[Перевод] SSL и SSL-сертификаты для новичков
Представляю вашему вниманию перевод статьи SSL and SSL Certificates Explained For Beginners. Я долго разбирался с SSL, сертификатами, центрами сертификации - это единственная статья, после которой у меня что-то отложилось в голове :) Поэтому возникла идея перевести ее и донести до широких масс....
Как я превратил старый смартфон в игровую консоль с возможностью звонить
Осторожно: эта статья точно будет хабратортной, ведь в ней мы смоделируем, спроектируем и запрограммируем своё видение N-Gage 2! Я очень старался сделать статью интересной даже для тех читателей, кто не разбирается в теме 3D-печати и программирования микроконтроллеров :) Я очень люблю ретро-игры и...
Пять мини-ПК, на которые стоит обратить внимание в 2025 году: интересные новинки февраля
Источник. Одноплатные компьютеры продолжают развиваться. Производители предлагают все больше разных моделей, как специализированных, так и более-менее универсальных. В феврале 2025 года на рынке появилось несколько интересных новинок, каждая из которых заслуживает внимания. В этом обзоре рассмотрим...
[Перевод] Захват аккаунта без единого щелчка мыши
Привет всем, сегодня я расскажу о том, как я смог захватить учетную запись без взаимодействия с пользователем, из-за одной неправильной настройки в гостевом входе. Читать далее...
Групповая политология, или еще один путь к администратору домена
Привет, Хабр! Давно хотел написать эти строчки, но получилось это сделать в возрасте, когда бытовых и семейных проблем становится все больше, а свободного времени все меньше. Моя первая статья, поэтому прошу не судить строго. Пару слов обо мне, или, как пишут в большинстве презентаций на профильных...
Сказ про то, как я Nanoleaf к умному дому подключал
Уверен, что практически все наши читатели сталкивались с неожиданным поведением обычных устройств. Вроде бы должно работать, но на каком-то этапе происходит сбой, а документация не дает никакого ответа. Так недавно произошло со мной. Так что искренне надеюсь, что этот небольшой пост на Хабре...
Ретроспектива по VPN: обзор развития технологии от 80-х годов до наших дней
В этом лонгриде я попытался погрузиться в тему и проследить, как VPN развивался и менялся на протяжении последних 30 лет. Читать далее...
Разбираемся в способах злоупотребления ssh.exe на Windows
Привет! Меня зовут Павел Козяев, я ведущий специалист группы исследования киберугроз компании BI.ZONE. В этой статье поговорим о легитимном инструменте от Microsoft, который злоумышленники используют в своих фишинговых кампаниях для создания туннелей, закрепления и исполнения команд на хосте жертвы...
Конфигуратор. Связываем хосты в единую инфраструктуру, используя функциональность Ansible inventory
Привет, Хабр! Продолжу серию статей об эффективном использовании Ansible для развертывания больших инфраструктур компаний. В этот раз расскажу, как мы конфигурируем установку отдельных развертываемых хостов и их сервисов, а также как связываются сервисы между собой. Читать далее...
[Перевод] Перехват данных из libpam (аутентификация в OpenSSH, passwd) с помощью Golang и eBPF
В этой статье я расскажу о том, как использовать технологии eBPF и uprobes для мониторинга процессов аутентификации в Linux-системах. На примере библиотеки libpam, которая используется в таких инструментах, как OpenSSH и команда passwd, я покажу, как с помощью Golang и динамического трассирования...
Мошенники любят QR-коды: разбираем кейсы, изучаем устройство подделок и делаем выводы
К 2025 году мошенники превратили QR-коды в инструмент массового обмана. Один неверный клик — и ваши деньги исчезают со счета, смартфон заражается вредоносным ПО, а персональные данные оказываются в руках злоумышленников. Давайте разберемся, как QR-коды из удобного инструмента превратились в...
От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
Современный дизайн, стремящийся к удобству и интуитивности, может стать опасным оружием в руках злоумышленников. Минималистичные интерфейсы, копирующие стиль популярных брендов, вызывают доверие, позволяя обманом получить данные пользователя. Темные паттерны — яркие кнопки «Согласиться» вместо...
Экспорт ключей TLS: зачем, почему и как реализовать с Go
Недостаточно просто записать дамп TLS-трафика: чтобы влезть внутрь анализатором - нужны секретные ключи. Если предусмотреть экспорт ключей при разработке сервиса, то это поможет при отладке. А инженеры DevOps, которые сервис сопровождают, будут рады. В crypto/tls из типовых библиотек Go интерфейс...
Вашей компании нужен этот сотрудник: объясняю, почему в 2025 нельзя не назначить ответственного за работу с ПД
Не разбрасывайте по офису флешки с персональными данными сотрудников и клиентов, обновляйте политику конфиденциальности и пользуйтесь российскими серверами. Сегодня копилочку ваших знаний о работе с ПД пополнят еще несколько важных мыслей. Речь пойдет не о бездушных серверах и устройствах, а о...
Я так устал вводить логин и пароль
Капчи украли у нас миллиарды часов и продолжают воровать дальше. Эту проблему надо решить, и есть технологии, которые могли бы заменить капчу, в том числе такие экзотические, как NFT с биометрией. Проверка на человечность — это пример относительно сложной в интеллектуальном плане задачи. Однако на...
Теория большого пентеста
Привет! Меня зовут Сергей Домнин, со мной моя коллега Анастасия Есина. Мы руководители направлений по информационной безопасности в SM Lab. В этой статье мы расскажем о таком методе оценки защищенности, как тестирование на проникновение, или пентест. Немного печальной статистики Начнем с...
[Перевод] Just Gopher It: Превращение слепого SSRF в RCE за 15 000 $ — Yahoo Mail
Часть 1: Разведка Обычно в bug bounty программе с большим скоупом я начинаю с перечисления субдоменов, чтобы увеличить площадь атаки, но в этом случае я сосредоточился на одном веб-приложении моей цели (Yahoo Mail). Поскольку я ориентировался только на одно веб-приложение, я начал с инструмента...
Хьюстон, у нас проблема, или Чего не договаривают производители HDD
Однажды к нам обратился клиент с проблемой: имеется 2 HDD с производительностью записи 250 MБ/с. Из них делается хранилище RAID 0. Начинаем записывать трафик, скорость — 350 MБ/с. Он успешно пишется, но через некоторое время утилизация дисков подходит к 100% и начинаются потери при записи. Вывод...