Новости кибербезопасности за неделю со 2 по 8 июня 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. Это уже 20 выпуск моего еженедельного дайджеста! На этой неделе проходил ЦИПР и несколько интересных новостей от туда. WhatsApp всё догоняет, догоняет, но такими темпами никого не догонит. Критическая уязвимость в Auth0,...
WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO
Разберёмся, как грамотно (хотелось бы так) настраивать пользовательские правила в Positive Technologies Application Firewall, чтобы при виде атаки ваша защита не превратилась в уязвимую "истеричку". Расскажем про ключевые директивы, покажем примеры из реальной практики и обоснуем каждый шаг. Читать...
[Перевод] Как я «случайно» получил root-доступ к платёжному терминалу
Этот проект я посвятил реверс-инжинирингу платёжных терминалов, так как из-за сопряжённых с их использованием финансовых рисков они представляют особый интерес в плане безопасности. И хотя эта отрасль для меня была не особо знакома, я считал, что в таком устройстве должна быть куча всяких защит. По...
Топ новостей инфобеза за май 2025 года
Всем привет! Подводим итоги ушедшего месяца дайджестом самых интересных ИБ-новостей. В мае прогремела история со взломом мессенджера, стоявшего на устройствах топовых чиновников США. Взломали также и инфраструктуру LockBit, добавив минусов в репутацию группировки. Кроме того, в мае масштабная...
Check Point Software и ее интеллектуальная собственность
Check Point — это крупная IT-компания из Израиля, которая занимается кибербезопасностью. Почти все корпорации из рейтинга Forbes 500 пользуются их решениями, а процент обнаружения угроз у ряда продуктов достигает 100%. Check Point имеет центры разработки и офисы в Израиле, США и Швеции, а ее штат...
Взломают или нет? Оцениваем риски вашей информационной системы и моделируем угрозы
Привет, Хабр! Меня зовут Алексей Костянов, я архитектор по информационной безопасности в Selectel. В этой статье я расскажу, как составить список потенциально уязвимых мест вашей информационной системы, и что делать с этим списком. Важно уточнить, что эта статья предназначена по большей части для...
Trust & Safety AI Meetup — как это было?
Привет! 22 мая прошел Trust & Safety AI Meetup — обсудили применение AI в борьбе за безопасность и доверие пользователей. К ивенту присоединились спикеры из Wildberries & Russ, Avito, AI Masters, а в зале встретились 60+ гостей и онлайн‑трансляция собрала 250+ просмотров. Смотри фото, чтобы...
Paranoia Mode: подборка инструментов для приватной и безопасной работы в Linux
Технологии позволяют следить за каждым — где вы бываете, что ищете, на что кликаете. А любая утечка личных данных может обернуться серьезными последствиями: от взлома аккаунтов до компрометации корпоративной инфраструктуры. Особенно если вы работаете с чувствительной информацией или просто не...
[Перевод] Полный захват аккаунта стоимостью $1000 — Думайте нестандартно
Сегодня я расскажу о баге, который позволял мне захватить любой аккаунт пользователя. Сначала это была проблема уровня P4, но я не стал сообщать о ней, а довёл до уровня P1 с помощью цепочки уязвимостей. Без лишних слов — начнём! Я не имею права раскрывать информацию о цели, поэтому давайте назовём...
Открытая платформа ИБ: как превратить инструментальный зоопарк в единую экосистему
С того момента как я начал изучать концепции, тактики и модели построения информационной безопасности, то стал всё чаще и чаще цепляться за несоответствие концепций и продуктов. Многие компании-разработчики отечественных продуктов начинают смешивать понятие продукта (по сути, инструмента для...
Новости кибербезопасности за неделю с 26 мая по 1 июня 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про: раскрытие секретной сети ЦРУ; как с помощью ИИ нашли 0-day в ядре linux; ценовое исследование darkweb; про тюремные сроки для дропперов и другие только самые важные и интересные новости этой...
SmartCaptcha Yandex на iOS: инструкция по внедрению
Привет! Меня зовут Александр, я iOS-разработчик в IT-компании SimbirSoft. В этой статье я расскажу, как интегрировать Yandex SmartCaptcha в iOS-приложение — от подготовки до решения возможных трудностей. Настройка Yandex SmartCaptcha на первый взгляд может показаться простой задачей, но на практике...
РПшники тоже ошибаются
Руководитель проекта — это по факту главный человек на проекте. Да, в любой проектной команде есть архитекторы, тимлиды, инженеры, менеджеры по продажам, но по факту все они несут свои проблемы и идеи к проектному менеджеру и с ним решают, что делать дальше. Именно в руках РП находятся все нити...
Безопасная сборка Docker-образов в CI: пошаговая инструкция
Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность. Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет...
Информационная безопасность для цифровых кочевников
Привет! Меня зовут Аня, я менеджер продукта в департаменте информационной безопасности Ozon Tech. Сейчас я занимаюсь проектом по внедрению дополнительных механизмов проверки прав пользователей при доступе к корпоративным ресурсам. Этот опыт помог мне иначе взглянуть на угрозы, с которыми...
Аудит информационной безопасности: комплексная модель оценки зрелости процессов
Вопрос зрелости практик информационной безопасности волнует практически каждую российскую компанию: кибератаки становятся изощреннее, требования регуляторов ужесточаются, а импортозамещение требует быстро перестраивать ИТ-процессы. Как понять, насколько ваша система действительно надежна, где...
Вкратце об анонимных сетях и задачах анонимизации | Proxy, Onion, Dining Cryptographers, Queue Based, Entropy Increase
Каждую анонимную сеть можно классифицировать различным образом - можно смотреть на сетевую архитектуру: децентрализованная она или гибридная, можно смотреть на открытость или закрытость исходного кода, можно смотреть на то, каким образом пакеты маршрутизируются в системе, можно сравнивать модели...
Взлом уязвимой операционной системы Vulnix. Уязвимая служба/протокол smtp
Всех приветствую, читатели Хабра! В сегодняшней статье я поделюсь примером взлома уязвимой ОС Vulnix и энумерацией порта/сокета/службы smtp. После чего опять же пример брутфорса паролей Примечание Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих...