DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер
Привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально наш отдел называют DevOps-отделом, мы занимаемся автоматизацией различных процессов и помогаем разработчикам и тестировщикам в нашей компании. Я и мой коллега Дима Рагулин...
Режим коммерческой тайны: заставь NDA работать
Самый охраняемый коммерческий секрет в мире — формула рецепта “Coca-Cola” в США. Компании удается хранить его более 100 лет. Можно ли достичь такого результата охраны коммерческой тайны (КТ) в Украине. Как не переживать, что сотрудник передаст базу клиентов конкурентам, разгласит коммерческую...
Интернет беззащитных «вещей». Алгоритмы шифрования в IoT
С каждым днем количество "вещей" увеличивается. Это могут быть как камеры, которые стоят на улицах Москвы, различные сенсоры и датчики, которые используются при производстве,медицинские приборы, которые следят за вашим здоровьем, а также различные бытовые предметы (умные холодильники, умные двери и...
Безопасный Linux вместе с AppArmor
В предыдущей статье речь шла о SELinux. Моё впечатление об этой системе безопасности двоякое. С одной стороны безопасности в ИТ много не бывает, и SELinux содержит все необходимое для защиты ОС и приложений от несанкционированного доступа. С другой же стороны он выглядит чересчур громоздким и...
Правоохранители США могут изучать содержимое даже заблокированных гаджетов
Громкие публичные заявления правоохранительных органов о трудности получения информации с заблокированных гаджетов не должны вводить вас в заблуждение. Информацию получают все, кто способен за это заплатить. Cloud4Y рассказывает, как это делается в США. Читать далее...
«Особенность» Instagram
В 2020 году даже если злоумышленник попал в ваш аккаунт социальной сети, это неприятно, но не критично. Ведь у нас есть двухфакторная аутентификация на многие важные действия, а доступа к почте/телефону у злоумышленника нет и аккаунт ему не угнать. Так ведь? Нет. В Instagram - социальной сети,...
Математические бэкдоры в алгоритмах шифрования
Мы привыкли полагаться на современные алгоритмы шифрования. Однако, действительно ли они так безопасно защищают наши данные? Давайте разберёмся с таким понятием как математический бэкдор, что он из себя представляет и как работает. Читать далее...
Концепт — как усилить защиту паролей «12345» от bruteforce атаки (попытка вторая)
Всегда хотелось, чтобы хакер не мог взломать перебором чужой пароль на сайте. Например, если пользователь похвастается хакеру, что его пароль состоит только из цифр, то скоро пользователь потеряет свой аккаунт. А как быть, если пользователь сообщил по телефону свой пароль жене, а хакер его услышал?...
[Перевод] Как предоставить табличные данные и сохранить при этом конфиденциальность
Продолжаем тему информационной безопасности и публикуем перевод статьи Coussement Bruno. Добавить шум к существующим данным, добавить шум только к результатам операций над данными или генерация синтетических данных? Доверимся интуиции? Читать дальше →...
Как потерять аккаунт на Гос. услугах за 5 секунд
Ошибки при интеграциях разных систем случаются не так редко. И главное тут во время получать звоночки и фиксить эти проблемы. Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах. Читать дальше →...
Настройки приватности Facebook VS OSINT
Уже достаточно много статей я разбирал OSINT и поиск в соцсетях с помощью Maltego. Сегодня же давайте поговорим о настройках приватности в их аккаунтах. Читать дальше →...
Почему я не люблю PHP
Не спешите прокручивать мой пост - дело совсем не в коде, не в пороге вхождения, фреймворках или отсутсвия обратной совместимости. Я отношусь к PHP с той стороны, которая занята его размещением и безопасностью. Конечно, сейчас никаких трудов не составит запихнуть код с интерпретатором в контейнер,...
NFC на банкомате: небольшой ликбез
Люди всё ещё продолжают вставлять карту в банкоматах, несмотря на то, что бесконтактное обслуживание имеет преимущества перед привычным всем способом. Постараюсь кратко рассказать историю вопроса. В 2017 году мы начали внедрять NFC на банкоматах. Тогда у нас был большой парк банкоматов, на которых...
Виды биометрии в мобильном приложении
Для идентификации пользователя в приложении можно использовать биометрию – например, сканеры радужной оболочки глаза, геометрии лица или отпечатка пальца. Хотя эти технологии известны и популярны, у начинающих разработчиков из-за недостатка информации до сих пор возникают те или иные вопросы....
Насколько неуязвим искусственный интеллект?
Сегодня искусственные нейронные сети лежат в основе многих методов «искусственного интеллекта». При этом процесс обучения новых нейросетевых моделей настолько поставлен на поток (благодаря огромному количеству распределенных фреймворков, наборов данных и прочих «заготовок»), что исследователи по...
[Перевод] Установка XSS Hunter
Публикуем перевод статьи Installing XSS Hunter и проверяем инструкцию на собственном примере. Спойлер: Всё работает! Читать дальше →...
Сканер для выявления слабых паролей в СУБД
Сканеры уязвимостей есть в каждой компании, которая уделяет внимание информационной безопасности. Но далеко не каждый сканер умеет проверять пароли от локальных учетных записей в базе на стойкость. Проблема в том, что локальные учетные записи чаще всего не имеют срока действия, не проверяются на...
[Перевод] Ваш компьютер на самом деле не ваш
Вот он. Наступил. Не заметили? Речь, конечно, идет о мире, предсказанном Ричардом Столлманом в 1997 году. О мире, о котором нас предупреждал Кори Доктороу. В современных версиях macOS вы не можете просто включить компьютер, запустить текстовый редактор или просмотрщик электронных книг и писать или...