[Перевод] Почему к домашней летающей камере от Ring нужно отнестись крайне скептически
Идея использовать дрон для обеспечения безопасности вашего дома может показаться клёвой – но перевешивают ли преимущества все недостатки? На этой неделе подразделение Amazon, компания Ring, занимающаяся товарами для «умного дома», объявила о выпуске Always Home Cam – системы «домашней безопасности...
[Перевод] C++: Коварство и Любовь, или Да что вообще может пойти не так?
“C позволяет легко выстрелить себе в ногу. На C++ это сделать сложнее, но ногу оторвёт целиком” — Бьёрн Страуструп, создатель C++. В этой статье мы покажем, как писать стабильный, безопасный и надежный код и насколько легко на самом деле его совершенно непреднамеренно поломать. Для этого мы...
Leak-Search: как и зачем QIWI создала сервис, который ищет утечки исходных кодов компаний
Искать утечки и уязвимости в своих продуктах не только интересно и полезно, но и необходимо. Еще полезнее подключать к таким поискам внешних специалистов и энтузиастов, у которых не настолько замылен глаз, как у сотрудников. Поэтому в свое время мы в QIWI запустили программу bug bounty —...
Трек DevSecOps — тест безопасности на DevOpsConf Live 2020
У нас 2 часа. Быстро пофиксим баг и сразу назад... Кибербезопасность в наше время нужна везде, от условного пропускного режима и коммерческой тайны до PR и коммуникаций в кризисные моменты. ИТ уже очень глубоко и критично проникли в бизнес, а новые технологии все легче создать, внедрить и...
WSL эксперименты. Часть 1
Привет, хабр! В октябре OTUS запускает новый поток курса «Безопасность Linux». В преддверии старта курса делимся с вами статьёй, которую написал один из наших преподавателей — Александр Колесников. В 2016 году компания Microsoft представила IT сообществу новую технологию WSL (Windows Subsystem for...
Безопасность npm-проектов, часть 2
Безопасность npm-проектов, часть 2 Всем привет! В прошлых постах мы поговорили о том, как команда npm обеспечивает безопасность, а также начали рассматривать инструменты, помогающие нам повысить безопасность проектов. Я хочу продолжить разговор и рассмотреть следующий набор полезных инструментов....
Домофоны, СКУД… И снова здравствуйте
Доброго времени суток, дорогие читатели. Однажды, я уже писал здесь об уязвимости в контроллерах СКУД от IronLogic. Подробнее - здесь. Там уязвимость заключалась (и заключается, так как инженер IronLogic считает, что "Уязвимость некритична, исправлять не будем.") в программном баге прошивки z5r....
[Перевод] Распространенные ошибки безопасности в приложениях Laravel
В большинстве случаев уязвимости безопасности возникают только из-за недостаточной осведомленности, а не из-за халатности. Хотя мы обнаружили, что большинство разработчиков заботятся о безопасности, но иногда они не понимают, как конкретный шаблон кода может привести к уязвимости, поэтому в...
3D Secure, или что скрывают механизмы безопасности онлайн-платежей
Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении...
[Перевод] Как использовать простую утилиту для поиска уязвимостей в программном коде
Graudit поддерживает множество языков программирования и позволяет интегрировать тестирование безопасности кодовой базы непосредственно в процесс разработки. Источник: Unsplash (Markus Spiske) Тестирование — важная часть жизненного цикла разработки программного обеспечения. Существует очень много...
Как писать техстандарт по защите информации для крупной компании
Любая крупная компания со временем сталкивается с проблемой появления неразберихи в применяемых методах, способах и средствах защиты информации. Каждая компания решает проблему хаоса по-своему, но обычно одна из самых действенных мер — написание технического стандарта ИБ. Представьте, есть крупное...
Телеграм.пёс, или как не нужно делать зеркала
Под катом — история о том, как официальное зеркало Telegram может привести вашего друга на верифицированный канал, который принадлежит мошенникам. Читать дальше →...
Реализация архитектуры безопасности с нулевым доверием: вторая редакция
Источник В начале 2020 года Национальный институт стандартов и технологий США (NIST) опубликовал черновик второй редакции документа, в котором рассматриваются основные логические компоненты архитектуры с нулевым доверием (Zero Trust Architecture, ZTA). Нулевое доверие (Zero Trust) относится к...
РЖД присылает мне чужие билеты
Коллега по работе сегодня столкнулась с интересной ситуацией вокруг персональных данных. На ее почту и в личный кабинет РЖД стали сыпаться билеты, купленные другими людьми. Естественно, со всеми данными пассажиров и прочими вещами. Далее — с ее слов. Читать дальше →...
Безопасные способы идентификации в системах контроля доступа
Сегодня на рынке систем безопасности к технологиям идентификации предъявляются новые требования, основные из которых: максимальная защита идентификации и безопасность использования в условиях сложной эпидемиологической обстановки. " Защита идентификации Обеспечить высокий уровень защиты...
Опыт реализации сетевых фабрик на базе EVPN VXLAN и Cisco ACI и небольшое сравнение
Оцените связки в средней части схемы. Ниже к ним вернёмся В какой-то момент вы можете столкнуться с тем, что большие сложные сети на базе L2 неизлечимо больны. В первую очередь проблемами, связанными с обработкой BUM трафика и с работой протокола STP. Во вторую — в целом морально устаревшей...
[Перевод] Trusted Types — новый способ защиты кода веб-приложений от XSS-атак
Компания Google разработала API, которое позволяет современным веб-приложениям защитить свой фронтенд от XSS-атак, а конкретнее — от JavaScript инъекций в DOM (DOM-Based Cross Site Scripting). Межсайтовый скриптинг (XSS) — наиболее распространённый тип атак, связанных с уязвимостью современных...
[Перевод] Знай своего врага: создаём Node.js-бэкдор
Бэкдор в собственном коде, который может незаметно взаимодействовать с операционной системой, это один из самых страшных кошмаров любого разработчика. В настоящий момент в npm имеется более 1.2 миллиона общедоступных пакетов. За последние три года зависимости проектов превратились в идеальную цель...