[Перевод] PyTorch разоблачил вредоносную цепочку зависимостей
PyTorch обнаружил вредоносную зависимость с тем же именем, что и у библиотеки torchtriton во фреймворке. Это привело к успешной компрометации через вектор атаки путаницы зависимостей. Подробности — к старту нашего курса «Белый хакер». Читать дальше →...
«Хакер»: самые громкие, яркие и важные события 2022 года в мире безопасности
До нового года осталась всего ничего, а значит, пора подвести итоги и вспомнить самые интересные, важные и странные события последних двенадцати месяцев, о которых мы писали на Xakep.ru. Мы выбрали «призеров» в десяти номинациях и расскажем о наиболее заметных атаках, взломах, утечках, фейлах и...
Схема разделения ключа Шамира в Hashicorp Vault
Реализация схемы разделения Шамира в Hashicorp Vault, которую я попытался описать. На хабре есть несколько статей по данной теме, но я мало видел конкрентных разборов реализаций, поэтому решил описать процесс на примере популярного облачного инструмента. Думаю, что защита данных на уровне хранения...
Что выбрать: Red Team или Penetration Testing
За последний год информационная безопасность стала одной из наиболее горячих тем для обсуждения, выйдя далеко за пределы ИТ-сообщества. Это не удивительно — количество инцидентов ИБ в 2022 году выросло во много раз, заставив многих руководителей всерьёз задуматься о кибербезопасности своих...
(не) Безопасный дайджест New Year Edition: гаджеты-ябеды, утечки персданных и уличная социнженерия
Весь год хакеры взламывали компании, сотрудники то и дело становились инсайдерами, а СМИ пестрили очередными новостями о масштабных утечках. В канун Нового года и Рождества мы попросили нашего начИБ Алексея Дрозда (aka @labyrinth) поделиться его личным топом инцидентов, которые особенно запомнились...
Социальная инженерия глазами жертвы
Простые правила, которые помогут вовремя распознать фишинговые атаки и избежать их последствий, а также краткий обзор основных видов таких атак Мы провели более 20 успешных проверок, в которых использовалась социальная инженерия. Раз за разом один результат – удивление и фраза «мы знали о таком, но...
Пентест. Думаем как злоумышленник Часть 1. Угрозы извне
О тестировании на проникновение написано уже немало книг и статей. Эта тема становится все актуальнее с каждым новым инцидентом ИБ. Злоумышленники проникают в сети различных организаций с целью прямого хищения денег с счетов (банки, финансовые организации), атак на отказ в обслуживании (предприятия...
От поиска до блокировки: какие инструменты мы используем для борьбы с фишингом
Фишинг в первую очередь ассоциируется с электронной почтой. Но, чтобы похитить данные, мошенники часто подделывают сайты известных брендов. Компании узнают о проблеме, когда клиенты начинают жаловаться, что у них украли деньги, а услугу не предоставили. Чаще всего страдает диджитал-сфера:...
«Утечка данных»: в чем опасность и как с этим бороться?
Личные данные сегодня становятся все больше публичными, а конфиденциальность информации скорее условна. Махинации с использованием "слитых" баз данных сейчас обрели небывалый масштаб. От "разводов" недобросовестных телефонных мошенников страдаем мы с вами, от взломов и утечки внутренней информации...
Укрепление Nginx с помощью Fail2ban: тестируем и оцениваем «профит»
«Только запустил Nginx-приложение, а в access.log уже десятки записей с непонятными запросами, переборами паролей и другого» — типичная ситуация для незащищенного сервера. Это следствие работы «ботов» для сканирования белых сетей, поиска открытых портов, сбора информации о версиях запущенных служб...
Учитель и панк: история Алексея Дрозда, начИБ «СёрчИнформ»
Продолжаем серию постов о наших сотрудниках. Под Новый год решили рассказать про одного из самых заметных наших коллег – Алексее Дрозде (aka @labyrinth Вы знаете его, если приходите к нам на вебинары и Road Show, учитесь в нашем УЦ, читаете наш блог на Habr. В общем, многостаночник и обладатель...
Нельзя просто взять и обезличить данные — опыт команды разработки «Сферы»
Бизнесу нельзя использовать данные клиентов as is для тестов. Отдел разработки не может просто взять персональные данные (ПДн) и проверить на них новую фичу, обучить Machine Learning-модель. Этот момент регулируют законы и отраслевые стандарты. Чтобы с данными можно было работать, их необходимо...
Генератор эмбеддингов: как провести качественный анализ метрик сотрудников без прямого доступа к персональным данным
Привет, Хабр! Меня зовут Роман, я работаю в Сбере в блоке HR исследователем данных. Мне и моим коллегам часто приходится иметь дело с персональными данными сотрудников (далее ПДн). А получить допуск к использованию этих данных в различных контурах банка очень непросто: в Сбере серьёзно относятся к...
Рефлексия над UX: советы тем, кто начинает свой путь
Я Алексей Красильников, UX-архитектор Центра продуктов Dozor в компании «РТК-Солар». Под моим крылом — продукты Solar Dozor, Solar webProxy, Solar addVisor. И я очень признателен своим талантливым коллегам по UX за то, что они следуют выбранному курсу, несмотря на все трудности. Эта статья —...
Архитектура и решения безопасности в облаке часть 2
В первой части статьи мы обсудили стоп-факторы, которые блокировали возможность встраивания методологии CI/CD в процесс облачной разработки, а также способы, которыми они были устранены. Возможность безопасного и прозрачного управления Группами Безопасности командами разработки и используемые...
Важный фактор. Зачем нужна и как работает двухфакторная аутентификация в Traffic Inspector Next Generation
В информационной безопасности иногда применяются довольно старые, проверенные временем технологии. Например, одному из самых популярных средств аутентификации — паролю — уже больше тысячи лет: первые упоминания об использовании военными кодовых слов относятся еще ко временам Римской империи и...
Нюансы поддержки npm в Deno
Всем, привет! Меня зовут Данильян, я работаю в Самокате фронтенд-разработчиком и разрабатываю бэкофисное приложение с использованием React. Помимо работы, у меня есть несколько сайд-проектов, в которых я широко использую Deno. В последнее время этот проект радует новыми фичами чуть ли не каждую...
Формальная верификация смарт-контрактов
С каждым годом применение смарт-контрактов возрастает все больше и больше в различных областях цифровой индустрии: банковская область, юридические организации, логистические компании, биржи, это те области, в которых теория смарт–контрактов способна сильно упростить взаимодействие двух и более...