Философия защиты персональных данных: долгая дорога к безопасности
Привет, Хабр! Меня зовут Илья Башкиров. Я юрист по информационной безопасности в ГК InfoWatch. Только ленивый не написал, что с июня этого года в России вводятся оборотные штрафы и другие санкции для компаний за утечку персональных данных. Здесь Россия движется в фарватере общемировых практик....
Аудит информационной безопасности: комплексная модель оценки зрелости процессов
Вопрос зрелости практик информационной безопасности волнует практически каждую российскую компанию: кибератаки становятся изощреннее, требования регуляторов ужесточаются, а импортозамещение требует быстро перестраивать ИТ-процессы. Как понять, насколько ваша система действительно надежна, где...
Вкратце об анонимных сетях и задачах анонимизации | Proxy, Onion, Dining Cryptographers, Queue Based, Entropy Increase
Каждую анонимную сеть можно классифицировать различным образом - можно смотреть на сетевую архитектуру: децентрализованная она или гибридная, можно смотреть на открытость или закрытость исходного кода, можно смотреть на то, каким образом пакеты маршрутизируются в системе, можно сравнивать модели...
Пошаговое руководство по внесению ПО и ПАК в Минцифры в 2025 году
Ежегодно процесс регистрации программного обеспечения (ПО) и программно-аппаратного комплекса (ПАК) в реестре отечественного ПО претерпевает значительные изменения, и их незнание увеличивает риск отказа. Эта статья — полноценный гайд для IT-компаний. Она ответит на все часто задаваемые вопросы по...
Взлом уязвимой операционной системы Vulnix. Уязвимая служба/протокол smtp
Всех приветствую, читатели Хабра! В сегодняшней статье я поделюсь примером взлома уязвимой ОС Vulnix и энумерацией порта/сокета/службы smtp. После чего опять же пример брутфорса паролей Примечание Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих...
Скрытые языки: как инженеры передают информацию внутри команды, избегая документации
Технические команды часто избегают лишней документации, но информация всё равно каким-то образом передаётся, сохраняется и развивается. В этой статье — попытка разобрать скрытые механизмы общения внутри инженерных команд: как выстраиваются негласные соглашения, каким образом рождаются "внутренние...
[Перевод] Пишем на C самоизменяющуюся программу x86_64
«Зачем вообще писать программу, меняющую код в процессе выполнения? Это же ужасная идея!» Да, всё так и есть. Но это и хороший опыт. Такое делают только тогда, когда хотят что-то исследовать, или из любопытства. Самоизменяемые/самомодифицируемые программы не обладают особой полезностью. Они...
Четыре взлома ИТ-инфраструктуры, один из которых выдуман. Какой?
Публикуем примеры взлома информационной инфраструктуры четырех объектов. Под раздачу попали: банк, два дата‑центра и умный дом. Как видно из заголовка, только три варианта произошли в реальности, а один мы выдумали сами. Ответы — в конце статьи. Полагаем, что учиться на чужих ошибках всегда...
Мой опыт с AR-очками Xreal Air: ожидания и реальность
На днях прочитал на Хабре вот этот перевод и решил рассказать о своем опыте работы с подобными очками. Все началось с комментариев на Хабре, где несколько пользователей упомянули Xreal Air (ранее Nreal Air) как отличное решение для работы. Кто-то писал (не могу найти комментарий уже), что они...
Быстрый старт в маскировании данных PostgreSQL с инструментом pg_anon
В этой статье поговорим о не самом гламурном, но жизненно важном — маскировании данных. Маскирование может касаться имён, телефонов, номеров карт, медицинских диагнозов и другой чувствительной информации. Если ваша компания до сих пор передает данные подрядчикам или аналитикам как они есть в базе,...
[Перевод] Свой среди чужих: насколько токсична рабочая среда безопасника?
Привет, Хабр! В прошлом году мы опросили больше 300 ИБ-специалистов про уровень стресса на работе, и больше половины (53%) выбрали значения выше среднего. Выгорание – популярная тема обсуждений и реальная проблема в отрасли. Почему так происходит? Разбирались по следам интервью Роба Ли,...
[Перевод] Обход двухфакторной аутентификации в публичной баг-баунти программе: путь к $6000
Находить уязвимости в публичных программах — это одновременно захватывающе и прибыльно. В этом посте я расскажу, как обнаружил и использовал уязвимость обхода 2FA в одной публичной баг-баунти программе (название скрыто, используется redacted.com из соображений конфиденциальности), что принесло мне...
Кратко про XHTTP для VLESS: что, зачем и как
Просили нас тут рассказать про протокол технологию XHTTP в контексте XRay, VLESS и прочих. Просили - рассказываем! Для начала немного истории. Классическое использование VLESS и подобных прокси-протоколов (в том числе с использование XTLS-Reality) предполагает подключение клиента напрямую к...
[Перевод] Как я нашёл уязвимость в ядре Linux при помощи модели o3
В этом посте я расскажу, как нашёл уязвимость нулевого дня в ядре Linux при помощи модели OpenAI o3. Уязвимость обнаружилась благодаря одному лишь API o3 — не потребовались никакая дополнительная настройка, агентские фреймворки и инструменты. Недавно я занимался аудитом уязвимостей ksmbd. ksmbd —...
Забавы в ближнем инфракрасном. Часть 3. Странный счётчик
В предыдущих публикациях ( Часть 1 и Часть 2 ) рассказывалось, как изготовить самодельный счётчик объектов, пересекающих единственный инфракрасный луч (барьер). В счётчике использовался механизм внешних прерываний микроконтроллера. Соответственно, скетч для Arduino выглядит крайне простым. Теперь...
SelfCoerce для локального повышения привилегий на Windows 10
Всем привет! Меня зовут Дмитрий Неверов, я руковожу направлением анализа защищенности внутренней инфраструктуры в Бастионе. Сегодня представлю метод локального повышения привилегий на Windows 10. Сам подход не новый и уже после его тестирования я обнаружил статью, в которой описывается нечто...
Теория мертвого 2GIS
Выбрали хороший ресторан (врача, СТО, юриста, риэлтора) по отзывам и высокому рейтингу в 2GIS, а оказалось, что там если не ужас-ужас-ужас, то как-то средне, явно не похоже на то, что вы бы ожидали от рейтинга 4.8 или даже 5 баллов. Знакомо? Все знают, что в 2GIS могут быть накрученные фейковые...
Постквантовые криптостандарты США на алгоритмы электронной подписи на основе хеш-функций с сохранением состояния
Приветствую, Хабр! В моей предыдущей статье были описаны принятые в прошлом году стандарты США FIPS (Federal Information Processing Standard – Федеральный стандарт обработки информации – аналог стандартов ГОСТ Р в России) на постквантовые алгоритмы электронной подписи (FIPS 204 и FIPS 205) и...