытками угона доменов и т. д. На примере поиска создателя фишинговых сайтов я расскажу, как мы вычисляем подобных нарушителей с помощью Maltego. Читать далее...
Арифмометр Уильяма Сьюарда Берроуза: уже не совсем арифмометр, но ещё и не калькулятор. Эволюция счётных устройств
Привет, Хабр! В конце августа в далёком от нас 1888 году был получен патент на арифмометр Уильяма Сьюарда Берроуза — весьма продвинутое вычислительное устройство. О нём и поговорим в этой статье, поскольку девайс получился примечательным. Арифмометр Берроуза уже не был примитивной счётной машиной,...