Настройка Zones в Solaris 11.3
Введение Моё первое знакомство с контейнерной виртуализацией было с jail в FreeBSD, данный подход позволяет изолировать различные службы в безопасном окружении. Недостаток jail в том, что в нём нет возможности создать собственную сетевую подсистему, в отличии от Zones Solaris. В данной публикации...
Equifax снова под ударом: прошлогодняя утечка данных оказалась куда серьезнее
В прошлом году бюро Equifax сообщило о масштабной кибератаке, в результате которой были похищены персональные данные 140 млн жителей Соединенных Штатов. Хакеры получили доступ к именам, адресам, номерам социального страхования и кредитных карт. Однако на прошлой неделе стало известно, что...
Кибербезопасность или (Don’t) Wannacry, Petya
О потерянных этапах кибербезопасности Счастлив тот, кто услышав о своих недостатках, может исправиться (с) У. Шекспир Вирусы криптовымогатели, плагины майнинга, фишинговые мобильные приложения все чаще показывают нам, на что они способны и на что мы не способны. При внедрении систем...
The Browser Exploitation Framework Project: от XSS до полного контроля
BeEF (сокращение от Browser Exploitation Framework) – платформа для эксплуатации клиент-сайд уязвимостей, таких как XSS (cross-site scripting). Эксплуатации XSS уязвимостей зачастую уделяется мало внимания, т.к. вектора атаки нацелены на пользователей веб-приложения, а не на веб-приложение или...
Отчёт Центра мониторинга информационной безопасности за II полугодие 2017 года
C начала 2018 года мы переходим на полугодовой цикл публикации отчётов Центра мониторинга нашей компании. Данный отчёт охватывает период с июля по декабрь 2017 года. Под катом о том, почему событий стало меньше, а инцидентов — больше. Читать дальше →...
Одна CNAME запись и вы попрощались с вашими данными из G Suite
Недавно здесь на Хабре писали про угон всего поискового трафика через сервис для вебмастеров Яндекса, а сегодня пришла очередь Google. К счастью, в этот раз вы рискуете попрощаться не с поисковым трафиком вашего сайта, а всего лишь со всеми вашими данными, включая письма, файлы и контакты. Вектор...
[Из песочницы] Рекомендации по информационной безопасности для малого и среднего бизнеса (SMB)
Привет, Хабр! Представляю вашему вниманию перевод и адаптацию статьи "CIS-Controls Implementation Guide for Small- and Medium-Sized Enterprises (SMEs)". Введение Утечки информации о кредитных картах, кража персональных данных, программы-вымогатели (например, WannaCry), кража интеллектуальной...
Ложные срабатывания. Новая техника ловли двух зайцев. Часть 2
Итак, в первой части статьи мы говорили о том, что поймать двух зайцев сразу, т.е. построить фильтрацию со 100% точностью и полнотой, можно лишь в «вакууме» — для конечного числа состояний искомых объектов и условий их передачи. При выходе из этого «вакуума» мы получим резкое ухудшение по обоим...
Фундаментальная уязвимость HTML при встраивании скриптов
Чтобы описать суть проблемы, мне нужно рассказать, как вообще устроен HTML. Вы наверняка в общих чертах представляли себе, но я все равно коротко пробегусь по основным моментам, которые понадобятся для понимания. Если кому-то не терпится, сразу переходите к сути. HTML — это язык гипертекстовой...
Google Chrome начнет помечать все http страницы как «не защищенные» с релизом Chrome 68 в июле 2018
Через 5 месяцев актуальная версия самого популярного в мире браузера добавит текст "Не защищено" ("Not secure") в адресной строке всех страниц, которые открываются не по https. Подробности и опрос под катом. Читать дальше →...
[Перевод] Предсказание случайных чисел в умных контрактах Ethereum
Ethereum приобрёл огромную популярность как платформа для первичного размещения монет (ICO). Однако она используется не только для токенов ERC20. Рулетки, лотереи и карточные игры — всё это можно реализовать на блокчейне Ethereum. Как любая реализация, блокчейн Ethereum не поддаётся подделке, он...
История взлома одной MLM компании
Все вы наверно натыкались на «успешных людей» с просторов интернета. Эти люди транслируют свое видение жизни. Выставляют на показ свои богатства. Выпускают книги о том как выходить из зоны комфорта, при этом пишут эти книги из своего особняка в какой нибудь солнечной калифорнии. Вам это знакомо?...
Защита беспроводной сети: WIPS. Часть 1: Mojo AirTight
Доброго времени суток жителям Хабра. Можно подумать, что беспроводные системы обнаружения вторжений — это стоящие по периметру покрытия беспроводной сети зенитки и непрерывно вращающиеся тарелки радаров… Ан нет, в суровой реальности всё несколько прозаичнее. Этим постом хочу поделиться нашим опытом...
Пять проблем и тенденций информационной безопасности: чего ожидать в 2018 году
Киберпреступность доставляет немало проблем обычным пользователям, но также и создаёт новые рабочие места. По прогнозу Cybersecurity Ventures, в ближайшие четыре года в секторе ИБ появится 3,5 млн новых рабочих мест (в 3,5 раза больше открытых вакансий, чем в настоящее время). Отрасль ИБ переживает...
Инвентаризация (бизнес-*) процессов через актуализацию должностных инструкций в интересах информационной безопасности
Привет, Хабражитель! Предлагаю вниманию статью, объединяющую вещи, на первый взгляд, не имеющих между собой ничего общего: должностные обязанности работников, инвентаризация (бизнес-*)процессов и информационной безопасности. Будут рассмотрены следующие темы: Вместо вступления Про должностные...
Security week 3: вор у вора биткойны украл, здесь мог быть ваш троян, десять дней без компьютеров
Новость Недавно в поле зрения ИБ-исследователей попали владельцы прокси-сервиса для Tor, которые грабили своих пользователей и вымогателей. Дело в том, что этот Tor-прокси сервис часто использовался жертвами криптовирусов, неспособными или не готовыми разбираться с установкой браузера Tor. Именно...
[Перевод] Какой длины достаточно? Минимальные пароли на самых популярных сайтах
В последнее время я часто делюсь своими мыслями о паролях. Здесь у нас абсолютный краеугольный камень безопасности — парадигма, которую понимает каждый человек с онлайновым аккаунтом — и в то же время мы видим фундаментально разные подходы к этому вопросу со стороны разных сервисов. У некоторых...
В Казахстане опасно использовать ЭЦП
В последнее время государство пытается максимально перенести все госуслуги в электронный формат. Активно выдаются адресные справки, и другие справки выдаются через Портал электронного правительства. Даже можно зарегистрировать брак поженится через портал. На самом деле, очень удобно. Есть конечно...