Open Printer с открытым софтом и железом: новый взгляд на печать с Raspberry Pi
HP, Canon и Brother, которые доминируют на рынке принтеров, предлагают пользователям дорогие и защищенные от дозаправки картриджи, а также сложные для ремонта устройства. И вот появился проект, который может изменить подход к печати. Open Printer — струйный принтер с полностью открытым программным...
Вайб-кодинг уязвимостей или как AI роняет безопасность
Писать код с LLM — очень легко, просто и весело. Не нужно мучаться с документацией, не нужно фиксить баги. Вообще ничего не нужно. Только инструкцию в чат написать. Раз-два — и всё готово. Заманчиво? Да. Но у всего есть цена — и про неё важно помнить. Сейчас разберём, как именно AI-агенты могут...
[Перевод] Использование ротации IP адресов для обхода лимитов отправки одноразовых паролей (OTP) в приложении на Flutter
Исследователи информационной безопасности и охотники за багами часто сталкиваются с трудностью перехвата трафика приложений на Flutter, поскольку эта технология не поддерживает системные настройки прокси. В данном материале я расскажу, каким образом я обошел данное ограничение. Название приложения...
Как отследить по никнейму? Создаем личный OSINT-комбайн на основе Google Sheets
Всем привет! Сегодня мы поговорим о том, как использовать Google Таблицы в одной из фундаментальных задач в OSINT — поиск по никнейму. Как вы уже знаете, Google Таблицы — это мощный инструмент, который допускает гибкую настройку под широкий спектр задач. С его помощью мы можем автоматизировать и...
Ни одного лишнего блюра: хардкорная оптика IDE для тех, кто пишет код десятилетия подряд
Чем больше строк кода за спиной, тем отчётливее чувствуется «песок в глазах» после вечернего ревью. Эта статья — попытка собрать в одном месте практические ходы — от выбора вариативных шрифтов до реактивного переключения тем по кривой солнечного спектра — которые позволят зрелым разработчикам...
Результаты опроса ко дню программиста
Привет! Ко дню программиста мы предлагали вам пройти небольшой ИБ-опрос. Целиком форму заполнили 106 человек, теперь же, как обещали — сводная статистика. Читать далее...
Как Thor изобрела электрическую стирку: история инженерного прорыва
До появления в 1907 году первой электрической стиральной машины Thor инженеры больше века экспериментировали с разными конструкциями: барабаны, рычаги, валики, даже паровые установки. Всё ради того, чтобы превратить изнурительный ручной труд в управляемый механический процесс. В этой статье — не...
Четыре IT-специалиста и одна Cisco: как нейросеть помогла нам запустить crypto map с PLR-лицензией
История о том, как современный подход к лицензированию вендора поставил нас в тупик, а решение нашлось в самом неожиданном месте. Привет, Хабр! Наверняка у многих из вас бывали такие дни. Приезжает новое, блестящее железо. В нашем случае — маршрутизатор Cisco ISR4331/K9. Задача стандартная: поднять...
Октябрьский «В тренде VM»: уязвимости в Cisco ASA/FTD и sudo
Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов,...
Как интернет‑провайдеру обеспечить непрерывность бизнеса и кибербезопасность
Интернет‑провайдер работает в условиях, где сбой в инфраструктуре или успешная атака могут обернуться не просто потерей клиентов, а остановкой критичных сервисов для целых регионов. Поэтому подход «поставим пару фильтров и сделаем бэкап» давно не работает. На первый план выходит системная работа по...
Цепочка гаджетов в Java и как небезопасная десериализация приводит к RCE?
В этой статье мы узнаем, что такое chains of gadget, и рассмотрим на примерах (с картинками), как неаккуратная десериализация через нативные Java механизмы может привести к удалённому выполнению кода. Читать далее...
[Перевод] Как защитить Kubernetes на уровне ядра Linux
Как защитить Kubernetes, если злоумышленник попытается выбраться из контейнера на хост? Рафаэль Натали предлагает многоуровневый подход: настройка Security Context, отказ от лишних прав, запуск контейнеров без root-доступа, а также усиление защиты с помощью AppArmor и seccomp. Читать далее...
Как я создала аккаунт с именем «NULL» и мне стали приходить уведомления о покупке доменов другими пользователями
Всем привет. Меня зовут Аня (SavAnna) я работаю AppSec и как хобби занимаюсь багбаунти. Багбаунти - отличный способ отдохнуть от своих сервисов и сменить фокус с "защиты" на "нападение". Не всегда баги ищутся целенаправленно - иногда это происходит случайно. Хочу показать, что много странных и...
Согласие на обработку ПДн: где обязательно, где нет и как всё оформить правильно
Что-то очень много вопросов про согласие и его оформление задают мне в последнее время. Поэтому решил написать много текста в виде максимально развернутого ответа на эту тему. Надеюсь кому-то поможет разобраться в теме. Так что наливаем чай или кофе, и приступаем :) Читать далее...
Динамическое маскирование в СУБД: принципы, сценарии и реализация
Привет, Хабр! На связи Артемий Новожилов, архитектор систем ИБ и автор ТГ-канала Data Security и Дмитрий Ларин, руководитель продуктового направления по защите баз данных, группа компаний «Гарда». С нами вы могли познакомиться по таким статьям как маскирование и Apache Kafka. И сегодня мы хотим...
Безопасность — это не отсутствие структуры, а наличие правильной структуры: топология как новый язык науки
В этой статье мы рассмотрим, как топологические методы меняют или будут менять наше понимание безопасности. Мы увидим, что безопасность не достигается через максимальную случайность, а через специфическую, строго определенную топологическую структуру — тор с максимальной энтропией. Это не просто...
Практические аспекты в управлении рисками
Про управление рисками достаточно подробно написано в соответствующих учебниках, стандартах и методологиях, нет смысла пересказывать то же самое еще раз. Но недавно коллега, беседуя по вопросам рисков, поделился одним изящным решением придуманным недавно в ходе мозгового штурма и был удивлен, когда...
Семейство Living off the Land: как обнаруживать и митигировать
Данная статья посвящена обзору целого класса способов и техник атак, направленных на маскирование своей активности и обход имеющихся механизмов защиты и обнаружения. Этот класс техник атак достаточно стар и носит название Living Off the Land, он активно используется злоумышленниками на протяжении...