Конфиденциальность мертва: Яндекс и ВК обучают ИИ на ваших личных данных?
Если бы у Кевина Митника была Алиса PRO, то ему бы не пришлось рыться в мусорных баках ради доступа к персональным данным. Протестировав Yandex GPT я узнал, что голосовой ассистент от Яндекс не только раздаёт всем мой номер телефона по первому требованию, но и знает список несовершеннолетних в моей...
Нам 10 лет: празднуем первой публикацией результатов по МСФО
За 10 лет мы прошли путь от стартапа до архитектора комплексной кибербезопасности для крупнейших российских компаний и критической информационной инфраструктуры. Теперь мы сделали еще один шаг вперед — «Солар» впервые опубликовал финансовую отчетность по международным стандартам (МСФО) и...
[Перевод] Почему в индустрии фотокамер такой беспорядок с форматами RAW, и что говорят производители?
Когда вы настраиваете новую камеру или даже делаете фото с некоторых смартфонов, перед вами возникает выбор: JPG или RAW? Фото в JPG изначально готово к публикации практически везде, в то время как RAW — это сырой файл с дополнительными данными, дающими широкие возможности для пост-обработки. Такая...
Апрельский «В тренде VM»: уязвимости в Microsoft Windows, продуктах VMware, Kubernetes и Apache Tomcat
Хабр, привет! На связи Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей,...
[Перевод] Повышение привилегий через Disk Group
Повышение привилегий через Disk Group — это метод, при котором злоумышленники используют членство в группе управления дисками в системах Linux. Основной целью таких атак является диск /dev/sda — основной жесткий диск. Атакующие пытаются использовать ошибки в настройках или уязвимости, чтобы...
Это под силу даже веб-разработчику! Размышляю, как создать драйверы на JavaScript с API WebUSB
Привет! Я Игорь Кечайкин, руководитель группы разработки во Frontend-команде Flocktory. Недавно, решая задачу, связанную с API WebUSB для Fingerprint-атрибуции пользователя, задался совершенно не связанным теоретическим вопросом: а как создать с этим API драйверы на JavaScript? Чтобы разобраться,...
Краткое описание спецификаций OAuth 2.0
Про OAuth 2.0 уже написано немало статей, в том числе на Хабре, но у этих статей есть особенность - в то время как после основного RFC 6749 вышло несколько дополнительных RFC, расширяющих, объясняющих и дополняющих основной RFC, обычно описывают только базовую спецификацию. Это не говорит, что...
Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF
В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для...
Сертификация ФСТЭК: как мы перестали бояться и полюбили процесс
Знаете, как обычно проходит первая встреча с сертификацией ФСТЭК? Примерно как встреча с медведем в лесу. Все знают, что он где-то есть, все слышали истории о том, как другие его видели, но пока не столкнешься сам — не поймешь масштаба. В какой-то момент нам стало понятно: либо научимся проходить...
Цифровизация и киберугрозы в Латинской Америке: как технологии привлекают хакеров
Латинская Америка и Карибский бассейн переживают настоящую цифровую революцию, но вместе с новыми возможностями приходят и серьёзные киберугрозы. Ситуация с уровнем цифровизации в странах Латинской Америки и на Карибах сложилась по-разному — в то время как в одних государствах активно внедряют...
Бой с тенью: специалисты F6 помогли отразить кибератаку на сеть клубов Alex Fitness
Наконец готовы рассказать о большом кейсе по нейтрализации кибератаки на Alex Fitness. Слаженная работа команды F6, а также ИТ- и ИБ-подразделений клиента позволила своевременно обнаружить и локализовать атаку, не допустив деструктивных действий в отношении инфраструктуры и хищения данных....
Китайцы разработали 32-bit RISC-V процессор с полупроводником толщиной в пару атомов. Что за чип?
На днях в сети появилась интересная новость: китайские ученые создали 32-битный процессор RV32-WUJI на основе полупроводника толщиной в несколько атомов. Этот чип на архитектуре RISC-V — пока только демонстрация того, как новые полупроводники могут работать в электронике. Возможно, разработка будет...
Криптокошелек или жизнь (данных): Ransomware вчера, сегодня, завтра
Программы-вымогатели, шифровальщики, ransomware — одна из самых остроумных, эффективных и злободневных киберугроз нашего времени. Попробуем охватить этот занимательный феномен целиком, от его зарождения до самых ярких проявлений и перспектив на будущее. За 2024 год атаки ransomware в России выросли...
[Перевод] Расследование аферы с GitHub: как тысячи «модов» и «кряков» крадут наши данные
Перевели статью, автор которой раскрыл новую схему мошенничества на GitHub, где под видом модов для игр и взломанных программ распространяется вредоносное ПО, которое похищает личные данные пользователей. Читать далее...
Легкий способ преобразовать запоминаемый пароль в 65-символьный хэш для защиты ваших аккаунтов
Легкий способ преобразовать запоминаемый пароль в 65-символьный хэш для защиты ваших аккаунтов. Наблюдая, как многие пользователи часто используют один и тот же пароль на разных сайтах я задумался: а почему бы не сделать процесс автоматического усиления пароля? Читать далее...
Запускаем Openwrt в виртуалке с отдельным адресом и socks прокси на Apple silicon
Запуск OpenWRT в виртуальной машине на macOS с отдельным IP-адресом и SOCKS-прокси В этой статье мы покажем, как запустить OpenWRT в виртуальной машине на macOS, используя бесплатный UTM и Apple Virtualization Framework — для экономии ресурсов и удобства. OpenWRT получает собственный IP-адрес через...
Первый российский аппаратный балансировщик нагрузки DS Proxima
Цифровизация перестала быть выбором — теперь это вопрос конкурентоспособности. Российский финтех, госуслуги и ритейл не просто догоняют мировых лидеров — они формируют новые стандарты цифровой зрелости, на которые ориентируются и другие сектора экономики. Однако за внешней эффективностью цифровых...
UEBA в кибербезе: как профилирование поведения пользователей на основе Autoencoder помогает выявлять угрозы и аномалии
В современном мире количество атак растёт пропорционально количеству внедрений новых технологий, особенно когда технологии ещё недостаточно изучены. В последнее время атаки становятся всё более разнообразными, а методы их реализации — всё более изощрёнными. Дополнительные проблемы несут и методы...