Псс, парень, не хочешь сделать модуль для Flipper Zero?
У Flipper Zero на боку есть отверстия GPIO под стандартную гребенку 2.54 мм, к которым выведены ноги микроконтроллера. Там есть аппаратный SPI, I2C, UART и много другой периферии, доступной в нашем чипе STM32. Эти контакты можно использовать для подключения к сторонним устройствам по промышленным...
Microsoft представила Azure Defender — сетевое решение для защиты IoT-устройств
Компания Microsoft представила новое решение из области информационной безопасности на базе Azureдля защиты устройств класса умного дома — IoT Azure Defender. Система реализована по принципу бесклиентного межсетевого экрана, который контролирует внешние подключения и запросы к IoT-устройствам в...
[Перевод] Всё, что вы хотели знать о безопасном сбросе паролей. Часть 2
Двухфакторая аутентификация Всё прочитанное вами в первой части касалось идентификации на основании того, что знает запрашивающий. Он знает свой адрес электронной почты, знает, как получить к ней доступ (т.е. знает свой пароль от электронной почты) и знает ответы на секретные вопросы. «Знание»...
Cisco ISE: Настройка гостевого доступа на FortiAP. Часть 3
Приветствую в третьей публикации цикла статей, посвященному Cisco ISE. В данной публикации вас ждет погружение в гостевой доступ, а также пошаговое руководство интеграции Cisco ISE и FortiGate для настройки FortiAP. Подробнее...
Использование SIEM в ходе подготовки этичных хакеров: открываем цикл практических лабораторных работ
Как мы готовим в наших университетах и учебных центрах этичных хакеров? Как правило, предоставляем им Kali Linux или «Сканер-ВС», включающие набор инструментов для тестирования защищенности и машину со множеством уязвимостей. В результате слушатели могут получить довольно поверхностное...
Вышел пакет Sequoia 0.20.0, реализация OpenPGP на Rust
Вчера был представлен выпуск пакета Sequoia 0.20.0. Он предлагает библиотеку функций и инструментарий командной строки с реализацией стандартов OpenPGP (RFC-4880). Команда проекта состоит из трех человек — участников проекта OpenPGP (RFC-4880). Для повышения безопасности и надежности кодовой базы...
Расширение Nano Defender нужно срочно удалить из браузера
3 октября 2020 года программист jspenguin2017, автор расширения Nano Defender, сообщил в официальном репозитории, что продал проект «группе турецких разработчиков». Это сообщение вызвало массу слухов и опасений: что за турецкие разработчики, кто контролирует код, почему из репозитория удалена...
Системы защиты Linux
Одна из причин грандиозного успеха Linux ОС на встроенных, мобильных устройствах и серверах состоит в достаточно высокой степени безопасности ядра, сопутствующих служб и приложений. Но если присмотреться внимательно к архитектуре ядра Linux, то нельзя в нем найти квадратик отвечающий за...
[Восстановленная статья] Уязвимость в Pixelknot
Некоторые известные уязвимости не фиксятся годами… Тема публикации — стеганография Стеганография — способ передачи или хранения информации с учётом сохранения в тайне самого факта такой передачи (Википедия), проще говоря, стеганография — сокрытие наличия/существования самого тайного послания без...
Hack The Box. Прохождение Blunder. Ломаем Bludit CMS
Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox. Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то...
Как мы нашли уязвимость в почтовом сервере банка и чем она грозила
Мы часто проводим пентесты для банков и других финансовых организаций. Так же часто обнаруживаем уязвимости разного уровня критичности. Этот пост — про один из таких кейсов. Недавно, проверяя защищенность веб-ресурсов банка, мы нашли уязвимость в почтовом сервере Exim 4.89, которая может приводить...
Поворотная камера на raspberry pi zero c web-интерфейсом(DIY)
Родилась идея сделать бюджетную web камеру, используя доступные ингредиенты. Желательно, чтобы у нее был готовый web-интерфейс, чтобы можно было управлять ею удаленно, вращая в разные стороны, чтобы можно было настройки менять, чтобы делать фото-/видео-, скачивать записанное, motion detection...
Смарт-карт ридер JCR721 – обзор возможностей и особенностей
Сегодня предлагаем к рассмотрению новую модель смарт-карт ридера – JCR721 производства "Аладдин Р.Д.". JCR721 – профессиональный отечественный доверенный смарт-карт ридер для работы со смарт-картами в корпоративной среде. Читать далее...
[Перевод] Всё, что вы хотели знать о безопасном сбросе паролей. Часть 1
Недавно у меня появилось время снова поразмыслить над тем, как должна работать функция безопасного сброса пароля, сначала когда я встраивал эту функциональность в ASafaWeb, а потом когда помогал сделать нечто подобное другому человеку. Во втором случае я хотел дать ему ссылку на канонический ресурс...
Заменит ли автоматизация пентестеров?
Тестирование на проникновение (penetration testing, pentest) — вероятно, самая показательная «дисциплина» информационной безопасности. Показательная во всех аспектах: про хакеров снимают фильмы, их деятельность помогает подсветить «настоящие» проблемы информационной безопасности компании (real...
[Перевод] Минимизация рисков использования DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH)
Скоро в корпоративных сетях начнется рост зашифрованного DNS-трафика. Зашифрованный трафик DNS, который не анализируется должным образом и разрешен, представляет угрозу безопасности для компании. По данным Palo Alto Networks Unit 42 Threat Research, примерно 85% вредоносных программ используют DNS...
Android Guards. История создания, развития и первый meetup
Привет Хабр! На связи маленькое, но гордое сообщество людей делающих android-приложения безопаснее. Нашему сообществу в этом году исполнилось 3 года и было решено подвести некоторые промежуточные итоги, рассказать как создавалось наше сообщество и поделиться дальнейшими планами. Ну и конечно же...
Как обнаруживать перемещение атакующих по сети
На проектах по анализу защищенности корпоративных информационных систем в 2019 году нашим пентестерам удалось преодолеть сетевой периметр 93% компаний. При этом в сеть 50% компаний можно было проникнуть всего за один шаг. Чтобы не дать реальным атакующим достичь цели, важно вовремя выявлять их...