[Перевод] Остановите хищников Google, преследующих ваших детей
Без согласия, без огласки, без возможности избежать. Для легионов невольных студентов и преподавателей по всей стране, это, де-факто, опасная политика, которую Google навязал на свои школьные округа. Согласно оценкам, около 80 миллионов студентов и преподавателей уже зарегистрированы на «G Suite...
Nemesida WAF Free — бесплатная версия, обеспечивающая базовую защиту веб-приложения от атак
В прошлом году мы выпустили первый релиз Nemesida WAF, построенного на базе машинного обучения. Мы перепробовали несколько вариантов и остановились на алгоритме обучения «Случайный лес». Основными преимуществами машинного обучения по сравнению с сигнатурным анализом являются повышенная точность...
Полномасштабный DevOps: греческая трагедия в трёх актах
Траге́дия (от нем. Tragödie из лат. tragoedia от др.-греч. τραγωδία) — жанр художественного произведения, предназначенный для постановки на сцене, в котором сюжет приводит персонажей к катастрофическому исходу. Большинство трагедий написано стихами. Эта трагедия написана Барухом Садогурским...
Intel ME Manufacturing Mode — скрытая угроза, или что стоит за уязвимостью CVE-2018-4251 в MacBook
Принцип «безопасность через неясность» не один год критикуется специалистами, но это не мешает крупным производителям электроники под предлогом защиты интеллектуальной собственности требовать подписания соглашений о неразглашении для получения технической документации. Ситуация ухудшается из-за...
Продажи без багов: цифровая безопасность платформ e-commerce
В этой статье мы поговорим о безопасности ритейла. В основном речь пойдет об интернет-магазинах, покупки в которых уже давно стали обычным делом, но мы также уделим немного внимания оффлайн-магазинам. Мы провели опрос представителей сферы ритейла и узнали, какие угрозы безопасности они считают...
MTA-STS для Postfix
MTA-STS — это предложенный стандарт RFC8461, вышедший из статуса черновика и официально опубликованный 26 сентября 2018 года. Этот стандарт предлагает механизм обнаружения возможности для использования полноценного TLS между почтовыми серверами, с шифрованием данных и аутентификацией сервера. То...
[Перевод] Конференция DEFCON 22. Группа GTVHacker. Взламываем всё: 20 устройств за 45 минут. Часть 1
Амир Этемади: приветствую всех и добро пожаловать на презентацию GTVHacker «Взламываем всё: 20 устройств за 45 минут». Мы является создателями оригинальной продукции Google TV с 2010 года, а также таких продуктов, как Chromecast, Roku и Nest, а ещё мы выпускаем эксплойты для всех устройств Google...
[Из песочницы] Oculus Quest
Всё, что нужно знать об Oculus Quest по информации с крупнейшей выставки года по виртуальной реальности. Если Вы интересуетесь виртуальной реальностью, то наверняка знаете, что в Сан Хосе 26 и 27 сентября прошло одно из самых важных событий года в мире виара — а именно Oculus Connect 5 от компании...
Как я взломал Steam. Дважды
Привет, хабр! Сегодня я расcкажу за что же Valve заплатила наибольшие баунти за историю их программы по вознаграждению за уязвимости. Добро пожаловать под кат! Читать дальше →...
Security Week 37: Facebook, Twitter и надувные баги
Околоайтишные маркетологи нынче любят обсуждать, что абсолютно любое сообщение о новом продукте, технологии или событии воспринимается лучше, если в нем присутствует блокчейн. Или машинообучаемые алгоритмы. Аналогичным образом, любое сообщение в сфере информационной безопасности становится более...
Переводим рецепт на язык мультиварки
Расквартированная клубника и другие особенности машинного перевода: чтобы сделать еще один шаг в сторону автоматизированных кухонь, нужно научить технику понимать рецепты, написанные человеческим языком и в человеческой логике. Для этого их нужно трансформировать. Под катом текст-размышление над...
Как работает Единая биометрическая система
С начала июля в некоторых банках начала работать единая биометрическая система, созданная «Ростелекомом» по инициативе Министерства цифрового развития, связи и массовых коммуникаций и Центрального банка РФ. В этом посте мы подробно расскажем, как работает новая система, а в комментариях постараемся...
Ура! Это была не паранойя
В прошлом посте про розницу кое-кому было жутко от того, что можно целить рекламу средств от насморка в тех, кто обычно ходил в офис, а вот уже 10 минут как взял и не пошёл. В общем, последние пару лет я счастлив, что, например, всю сознательную жизнь не верил карточкам и расплачивался ими только в...
Как правильно использовать статический анализ
Сейчас все больше говорят о статическом анализе для поиска уязвимостей как необходимом этапе разработки. Однако многие говорят и о проблемах статического анализа. Об этом много говорили на прошлом Positive Hack Days, и по итогам этих дискуссий мы уже писали о том, как устроен статический...
В важном судебном прецеденте спецслужбы США не смогли добиться прослушки звонков в мессенджере
Американские правоохранительные органы и спецслужбы давно перехватывают голосовые звонки по обычным телефонным линиям. Но с интернет-мессенджерами возникают проблемы, потому что они не подпадают под обычный закон о прослушке. Поскольку большинство IM-сервисов принадлежит американским компаниям, те...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 9: «Безопасность Web-приложений», часть 3
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...
Глубины SIEM: корреляции «из коробки». Часть 2. Схема данных как отражение модели «мира»
Это вторая статья цикла, который посвящен методологии создания работающих «из коробки» правил корреляции, для SIEM-систем. В предыдущей статье мы поставили перед собой данную задачу, описали преимущества, которые будут получены при ее выполнении, а также перечислили основные проблемы, стоящие у нас...
Как новая функция iOS 12 напомнила мне, что пора лечиться
Буквально на днях мой iPhone гордо сообщил мне, что стала доступна iOS 12 и предложил мне обновиться. На хабре уже было пару статей о том, что нового анонсировал Apple в этой версии. Но я не заметил там упоминания об одной полезной для смартфонозадротов вроде меня функции «Экранное время». Я давно...