Приглашаем на KasperskyOS Night 2021 Winter Edition
19 ноября с 16:00 до 20:00 пройдет наша четвертая онлайн-конференция по кибериммунной разработке — KasperskyOS Night 2021 Winter Edition. В этот раз мы планируем поговорить о том, что нужно программистам и специалистам по информационной безопасности для создания IT-систем с «врожденной» защитой от...
[Перевод] Безопасность ПЛК: 10) Разделите регистры по их назначению
Определите блоки регистров для определенных функций, чтобы проверять данные, избегать переполнений и блокировать несанкционированные записи для защиты данных контроллера. Разбираем рекомендации по безопасному программированию ПЛК, формируем список своих рекомендаций. Всех неравнодушных прошу под...
Dell Technologies Forum 2021: виртуальная конференция о цифровом будущем уже сейчас
Цифровая эпоха уже наступила. Мы меняем наш образ жизни, переходим на новые способы обучения и работы из любой точки в любое время, используя технологии и невероятную ценность данных. Благодаря широкому спектру возможностей подключения в режиме реального времени мы получаем автоматизированные и...
[Перевод] Архитектура PlayStation 3, часть 4: Борьба с пиратством
Из предыдущих частей вы уже знаете, на что способна консоль PlayStation 3. Ожидали ли вы, что хакеры будут довольствоваться ограниченными возможностями OtherOS? Думаю, что Sony тоже не ожидала. Компания изо всех сил старалась защитить некоторые области, оставляя другие полузакрытыми, чем позже и...
Очень темные дела: BlackMatter и его жертвы
Сегодня преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS или, как это случалось ранее, после ребрендинга...
Взламываем ТВ-приставку, чтобы получить плацдарм для хакерских атак
Под катом вас ждет профессиональный экскурс в безопасность низкоуровневого ПО от одного из наших сотрудников. Вы узнаете, как получить доступ к Nand-памяти без программатора, обмануть загрузчик нулевого уровня и превратить Android-приставку в зомби за десять секунд. Читать далее...
Топ 5 самых громких событий инфосека за октябрь 2021
В этом дайджесте вспомним пять самых громких ИБшных событий октября 2021 и посмотрим, какое развитие они получили. Месяц начался с задорного падения всех фейсбучных сервисов и закончился тем, что одни из самых легендарных взломщиков сами оказались взломаны — но обо всём по порядку. Читать далее...
От Prototype Pollution к RCE на ZeroNights X
В рамках данной статьи мы рассмотрим уязвимость Prototype Pollution на клиенте и AST-injection на сервере и то, к чему может привести их совместная эксплуатация, а также, как они были встроены для обучения в конкурс “Hack To Be Hired” на ZeroNights X от Академии Digital Security. Всем желающим...
[Перевод] Безопасность ПЛК: 6,7) Проверяйте таймеры, счётчики и парные входы/выходы
Счётчики и таймеры написанные для программ ПЛК должны быть проверены на корректность, в том числе на обработку обратных отсчётов и значений меньше нуля. Убедитесь, что парные сигналы не задаются одинаково. Оповещайте оператора, если состояние входов/выходов физически невозможно или недопустимо....
(не) Безопасный дайджест Halloween Edition: «воскресшие» учётки, похититель душ и похороны Facebook
В октябрьском дайджесте собрали страшно глупые ИБ-инциденты, от которых кровь стынет в жилах. В хеллоуинской повестке – почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее мошенничество по телефону. Читать далее...
DDoS — оружие в войне бизнесов: защищаться нельзя смириться?
Привет! Это расшифровка подкаста «Релиз в пятницу» от команды Timeweb для всех читателей «Хабра». В новом выпуске ребята обсуждали не только громкие кейсы, но и в деталях объясняли, как технически устроены атаки. Читать дальше →...
CrowdSec 1.2: изменения, дополнения, улучшения
Привет, Хабр! Нам приходилось сталкиваться с мнением, что разработка — скучное занятие: cиди себе, копируй строчки кода с «Гитхаба» да компилируй готовое приложение. Но мы работаем по-другому: в каждую новую версию мы добавляем реально интересные и полезные фичи, которые разрабатываем сами. При...
[Перевод] Безопасность ПЛК: 4,5) Используйте переменные-флаги, хеши и контрольные суммы для проверки целостности проекта
Добавляйте счётчики для флагов ошибок. Используйте хеши или контрольную сумму (если хеши не могут быть использованы) для проверки целостности кода и выдачи предупреждения, если он был изменён. Разбираем рекомендации по безопасному программированию ПЛК, формируем список своих рекомендаций. Всех...
Зачем мониторить трафик локальной сети?
Локальные сети с каждым годом становятся более технологичными, появляются новые сервисы и услуги, а вместе с ними развиваются и угрозы информационной безопасности. Если проследить тенденцию развития систем мониторинга сети, то сначала появился мониторинг локальных машин, потом начали мониторить...
Знакомимся с новой веб-консолью CrowdSec
Привет, Хабр! Недавно мы выпустили новую веб-консоль. Теперь управлять работой CrowdSec можно не только из строгой командной строки с помощью cscli, но и из удобного веб-интерфейса. О том, что у нас получилось, расскажем в этом посте. Читать далее...
Дыры и заборы в Kubernetes: кейсы взлома, советы как защитить свой кластер и рассказ о первых хакерах
На вебинаре «Дыры и заборы: Безопасность в Kubernetes» встретились эксперты Максим Мошаров и Артём Юшковский, им задал вопросы ведущий Марсель Ибраев. Обсудили, как обезопасить свой кластер, показали три кейса взлома Kubernetes и рассказали, как строить безопасность в организации. В статье...
Приглашаем на KasperskyOS Day 2021 — открытую конференцию о кибериммунности
На летней конференции KasperskyOS Night мы рассказывали, как создаются кибериммунные решения на базе нашей операционной системы KasperskyOS. Теперь у вас есть возможность узнать о них больше. В этом году KasperskyOS Day проводится уже в третий раз, но впервые эта конференция пройдет в открытом...
Открытое безопасное будущее: оцениваем шансы open source на успех в финтехе
Традиционные финансовые институты в ужасе: соцсети строят свою финансовую инфраструктуру (VK Pay — существует, FB — пытается); «Гугл», «Яндекс» и «Эппл» имеют собственную платёжную систему, а маркеты прибирают к рукам небольшие банки. Продажи через мессенджеры — уже рутина. Да что там «Гугл», даже...