[Перевод] Грехи C++
В мире разработки программного обеспечения мы ежедневно сталкиваемся с новыми угрозами кибербезопасности, а риски и последствия небезопасного программного обеспечения слишком велики, чтобы о них можно было не задумываться. Давайте рассмотрим некоторые распространенные угрозы безопасности, которые...
[Перевод] 3 способа визуального извлечения данных с помощью JavaScript
К старту курса о Frontend-разработке мы решили поделиться переводом небольшого обзора визуальных атак, позволяющих получать закрытую информацию о пользователе вне зависимости от того, применяется ли правило ограничения домена. Некоторые из обсуждаемых уязвимостей закрыты, но развитие технологий...
Островок свободы или зарегулированная отрасль: каким стал интернет и как сделать его безопаснее
Привет, Хабр. С тобой Горшков Максим, ИБ-специалист Cloud4Y. Предлагаю поговорить о том, каким интернет был два-три десятилетия назад, и каким он стал сейчас. Читать далее...
Что такое BlackBerry OS 10?
Перед самой статьей хотелось бы отметить то, что ранее Я выкладывал данную публикацию на другом ресурсе. Однако мне захотелось перенести ее на Хабр с небольшими изменениями и правками. Приятного всем чтения... Наверняка многие из вас никогда не слышали о такой компании как Blackberry. В своё время...
Почему замена Капчи с помощью FIDO2/Webauthn это плохая идея. Аргументация против решения Clouflare
Вчера Cloudflare анонсировала замену Капчи с помощью FIDO аттестации. Вы можете почитать об этом в их блоге https://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/, и попробовать само решения(если у вас есть FIDO сертифицированный ключ безопасности, как например Yubikey)...
Почему замена Капчи с помощью FIDO2/Webauthn это плохая идея. Аргументация против решения Cloudflare
Вчера Cloudflare анонсировала замену Капчи с помощью FIDO аттестации. Вы можете почитать об этом в их блоге https://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/, и попробовать само решения(если у вас есть FIDO сертифицированный ключ безопасности, как например Yubikey)...
System Management Mode: From Zero to Hero
Автор статьи Закиров Руслан @backtrace Исследования в области безопасности UEFI BIOS уже не являются чем-то новомодным, но в последнее время чувствуется некоторый дефицит образовательных материалов по этой теме (особенно — на русском языке). В этой статье мы постараемся пройти весь путь от...
Вебинар: защита конфиденциальной информации и управление рисками, связанными с данными
Поскольку люди все чаще переходят на удаленную работу, защита информации вашей организации и управление рисками должны стать главным приоритетом. Виртуальный учебный день Microsoft Security: защита конфиденциальной информации и управление рисками данных научит вас пользоваться преимуществами...
DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза
Всем привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально нас называют DevOps-отделом, а наши ребята занимаются автоматизацией различных процессов и помогают программистам и тестировщикам работать с продуктовыми конвейерами. Из...
Некоторые уязвимости цифрового общества
Цифровизация стремительно охватывает важнейшие сферы общественной жизни – от получения социальных услуг, оформления кредита до обмена квартиры или покупки автомобиля. Сейчас уже трудно представить жизнь без портала гос. услуг, мобильного банкинга или интернет-магазинов. Такие услуги стали...
Билет в никуда: Group-IB зафиксировала рост мошеннических ресурсов по продаже железнодорожных и авиабилетов
Накануне майских праздников от мошенников нет покоя ни на земле, ни в воздухе. Ну, и в Интернете само-собой. После того, как Владимир Путин в конце апреля объявил выходными дни с 1 по 10 мая CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB) зафиксировал всплеск мошенничества в...
[Перевод] Обман обманщиков: форк-бомба нового уровня
Сразу предупреждаю: не копируйте примеры кода из этой статьи и не запускайте их в своей командной оболочке.Есть люди, которые развлекают себя жестокими шутками над новичками, обманом подводя их к запуску разрушительных инструкций в командной оболочке. Часто это принимает форму грубо замаскированных...
[Перевод] S в аббревиатуре IoT означает «Security», или Как я лампу хакнул
Недавно мне выдали пару настольных светодиодных ламп, чтобы улучшить освещение для видеосовещаний. Это простые ламы с тремя элементами управления: включение-отключение, температура, яркость. Благодаря тупиковому стремлению создавать IOT-устройства с приложением для монетизации данных пользователей...
В 2011 с другом хотели запустить дата бункер и что из этого вышло
У меня был товарищ Олег. Когда-то мы трудились в одном проекте в разных отделах. Он осуществлял поиск коммерческих объектов для торговой сети магазинов, а я занимался IT-инфраструктурой для этой же сети. Позже его схантили в другую сеть, но дружба осталась. За пару лет до нашей истории Организации,...
Бесплатный вебинар: защита организации
Когда сотрудники уверены в своей способности удаленно и безопасно взаимодействовать, они могут без проблем добиваться большего. Узнайте, как защитить данные, устройства и приложения, упростив IT и минимизируя влияние на сотрудников, на виртуальном учебном дне Microsoft Security: безопасность и...
[Перевод] CORS для чайников: история возникновения, как устроен и оптимальные методы работы
В этой статье подробно разобрана история и эволюция политики одинакового источника и CORS, а также расписаны разные типы доступа между различными источниками, а также несколько оптимальных решений работы с ними. Если вы давно хотели разобраться в CORS и вас достали постоянные ошибки, добро...
Будущее и настоящее полиграфных проверок
В последнее время много поводов поговорить про применение полиграфа. В выходные участвовал конференции «Детекция лжи и профайлинг» в Екатеринбурге – увез оттуда несколько инсайтов после общения с коллегами. Сегодня вышла большая статья в «Секрете фирмы» про применение полиграфа в бизнесе. И там...
[Перевод] Первое знакомство с SQL-инъекциями
SQL-инъекции (SQL injection, SQLi, внедрение SQL-кода) часто называют самым распространённым методом атак на веб-сайты. Их широко используют хакеры и пентестеры в применении к веб-приложениям. В списке уязвимостей OWASP Топ-10 присутствуют SQL-инъекции, которые, наряду с другими подобными атаками,...