PVS-Studio как SAST решение
До недавнего времени в своих статьях мы позиционировали PVS-Studio как инструмент для выявления ошибок в коде. При этом мы почти не рассматривали PVS-Studio в контексте безопасности. Попробуем немного исправить эту ситуацию и взглянем на инструмент с точки зрения тестирования защищённости...
[Перевод] 11 способов (не) стать жертвой взлома в Kubernetes
Прим. перев.: Оригинал этой статьи был опубликован в официальном блоге Kubernetes и написан Andrew Martin — одним из основателей молодой британской компании Control Plane, специализирующейся на безопасности для cloud native-приложений, запускаемых в K8s. Безопасность в Kubernetes прошла длинный...
Epic fail of the month: rsync как «вектор» на утянуть данные
Изначально просто хотел бросить ссылкой к некоторым комментариям для первой ветки вот этой статьи, в качестве примера, почему торчать портами наружу (почём зря) — не есть хорошо. Ну и ответ вырос в простыню в эту статью, да и коммент увидит раз-два человека (а так возможно кому пригодится). Речь...
[Из песочницы] 80% касс самообслуживания под угрозой
С малых лет всегда интересовало тестирование, особенно в области безопасности, но кстати тестировщиком я так и не стал, но иногда люблю потыкать чужие автоматы и поискать уязвимости. Помню, когда впервые открывались известные кассовые автоматы приема платежей, при обновлении ПО каким-то образом там...
Около 500 млн IoT-устройств подвержены атаке через подмену DNS
Исследователи в области информационной безопасности из фирмы Armis сообщили на днях о том, что около 500 млн IoT-устройств подвержены атаке через перепривязку DNS. В ходе этой атаки злоумышленник привязывает устройство жертвы к вредоносному DNS, что в последующем позволяет проводить целый ряд...
Анализ поведения трояна Pegasus в сети
Недавно был опубликован исходный код банковского трояна Pegasus. Несмотря на упоминание группы Carbanak в названии архива, исследователи из компании Minerva Labs опровергли причастность трояна к этой группе и доказали причастность к группе Buhtrap (Ratopak). Внутри архива находится краткое описание...
Разработчики ПО не согласны с определением «специальных технических средств» от ФСБ
3 июля 2018 года ФСБ опубликовала для общественного обсуждения проект поправок к Уголовному кодексу (УК) РФ, который вводит определение технических средств для негласного получения информации. Авторы проекта поясняют, что в настоящее время значение термина «специальные технические средства,...
Планируются изменения в ФЗ-152
На сайте regulation.gov.ru появились и уже прошли 25 июня 2018 г. окончания публичного обсуждения два интересных проекта: Проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 2: «Контроль хакерских атак», часть 3
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 2: «Контроль хакерских атак», часть 2
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...
[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 2: «Контроль хакерских атак», часть 1
Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу...
Куда исчезает вода в чайнике?
Всем привет! Наша компания превращает «классическую» бытовую технику в «умную» и управляемую с телефона (по Bluetooth или WiFi). То есть в неё встраивается электронный модуль с радиоканалом. Если производитель техники хочет провести модернизацию существующей модели техники, то мы можем внедрить...
Security Week 27: Поддельный айфон и цена безопасности
19 июля издание Motherboard опубликовало интересный лонгрид про поддельный айфон стоимостью в сто долларов. Android-смартфон, мимикрирующий под iPhone X, был приобретен в Китае; он из тех, что и у нас редко попадаются, а на Западе вообще неизвестны — целевая аудитория не та. Подделка не то чтобы...
Кибербитва на PHDays, или Как за 30 часов взломать городскую инфраструктуру
Третий год подряд главным соревнованием форума Positive Hack Days остается The Standoff — кибербитва между командами атакующих, защитников и экспертных центров безопасности (SOC). Игры 2016 и 2017 года показали, что максимально приближенный к реальности формат соревнований понятен и интересен не...
Следствие ведет Solar Dozor: 5 нестандартных дел, которые раскрыла DLP
DLP-системы используются для защиты конфиденциальных данных компании и выявления сотрудников, сливающих эти данные. В большинстве случаев инженеры внедрения сталкиваются на проектах с типовыми инцидентами наподобие этих. Но иногда DLP-система неожиданно выявляет нарушения, на обнаружение которых...
[Перевод] Как Tinder (слегка) прячет ваше местоположение
В этом году вы со своим приятелем Стивом Стивингтоном основали стартап по отслеживанию пользователей. Бизнес основан на утечке метаданных WhatsApp, которую вы обнаружили. Вам обоим стоило бы ещё поучиться менеджменту, но всё же фирма выросла в мощную, хотя неустойчивую компанию из 65 разномастных...
Аудиогаджет специального назначения: диктофон Штирлица, его реальный прототип и смелое историческое моделирование
Любой цикл статей, посвященный аудиогаджетам спецслужб и написанный в России, был бы неполным без рассказа о т.н. диктофоне Штирлица. Это устройство было знакомо практически всем гражданам СССР с 1973-го года по кадрам из “Семнадцати мгновений весны” и прочно ассоциировалось со шпионским гаджетом....
Android accessibility — волк в овечьей шкуре? Лекция Яндекса
Месяц назад на очередной Droid Party старший разработчик Данила Фетисов подробно разобрал принцип действия службы, которая отвечает за accessibility-функции Android. Вы узнаете о том, как использовать её для улучшения доступности своих проектов, а также об опасной уязвимости под названием...