Habr Weekly #28 / Выступать публично не страшно, Starship взорвался, Tesla показала CYBRTRCK, Сапсан взломали
В этом выпуске: 01:12 Хотим выяснить, что вы думаете про рекламу в подкастах, и просим пройти суперкороткий опрос: u.tmtm.ru/pdcst2. 02:58 Хорошее публичное выступление: 11 простых советов, taksebe 15:41 Starship Mk1 взорвался во время тестов 20:35 Электрический пикап Tesla Cybertruck: итоги...
OWASP Moscow (Russia) meetup 12/19 CFP
Последняя в этом году встреча российского отделения OWASP пройдет 6 декабря 2019 года в московском офисе компании BI.ZONE. Вас ждут интересные доклады и обсуждения, программа и планы сообщества на 2020 год, участие в активностях сообщества и реорганизация локальных OWASP chapters. Читать дальше →...
XSS, CSRF и Flash аутентификация. Решение задач с r0от-мi Web— Client. Часть 2
В данной статье угоняем куки через Stored XSS, разбираемся с CSRF атакой и реверсим Flash SWF файл. Ссылки на предыдущие статьи: Часть 1: Web — javascript authentication, obfuscation и native code. Решение задач с r0от-мi Web— Client. Организационная информация Специально для тех, кто хочет...
[Перевод] Значит, хотите запустить Windows 10 на калькуляторе? Ну ладно
HP Prime G2 под операционной системой Windows 10 IoT О запуске Windows на стандартном калькуляторе можно было только мечтать до появления HP Prime G2. Ещё никогда на рынок не выходил калькулятор на таком мощном железе. И что ещё более важно, HP выбрала процессор ARMv7-A! В этой статье обсудим, как...
Биткойн в клетке?
Так сложилось, что я по профессии администратор компьютерных систем и сетей (короче: сисадмин), и довелось поведать за немногим более чем 10 лет проф. дейтельности самых разных систем, включая тех, что требуют [по|за]вышенных мер безопасноти. А еще сложилось, что некоторое время назад я нашёл для...
Чёрная пятница 2019 для видеонаблюдения и облака
Через несколько дней Black Friday станет значимой точкой входа в облако для существующих и будущих клиентов Ivideon, которые захотят обновить любую локальную систему видеонаблюдения. С 26 ноября мы начнём распродажу, увеличивая количество «касаний» пользователей и облака — хотим разбить ценовой...
[Перевод] Обзор инструментов для безопасности GitHub репозиториев
Введение Когда вы начинаете создавать репозиторий на GitHub, одной из первых вещей, о которых вы должны подумать, является безопасность. В случае, если вы создаете свой собственный репозиторий GitHub или часто контрибьютите в репозиторий, вам необходимо знать, содержит ли ваш код какие-либо...
[Из песочницы] Взламываем механизм приватности Mimblewimble
Приватность криптовалюты Mimblewimble/Grin фундаментально уязвима. Потратив всего $60 в неделю на AWS, я однозначно связал отправителей и получателей для 96% транзакций Grin в режиме реального времени. Уязвимость находится в основе протокола Mimblewimble, и я не думаю, что ее можно исправить....
Дети в интернете: как обеспечить кибербезопасность самых уязвимых пользователей
Проблема с юными пользователями смартфонов, планшетов и прочих устройств с выходом в интернет заключается не только в том, что дети могут случайно увидеть, прочитать или скачать что-нибудь неуместное в их возрасте, но и в том, что в связи с недостаточным жизненным опытом и знаниями они очень...
Боль в запястьях и компьютерные мышки
В одно прекрасное утро я осознал, что не могу опереться на правую руку — ощутимо болело запястье. Проводя 8 часов за компьютером на работе и ещё пару-тройку часов дома, я всегда несколько переживал из-за перспектив заработать туннельный синдром. Когда речь заходит про компьютеры и здоровье, то на...
«Сегодня АСУ ТП не защищают ни воздушный зазор, ни проприетарные протоколы» — интервью с Владимиром Карантаевым
Общественность регулярно будоражат сообщения о кибератаках на промышленные предприятия разных стран. Российские регуляторы требуют обеспечить защиту объектов, имеющих критически важное значение для функционирования экономики. Публикуем интервью с Владимиром Карантаевым, руководителем рабочей группы...
Светодиодные лампы GP
Компания GP, хорошо известная по батарейкам, аккумуляторам, зарядным устройствам и пауэрбанкам, приступила к производству светодиодных ламп. Первая партия прибыла в Россию в ноябре и я протестировал все модели. Читать дальше →...
Шпаргалки по безопасности: CSRF
Не смотря на то, что в последнем публиковавшемся перечне уязвимостей OWASP Top 10 2017 CSRF атаки отнесены к разряду “Удалены, но не забыты”, мы решили, что не будет лишим еще раз напомнить о том, как защититься от CSRF атак, опираясь на те же правила, предоставляемые OWASP. Читать дальше →...
Red Hat OpenShift 4.2 предлагает разработчикам улучшенный и расширенный инструментарий
В октябре 2019 года вышел OpenShift 4.2, вся суть которого продолжает курс на автоматизацию и оптимизацию работы с облачной средой. Напомним, что в мае 2019 года мы представили Red Hat OpenShift 4 – следующее поколение нашей Kubernetes-платформы, которую мы переработали с целью упрощения управления...
Исследуем активность кибергруппировки Donot Team
APT-группа Donot Team (также известная как APT-C-35, SectorE02) активна по крайней мере с 2012 года. Интерес злоумышленников направлен на получение конфиденциальной информации и интеллектуальной собственности. Среди целей преступников — страны Южной Азии, в частности государственный сектор...
Hunt for Threat Hunters: как найти и подготовить грамотных специалистов?
Информационная безопасность — очень простая наука, но удивительно, как вокруг нее много мифов. Рынок перегрет и компании, которые собирают у инвесторов миллионы долларов, оказываются зачастую «мыльным пузырем». Незнание тактик, инструментов и мотивации киберпреступников приводит к тому, что...
[Перевод - recovery mode ] Revocation сертификатов — не работает
Прямо сейчас в интернете наличествует некая проблема, и, насколько я могу судить, с течением времени она лишь становится серьёзнее: всё большее и большее число сайтов получают сертификаты (что необходимо для запуска HTTPS), но у нас нет способа защитить себя, если «что-то пойдет не так». Читать...
[Перевод] Китайская системе социального кредита – это, в первую очередь, не система оценки граждан, а массивный API
Редко когда появляется настолько горячая тема, в которой мало кто разбирается, как китайская система социального кредита (ССК). Большинство людей, представляя себе ССК, считают её в первую очередь механизмом оценки, способом центрального правительства присвоить китайским гражданам и компаниям...