Как в Тинькофф запускали HashiCorp Vault
Меня зовут Юрий Шуткин, я инфраструктурный инженер в Тинькофф. В этой статье расскажу, как мы запустили сервис по хранению важной информации и избавились от небезопасной передачи секретов. Секретами мы называем важную информацию, которую нельзя хранить в открытом виде: пароли, токены, сертификаты....
Альтернатива стикерам с паролями на мониторе
Это своеобразный компромисс между стикерами на мониторе и более серьёзными решениями на основе аппаратных (электронных) ключей. Использую такое решение уже несколько лет, недавно понадобился новый шаблон в таком же формате (в размере кредитной карты), решил опубликовать его законченную версию и...
[Перевод] Защитите свой HDMI… плоскогубцами и изолентой
Представьте, что вы приглашаете гостя на презентацию внутри компании, предлагаете подключить видеопроектор, чтобы он показал свои слайды. Это прекрасная возможность взломать видеопроектор. Способом защиты делимся к старту курса «Белый хакер». Читать далее...
Атакуем кластер Kubernetes. Разбор Insekube c TryHackme
Всем привет! В этой статье, на примере машины Insekube с TryHackme, я постараюсь показать каким образом могут быть захвачены кластера Kubernetes реальными злоумышленниками, а также рассмотрю возможные методы защиты от этого. Приятного прочтения! Читать далее...
«Золотой век» Buhtrap: разбираем троян-долгожитель
В начале этого года неспешное субботнее утро специалиста Group-IB — с семейным завтраком, тренировкой по теннису и поездкой к родителям — полетело в тартарары после звонка безопасника одной российской компании. У предприятия украли пару десятков миллионов рублей: деньги увели со счета несколькими...
Тест на доверчивость: зачем мы отправляем фишинг-сообщения сотрудникам
Сотрудник компании, который не соблюдает или не знает правил информационной безопасности, — потенциальное слабое звено для злоумышленников. По данным «Ростелеком-Солар», 75% кибератак начинаются с фишинга. Мы в Selectel нашли способ повышения грамотности сотрудников в сфере ИБ в виде боевых учений....
Gatekeeper и его роль в обеспечении безопасности кластеров Kubernetes
Расширение сред Kubernetes (K8s), добавление новых кластеров и приложений — необходимые процессы для развития сервисов. В таких условиях для каждого администратора Kubernetes критически важно обеспечить последовательность и непрерывность соблюдения политик безопасности (ПБ) для всех новых и...
Миссия выполнима: продолжаем знакомиться с физическим пентестом. Часть 2
Итак, вы уже получили всю необходимую информацию в результате разведки — о том, как это сделать мы говорили в первой части статьи. Помните, на чем мы остановились? Мы предупреждали, что выполнять любые работы по физическому проникновению можно только при подписанном договоре с заказчиком и...
Особенности шифрования популярных мессенджеров: выбираем самый безопасный
По данным на осень 2021 года в тройку наиболее популярных мессенджеров в России входят WhatsApp, Viber и Telegram. Давайте выясним уровень конфиденциальности и безопасности каждого из них. Сделать это можно, только сравнив их с другими приложениями, поэтому рассмотрим также Skype, Facebook...
Миссия выполнима: знакомимся с физическим пентестом
"Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику Group-IB надо было проникнуть на производство...
Безопасность + Разработка = ♡ Как выпускать релизы в срок и дружить с безопасностью
В идеальном мире команды безопасности — это компетентные специалисты, которые занимаются анализом рисков, моделированием угроз, защитой от целевых атак, расследованием инцидентов и другой важной работой. В том же идеальном мире разработчики ПО — это люди и команды, которые создают продукты и...
Искусственный интеллект и безопасность
В России 30 мая 2019 года на совещании по развитию цифровой экономики под председательством В. В. Путина было принято решение о подготовке национальной стратегии по искусственному интеллекту. В её рамках разрабатывается федеральная программа с выделением 90 млрд рублей. В октябре 2021 года в РФ...
Нелегкий путь к динамическому анализу мобильных приложений
Привет, Хабр! Каждую свою статью я начинаю с упоминания о том, что наша команда разрабатывает платформу анализа защищенности мобильных приложений. Почему? Размещая свои посты, информацию, которая мне кажется полезной, различные находки и трюки, мне хочется делиться с единомышленниками, помогать...
[recovery mode] Телефонные мошенники: как не потерять деньги
Приветствую всех! Сегодня я хочу рассказать, как не столкнуться с мошенниками, которые хотели бы опустошить ваши банковские счета. Есть несколько часто использующихся мошеннических схем и я опишу одну из них. Начнем с того, что у любого программного обеспечения есть слабые места. Каким бы...
[Перевод] Тесты банков для проверки личности «чрезвычайно уязвимы» для deepfake атак
Автоматизированные тесты "liveness tests", используемые банками и другими учреждениями для проверки личности пользователей, легко обмануть глубокими подделками, говорится в новом докладе. Компания Sensity, специализирующаяся на выявлении атак с использованием сгенерированных искусственным...
Про поддержку Certificate Transparency для национальных сертификатов
Недавно мы рассказывали Хабру про поддержку в Яндекс Браузере тех сайтов, которые перешли на использование национальных TLS-сертификатов. Если вы пропустили, то рекомендуем прочитать пост, он содержит ответы на популярные вопросы. Сегодня мы расскажем про следующий большой шаг в этом направлении —...
Вот она пришла весна – как паранойя: «интернет с нуля»
В связи с последними событиями и пониманием, что не существует независимых ресурсов (ни СМИ, ни Википедии), что мессенджеры читают и за сообщениями следят, что поисковики и соцсети знают о нас больше, чем следует, вновь поднимается вопрос приватности данных, безопасности, тайны переписки. В...
Найти всё, что скрыто. Поиск чувствительной информации в мобильных приложениях
Привет, Хабр! Многим из вас я уже знаком по предыдущим статьям. Меня зовут Юрий Шабалин. Мы вместе с командой разрабатываем платформу анализа защищенности мобильных приложений. Сегодня я расскажу о том, на что обратить внимание при поиске и анализе чувствительной информации в приложении, как ее...