Kubernetes: трансформация к SecDevSecOpsSec
Данная статья — взгляд на то, как Kubernetes способен повысить уровень безопасности, упростив управление ею и ускорив внедрение механизмов безопасности с точки зрения специалиста по ИБ, который большую часть своей карьеры занимался наступательной безопасностью. Сейчас на примере Kubernetes я вижу,...
Безопасная раскраска: специальная теория относительности, доказательство с нулевым разглашением и цветные графы
Когда-то письма были самым распространенным методом передачи данных. Но на смену аналоговому миру пришел цифровой. Практически у каждого в кармане имеется устройство, позволяющее передавать и короткое сообщение, и снимок, и видео/аудио, и даже полное собрание произведений Дарьи Донцовой (а это...
[Перевод - recovery mode ] Разоблачение методов многофакторной аутентификации в Box (Часть 2)
Исследовательская лаборатория Varonis обнаружила способ обхода многофакторной аутентификации в учетных записях Box, использующих SMS-коды для подтверждения входа. Используя этот способ, хакер может применять украденные данные для взлома корпоративного аккаунта Box и эксфильтрации конфиденциальной...
Самые громкие события инфосека за 2021 год
2021 пообещал много веселья ещё до того, как начался: за пару недель до его наступления выяснились детали масштабной атаки на SolarWinds, которую будут разбирать еще полгода. Под катом мы подводим итоги ушедшего 2021 в примечательных ИБ-событиях каждого месяца. Читать далее...
Анализ теней: 5 примеров использования SunCalc для OSINT расследований
SunCalc — это инструмент, который помогает толковым людям по теням на фотографии или видео вычислить местоположение. SunCalc создан из готовых элементов с минимальным программированием. Выглядит как гугл-карты на стероидах. На сайте вы задаете точку на карте и в результате видите круг виртуального...
[Перевод] Вы используете ненадежный код
В декабре прошлого года Log4Shell сократил ночи многих людей в мире JVM. Хуже того, используя аналогию с землетрясением, после первоначального землетрясения возникло множество афтершоков. Я сразу установил связь между Log4Shell и Security Manager. Сначала я не хотел об этом писать. Но ко мне...
Не паролем единым. Как защищать данные в современных организациях
Ценность данных часто описывают фразой «Кто владеет информацией, тот владеет миром». Небрежное обращение с данными открывает доступ злоумышленникам к вашим секретам и способно привести к потере денег и репутации. Можно ли обезопасить себя и свою организацию от действий третьих лиц, и какие...
Экспорт ключа ФНС
Всем привет, Пишу этот пост как инструкцию для себя и других, кто получил ключ "на флешке" в Российской налоговой и хочет скопировать его на компьютер. Также можно преобразовать его в openssl-формат, пригодный для Diadoc API и других. Проблема в том, что ФНС ставит на токене флаг "экспорт...
Альтернатива сложным комбинациям: оценили надежность и удобство эмодзи-паролей
Всем привет! Меня зовут Валерий Кузьменков, я работаю аналитиком информационной безопасности в Positive Technologies (если интересно, чем занимается мой отдел и почему специалисты этого направления уникальны на рынке, читайте другой наш пост). Начну немного издалека: специалисты по...
HackTheBox разбор ID Exposed. На поиски Сары. Продолжаем разбор лаборатории OSINT (Уровень: Easy)
Здравствуйте, продолжаю цикл статей по разбору OSINT EASY-уровня. Задача We are looking for Sara Medson Cruz's last location, where she left a message. We need to find out what this message is! We only have her email: saramedsoncruz@gmail.com В этот раз задачка найти Сару (произносить с...
Мини-ПК в 2022 году: интересные модели, которые могут пригодиться в офисе и дома
Несмотря на все усугубляющийся кризис производства полупроводниковых компонентов, производители электронных устройств поставляют на рынок все новые девайсы. В 2022 году успело выйти немало интересных моделей, которые могут пригодиться как компаниям, так и обычным пользователям. Подробнее об этих...
Security Week 2203: wormable-уязвимость в Windows
На прошлой неделе, 11 января, компания Microsoft выпустила очередной ежемесячный набор патчей для собственных продуктов. Всего было закрыто 97 уязвимостей. Девять уязвимостей классифицированы как критические, а из них наибольший интерес представляет проблема CVE-2022-21907 в модуле HTTP.sys,...
Киберпанк, кольщик и Q-пола. Ранняя история умных татуировок
Неспокойная обстановка нашего ковидного времени (подумать только, менее одиннадцати месяцев прошло с тех пор, как я впервые вакцинировался «Спутником-V») возродила практику шуток и теорию заговоров по поводу всеобщего чипирования. А еще не так давно мы с коллегой по Хабру обсуждали технологическую...
Reactive Spring ABAC Security: безопасность уровня Enterprise
В продолжение к предыдущей статье Передовые технологии на службе СЭД рассмотрим современные подходы к обеспечению корпоративной безопасности и ожидаемые риски у корпораций в России. Что такое безопасность уровня Enterprise? Встречается огромное разнообразие схем конфигурации безопасности...
[Перевод] Уязвимость Safari 15 может легко раскрыть вашу личность любому веб-сайту
FingerprintJS не использует эту уязвимость в своих продуктах и не предоставляет сервисы межсайтового отслеживания. Мы боремся с мошенничеством и поддерживаем тенденцию полного устранения межсайтового отслеживания. Мы верим, что уязвимости, подобные этой, должны открыто обсуждаться, чтобы помочь...
Web3 и NFT: хайп обоснован или нет? Ещё неясно
Основатель Signal написал на прошлой неделе сильный текст о проблемах web3 и, в частности, NFT. Привожу краткое саммари статьи + дискуссии о перспективах самой модной (по ожиданиям венчурных капиталистов) темы 2022 года. Высказались в том числе фаундер Metamask и создатель Ethereum. И зову вместе...
[Перевод] Рекомендации по проектированию безопасности API для внутренних и облачных систем
Эта статья является переводом моей английской статьи которую можно прочитать здесь. Заранее извиняюсь за возможные неточности в компьютерной терминологии на русском языке. Интерфейсы прикладного программирования или API отвечают за большую часть системной интеграции и функциональных компонентов...
«Хакер» на «Хабре»! Как дела у легендарного хакерского журнала
Привет хабровчанам! Я — главный редактор Xakep.ru Андрей Письменный (и это моя настоящая фамилия, если кто вдруг сомневался). После многолетнего перерыва «Хакер» возвращается с постами для «Хабра», но в этот раз вместо выборочной публикации наших статей мы будем писать посты специально для...