Коротко о даркнете. Почему его не стоит считать чем-то плохим
Dark Web (даркнет) многими воспринимается как нечто плохое. Однако это не так. Даркнет — это, скорее, продвинутый и более защищённый аналог привычного нам интернета. Да, там можно найти незаконный контент, но есть и ресурсы, которые используются в мирных целях. Мы подготовили небольшую ликбезную...
Хакеры vs тюрьмы: истории успешных атак
На этой неделе иранская группа «хактивистов» Tapandegan (Сердцебиение) опубликовала изображения с камер наблюдения из тегеранской тюрьмы Эвин, где, в числе прочих содержатся политические заключенные. Событие получилось резонансное, и вы наверняка что-то про это уже слышали. Но часто ли хакерам...
Обзор инструментов для оценки безопасности кластера Kubernetes: kube-bench и kube-hunter
Популярность Kubernetes растет, порог входа снижается, но вопросам безопасности порой оказывают недостаточное внимание. В этой статье разберём работу двух Open Source-утилит для аудита безопасности кластера от известных экспертов этой области — Aqua Security. Читать далее...
Защита данных пользователя: как добавить поддержку правил CCPA и GDPR в мобильное приложение
Значительная часть жизни уже давно перетекла в гаджеты, онлайн-сервисы, соцсети и мессенджеры, которые ежедневно собирают тонны персональных данных. А ими часто обмениваются компании, например, в сфере рекламы или финансового бизнеса. Поэтому приватность и безопасность данных сейчас сложно...
[recovery mode] Обход 2FA на Binance и потеря 200000$
Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что попросту не беспокоится я о своей безопасности: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. В данной статье я расскажу Вам о недавнем...
Эффективный поиск XSS-уязвимостей
Про XSS-уязвимости известно давным-давно — казалось бы, нужен ли миру ещё один материал о них? Но когда Иван Румак, занимающийся тестированием безопасности, поделился методологией их поиска на нашей конференции Heisenbug, реакция зрителей оказалась очень положительной. И спустя два года у этого...
Уличное видеонаблюдение: тысячеглазый Паноптикон или помощь обществу?
Привет, Хабр! Сегодня хотим поговорить на одну непростую тему, в той или иной степени всех нас затрагивающую, - про уличное видеонаблюдение. Тем более, что буквально вчера она вновь получила развитие со стороны государства: в России хотят создать «Национальную платформу видеонаблюдения», которая...
[recovery mode] Что такое Core Scheduling и кому он будет полезен?
Не за горами выход новой версии ядра Linux 5.14. За последние несколько лет это обновление ядра является самым многообещающим и одно из самых крупных. Была улучшена производительность, исправлены ошибки, добавлен новый функционал. Одной из новых функций ядра стал Core Scheduling, которому посвящена...
Выявление мошеннических сборов в Instagram
Изначально была выдвинута следующая гипотеза: злоумышленники часто берут фотографии из аккаунтов реальных детей, при этом изменив имя ребенка и реквизиты сбора. Первой мыслью был поиск подобных аккаунтов с дальнейшей классификацией их как подлинные, либо поддельные по каким-то признакам. Однако на...
Книга «Безопасность веб-приложений»
Привет, Хаброжители! Среди огромного количества информации по сетевой и ИТ-безопасности практически не найти книг по безопасности веб-приложений. Познакомьтесь на практике с разведкой, защитой и нападением! Вы изучите методы эффективного исследования и анализа веб-приложений, даже тех, к которым...
Разбор работы Deception на примере атаки
Предотвратить проникновение злоумышленника, сделать периметр организации неприступной крепостью – именно такие задачи чаще всего ставятся перед подразделениями ИБ. По многим объективным причинам это не работает на 100%. Периодически всплывают громкие скандалы со взломом крупных компаний, например,...
Памятка и туториал по HTTP-заголовкам, связанным с безопасностью веб-приложений
Доброго времени суток, друзья! В этой статье я хочу поделиться с вами результатами небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений (далее — просто заголовки). Сначала мы с вами кратко разберем основные виды уязвимостей веб-приложений,...
История о том, как я BlackBerry Playbook активировал
Всем привет. На дворе 2021 год. И вдруг мне в голову пришла идея о покупке планшета BB Playbook от канадской компании RIM. Обзор и мнение будут в следующей статье. Ну, а сегодня в краткой заметке мне бы хотелось рассказать о том, как я мучился с активацией данного девайса. Читать далее...
Да, это можно предотвращать. Крупные аварии в ЦОДАХ за последние годы
Как известно, значение дата-центров для всех типов компаний и обычных пользователей неуклонно растет. При этом лишь одна минута простоя крупного ЦОД может спровоцировать миллионные убытки для клиентов оператора. Мы уже не говорим про убытки от многочасовых и многодневных простоев. Однако аварии в...
Update Tuesday: Microsoft выпустила июльские обновления безопасности
Microsoft выпустила плановые обновления безопасности, закрывающие 117 уязвимостей, из них 13 уязвимостей были классифицированы как «Критические» и 103 уязвимости как «Важные». Среди закрытых было 9 уязвимостей нулевого дня (0-day): 5 уязвимостей были обнародованы публично, но не использовались в...
Финальная статья победы Codeby.net и Nitro Team на The Standoff 2020 — Часть 3
Привет! Извиняюсь за долгий выпуск продолжения нашего "экшн-сериала", после The Standoff 2020 я (@clevergod) и все ребята "ушли в работу с головой", и новость о весеннем марафоне The Standoff 2021 выбила из колеи. Кто пропустил первые 2 части, предварительно ознакомьтесь, чтобы не смотреть кино с...
Подслушано: кибербезопасность в дата-центрах
Осенью 1988 года в пригороде Бостона произошло знаменательное событие — примерно 6 тысяч узлов компьютерной сети ARPANET были парализованы вредоносной программой, написанной аспирантом факультета вычислительной техники Корнеллского университета. Червь Морриса, а именно такое название присвоили...
[Перевод] Пора запретить рекламу, основанную на слежке
Многие годы гиганты интернет-индустрии пытались думать за нас. Они говорили, что им нужны наши данные, чтобы мы получали «адаптированную рекламу». В то же время они убеждали всех, что собирают информацию о нас для того, чтобы иметь возможность бесплатно предоставлять качественный сервис. К...