Кибербезопасность за 30 дней. Чек-лист для руководителей
Дверь кабинета распахнулась в три часа ночи. Бледный технический директор, голос дрожит: «Всё. Системы мертвы. Они требуют два миллиона в биткоинах». В голове мелькнула мысль: «Это же фильм какой-то...» Но на мониторах уже мигали красные надписи, а в телефоне зашкаливало количество звонков от...
[Перевод] Современный подход к предотвращению CSRF/CORF-атак в Go
Команда Go for Devs подготовила перевод статьи о новом подходе к защите Go-приложений от CSRF/CORF-атак. Автор разбирает, как связка TLS 1.3, SameSite cookies и http.CrossOriginProtection из стандартной библиотеки позволяют отказаться от токенов — но только если соблюдены важные условия. Насколько...
Как SMM Газпрома устроили добровольный «слив» данных клиентов
В порыве ностальгии листая письма с далёкой родины я нашёл в почтовом ящике письмо о розыгрыше. Обычно такие письма лежат в папке Спам, но оно почему-то пробилось сквозь фильтры. NB! Данный пост является информационным, опубликован с целью показать IT-сообществу как несогласованные действия...
Безопасность: на каких инструментах нельзя экономить?
Многие до сих пор думают, что экономия на безопасности — это разумная оптимизация бюджета. На практике же такой подход напоминает покупку самого дешёвого замка на дверь в криминогенном районе: кажется, что сэкономил, но на самом деле — заранее оплатил будущий взлом. Читать далее...
Как победить блики на экране: гид по антибликовым покрытиям
Яркое освещение может превратить экран монитора или смартфона в зеркало — вместо контента видны только отражения. Здесь приходят на помощь антибликовые покрытия, нанесенные непосредственно на экран или приклеенные в виде пленок. Вместе с редакцией блога «М.Клик» решили исследовать какой тип...
История о том как абсолютное оружие оказалось никому не нужным
Все началось с того что к нам в офис приехал директор иногороднего филиала. Он подошел ко мне и сказал примерно следующее: “Я переписываюсь с генеральным директором с помощью mail.ru. В переписке мы обсуждаем весьма щекотливые вопросы, связанные, например, с …, ну тебе лучше не знать…. Я бы не...
Технологии на службе мира: Почему когнитариат должен объединиться против милитаризации
Чтение книги The Technological Republic за авторством генерального директора компании Palantir Technologies Алекса Карпа сподвигло меня на следующие размышления. Читать далее...
Ловись, вирус, большой да маленький: топ антивирусов в России
Мы регулярно анализируем статистику продаж в разных продуктовых сегментах и делимся своими результатами. Но, помимо «традиционных» для сети «М.Видео‑Эльдорадо» сегментов вроде компьютеров или телевизоров, мы подводим итоги и в других. Сегодня расскажем, как продавались в России антивирусы. Рынок...
Очередная китай-камера с бэкдором
Как можно догадаться, на этот раз речь пойдёт об очередном поделии китайского IoT-гения, а именно о цифровой камере для третьего "глаза" микроскопа (можно ли назвать камеру для микроскопа IoT-ом?). Не знаю, может у них там сверху наказ такой: в каждую камеру по бэкдору совать (и чем больше, тем...
Простая защита скрипта на Python
Стек: Python 3.11.7, ntplib, subprocess, getpass для времени, системы, пароля, PyArmor 8+ для обфускации. Сценарий: Разработано приложение, которое дает преимущество перед конкурентами, или ваш код содержит конфиденциальные данные. Приложение предстоит установить нескольким сотрудникам (можно...
Киберучения «CyberCamp 2024» глазами Гостя
В начале октября прошел трехдневный чемпионат по информационной безопасности федерального уровня CyberCamp 2024. О том, из чего он состоял можно почитать в разных СМИ, например, на РБК, переписывать их текст, естественно, не буду. Автор статьи принимал участие в соревновании на стороне "синих",...
Оракул времени для блокчейна Hyperledger Fabric
В прошлой статье я рассказал, как использование серверов времени (NTP и NTS) решает проблему манипуляцией временем транзакции в блокчейне Hyperledger Fabric. Концепт-код был написан на Go. Поэтому он не применим для здесь и далее для упрощения текста используется термин "смарт-контракт" вместо...
Интеграция KSMG 2.0. с PT Sandbox (Positive Technologies Sandbox). Продвинутая защита корпоративной почты
Мы рады вновь приветствовать вас в блоге системного интегратора TS Solution и предлагаем к прочтению первый материал из свежей подборки полезных статей напрямую от инженеров ИБ. Читать далее...
Использование машинного обучения для борьбы с DDoS атаками
В настоящее время фиксируются реальные атаки DDoS более 1 Тбит/с. Так, например, атака 2018 год на GitHub достигла пикового объема трафика в 1,35 терабит в секунду, превосходя любую ранее зарегистрированную атаку. При этом растет количество сложных атак на протоколы прикладного уровня. Эти атаки...
Как стать хакером для «самых маленьких»
Добрый вечер ребята, листая хабр я заметил тенденцию к отсутствию качественного, авторского, и связанного с IT контента, поэтому расскажу о том кто такой хакер, опишу несколько приёмов читерства, и попробую дать представление об этом легендарном термине (разумеется в рамках моих способностей)....
Кибербайки
Привет, Хабр! Наверняка с тобой случилась хотя бы одна удивительная история в сфере ИТ или ИБ, которую ты привез из командировки, которая произошла на очередном закрытом проекте или случилась в твоей компании. На CyberCamp 2023 мы попросили соревнующиеся команды и зрителей поделиться интересными...
The Walking Pod: основные стратегии атак изнутри кластера
У Kubernetes много инструментов защиты поставляется прямо из коробки. Но все равно степень выстроенной защиты зависит от компетенции специалистов, которые ее настраивают, требований бизнеса и ресурсов, выделенных на безопасность. В итоге сложно гарантировать, что под видом «мирного и безобидного»...
[Перевод] PyTorch разоблачил вредоносную цепочку зависимостей
PyTorch обнаружил вредоносную зависимость с тем же именем, что и у библиотеки torchtriton во фреймворке. Это привело к успешной компрометации через вектор атаки путаницы зависимостей. Подробности — к старту нашего курса «Белый хакер». Читать дальше →...
Назад