Возможности настройки привилегии и безопасности интерфейса WMI
Давным-давно, когда трава была зеленее, а интернет безопаснее, в ИТ родилась инициатива Web Based Enterprise Management (WBEM). Первоначально спонсируемая в 1996 году такими компаниями как Cisco Systems, Intel и Microsoft, она получила широкое распространение и реализацию на различных платформах:...
Контролируем подрядчиков на ответственном проде: внедрение DLP + UAM (промшпионаж, логи действий)
У заказчика есть главная система, через которую он делает продажи всего-всего. К ней имеют доступ подрядчики, которые разрабатывают и дополняют эту систему, а также персонал изнутри. Когда речь про железо, всё достаточно просто: подрядчик приходит в ЦОД, а безопасник из офиса контролирует его по...
[Перевод] Взлом Wi-Fi-сетей, защищённых WPA и WPA2
Автор статьи, перевод которой мы сегодня публикуем, хочет рассказать о том, как взломать Wi-Fi-сеть, для защиты которой используются протоколы WPA и WPA2. Статья написана исключительно в ознакомительных целях Читать дальше →...
Яндекс отключил расширения с аудиторией в 8 млн пользователей. Объясняем, почему мы пошли на такой шаг
Сегодня мы приняли решение отключить расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек. В этом посте мы расскажем о причинах и поделимся с сообществом результатами...
Blum-Blum-Shub generator и его применение
В настоящее время случайные числа используются в различных областях науки. Например, для моделирования различных реальных процессов зачастую нужно учитывать не только поведение исследуемой величины, но и влияние различных непредсказуемых явлений. Кроме того, в некоторых методах анализа данных,...
DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер
Привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально наш отдел называют DevOps-отделом, мы занимаемся автоматизацией различных процессов и помогаем разработчикам и тестировщикам в нашей компании. Я и мой коллега Дима Рагулин...
Режим коммерческой тайны: заставь NDA работать
Самый охраняемый коммерческий секрет в мире — формула рецепта “Coca-Cola” в США. Компании удается хранить его более 100 лет. Можно ли достичь такого результата охраны коммерческой тайны (КТ) в Украине. Как не переживать, что сотрудник передаст базу клиентов конкурентам, разгласит коммерческую...
Интернет беззащитных «вещей». Алгоритмы шифрования в IoT
С каждым днем количество "вещей" увеличивается. Это могут быть как камеры, которые стоят на улицах Москвы, различные сенсоры и датчики, которые используются при производстве,медицинские приборы, которые следят за вашим здоровьем, а также различные бытовые предметы (умные холодильники, умные двери и...
Безопасный Linux вместе с AppArmor
В предыдущей статье речь шла о SELinux. Моё впечатление об этой системе безопасности двоякое. С одной стороны безопасности в ИТ много не бывает, и SELinux содержит все необходимое для защиты ОС и приложений от несанкционированного доступа. С другой же стороны он выглядит чересчур громоздким и...
Правоохранители США могут изучать содержимое даже заблокированных гаджетов
Громкие публичные заявления правоохранительных органов о трудности получения информации с заблокированных гаджетов не должны вводить вас в заблуждение. Информацию получают все, кто способен за это заплатить. Cloud4Y рассказывает, как это делается в США. Читать далее...
«Особенность» Instagram
В 2020 году даже если злоумышленник попал в ваш аккаунт социальной сети, это неприятно, но не критично. Ведь у нас есть двухфакторная аутентификация на многие важные действия, а доступа к почте/телефону у злоумышленника нет и аккаунт ему не угнать. Так ведь? Нет. В Instagram - социальной сети,...
Математические бэкдоры в алгоритмах шифрования
Мы привыкли полагаться на современные алгоритмы шифрования. Однако, действительно ли они так безопасно защищают наши данные? Давайте разберёмся с таким понятием как математический бэкдор, что он из себя представляет и как работает. Читать далее...
Концепт — как усилить защиту паролей «12345» от bruteforce атаки (попытка вторая)
Всегда хотелось, чтобы хакер не мог взломать перебором чужой пароль на сайте. Например, если пользователь похвастается хакеру, что его пароль состоит только из цифр, то скоро пользователь потеряет свой аккаунт. А как быть, если пользователь сообщил по телефону свой пароль жене, а хакер его услышал?...
[Перевод] Как предоставить табличные данные и сохранить при этом конфиденциальность
Продолжаем тему информационной безопасности и публикуем перевод статьи Coussement Bruno. Добавить шум к существующим данным, добавить шум только к результатам операций над данными или генерация синтетических данных? Доверимся интуиции? Читать дальше →...
Как потерять аккаунт на Гос. услугах за 5 секунд
Ошибки при интеграциях разных систем случаются не так редко. И главное тут во время получать звоночки и фиксить эти проблемы. Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах. Читать дальше →...
Настройки приватности Facebook VS OSINT
Уже достаточно много статей я разбирал OSINT и поиск в соцсетях с помощью Maltego. Сегодня же давайте поговорим о настройках приватности в их аккаунтах. Читать дальше →...
Почему я не люблю PHP
Не спешите прокручивать мой пост - дело совсем не в коде, не в пороге вхождения, фреймворках или отсутсвия обратной совместимости. Я отношусь к PHP с той стороны, которая занята его размещением и безопасностью. Конечно, сейчас никаких трудов не составит запихнуть код с интерпретатором в контейнер,...
NFC на банкомате: небольшой ликбез
Люди всё ещё продолжают вставлять карту в банкоматах, несмотря на то, что бесконтактное обслуживание имеет преимущества перед привычным всем способом. Постараюсь кратко рассказать историю вопроса. В 2017 году мы начали внедрять NFC на банкоматах. Тогда у нас был большой парк банкоматов, на которых...