Самый полный чек-лист для защиты от мошенников
Несколько месяцев я изучал тему интернет мошенничества с целью собрать наиболее полный список действий, которые обезопасили бы меня от жуликов и их махинаций. Итогом изучения стал чек-лист, которым хочу поделиться со всеми. Его цель - сделать взлом цифровых активов сложным и бессмысленным. Читать...
Практика использования Relay+PetitPotam
Статья расскажет о вариации нового метода атаки на инфраструктуру. Рассмотрим основные инструменты, подготовим тестовый стенд и проведем тест. Небольшой disclamer: статья не претендует на полноту, но является примером того как можно собрать полезную информацию и проверить работоспособность...
Модифицируем процесс загрузки с помощью утилиты make-initrd
В этой статье мы хотим помочь глубже разобраться, как устроен процесс загрузки Linux, дать советы по реализации сложных сценариев загрузки Linux, а также познакомить с удобным и быстрым генератором initramfs образов - make-initrd. Читать далее...
[Перевод] Безопасность ПЛК: 3) Вся логика процесса по возможности должна быть в ПЛК
Оставьте логику процесса по возможности в ПЛК. HMI не лучшее решение для выполнения задач, таких как интегрирование, суммирование и прочее. Разбираем рекомендации по безопасному программироваю ПЛК, формируем список своих рекомендаций. Всех неравнодушных прошу под кат. Читать далее...
Банки не хотят внедрять многофакторную авторизацию и покончить с мошенничеством
Количество случаев мошенничества просто зашкаливает. Статьи о фактах мошенничества появляются чуть ли не каждый день. Происходит это при полном попустительстве государства и полиции, которая занята оппозицией. А вполне вероятно, что мафии это выгодно погружать народ в кредиты. Банки сообразили, что...
[Перевод] iOS 15 позволяет находить даже выключенный iPhone: как это сделано и есть ли опасность
В iOS 15.0 появилась новая функция: iPhone теперь можно найти при помощи Find My, даже когда iPhone «отключен». Как это работает? Представляет ли функция проблему для безопасности? Я заметил эту функцию довольно давно на одном из моих iPhone с бетой iOS 15. Вот скриншот, который я сделал в июле. С...
[Перевод] Фрагменты кода со StackOverflow, которые разработчики часто копируют вместе с ошибками
Инспекция кода с прицелом на безопасность – то, чем я занимаюсь изо дня в день уже тринадцать с половиной лет. За это время я просмотрел несколько сотен кодовых баз и не раз имел дело с криптографическим кодом. В большинстве случаев в криптографическом коде, который я проверял, обнаруживались...
[Перевод] Безопасность ПЛК: 2) Следите за режимом работы
Держите ПЛК в режиме исполнения. Если ПЛК вышел из режима исполнения, то следует выдать предупреждение оператору. Разбираем рекомендации по безопасному программироваю ПЛК, формируем список своих рекомендаций. Всех неравнодушных прошу под кат. Читать далее...
[Перевод] Безопасность ПЛК: 1) Модульность программы
Разделите код на модули, рационально используйте программные организационные единицы. Тестируйте модули независимо. Разбираем рекомендации по безопасному программироваю ПЛК, формируем список своих рекомендаций. Всех неравнодушных прошу под кат. Читать далее...
Как устроен The Update Framework (TUF). Обзор технологии безопасного обновления ПО
The Update Framework (TUF) — программный фреймворк с открытым кодом для защиты репозиториев, из которых скачиваются обновления. Главная задача TUF — предоставить возможность обновлять софт безопасно, а также минимизировать ущерб в случае, если обновление скомпрометировано. Фреймворк можно...
Краткая история паролей от античности до наших дней
Несмотря на то, что Microsoft много лет активно продвигает концепцию «беспарольного будущего», пока что поверить в удивительный новый мир довольно трудно. Разве может быть что-то более незыблемое и постоянное, чем проверка «свой-чужой» с помощью кодового слова? Разбираемся, как пароли появились,...
[Перевод] Космический вызов: защита суперкомпьютеров от внеземной угрозы
Каждый из нас не раз и не два в своей жизни слышал возмущённое «оно само сломалось» в ответ на вопрос, как случилась та или иная неполадка в компьютере или ПО. В 99% случаев это происходит «не само». Но есть 1%, когда пользователь действительно не виноват, и причиной сбоя является не «человеческий...
[Перевод] 7 ложных предположений о том, как устроены строки
Как Unicode уничтожает большинство ваших предположений о том, как на самом деле работают строки Когда речь идет о написании чего-то простого, мы, программисты, обычно действуем интуитивно. В случае с простыми вещами мы полагаемся на четкий набор предположений вместо конкретных знаний о том, как эти...
Security — как много в этом звуке для сердца девопсного слилось
Чтобы понять безопасность, надо думать как безопасник, вести себя как безопасник, стать безопасником. Барух jbaruch Садогурский и Леонид Игольник в своих докладах много рассматривали DevOps с разных сторон — и очередь дошла до вопросов Security. На нашей конференции DevOops они поговорили об этом,...
ИБП для медицинских учреждений
В отделениях реанимации жизни пациентов зависят не только от компетентности врачей и наличия лекарств, но и от качества электропитания. Перебои не должны сказываться на работе аппаратов искусственного дыхания и другого оборудования. По этой причине к электроснабжению медицинских объектов...
Новые стандарты DevSecOps и GitLab
Довольно много дебатов ведется относительно того, какой термин более правилен: DevSecOps, SecDevOps, или же вообще "sec" часть этого термина является лишней. В этой статье хотел бы поделиться тем, каким мы видим ответ на это вопрос в компании GitLab, а также расскажу о наших текущих разработках в...
Антидроны: разработчики и продавцы защиты от беспилотников в 2021 году
Всем привет! Недавно безуспешно пытался найти сравнительный обзор существующих систем защиты от дронов, представленных на российском рынке. В сети довольно много публикаций по этой тематике, только на Хабре их насчитывается около десятка: раз, два, три, четыре, пять, шесть, семь, восемь, девять....
Как внедрить безопасность в процесс разработки. Опыт нашей команды
Привет! Я — Виктория Граненко, Security Automation Engineer в NIX. Свой путь в мир IT я начинала, как General QA, распараллеливая мануальные и автоматизированные задачи тестирования. Мне всегда нравилась автоматизация процессов. В мои обязанности не входили задачи по безопасности. Во время...