Пароль из 27 символов: как сегодня защищать себя и свою компанию?
Тема кибербеза не теряет актуальности, а напротив требует постоянного внимания, в том числе, в частной жизни. Резидент казанского ИТ-парка - компания Innostage имеет полноценный Центр противодействия киберугрозам CyberART, сотрудники которого мониторят, предотвращают и расследуют хакерские атаки. В...
MDM в Android: плюсы, минусы, подводные камни
Как только у сотрудника какой-либо компании появляется необходимость выполнять задачи на мобильных устройствах (пусть даже элементарно читать рабочую почту) и, соответственно, получать с них доступ к данным компании, появляются риски. Мобильные устройства (как и все эндпоинты) подвержены ряду...
[Перевод] Что такое браузерный сэндбоксинг?
В стремительно меняющихся условиях современного цикла веб-разработки одним из самых серьёзных вопросов для разработчиков и тестеров становится безопасность. Сложность создания и развёртывания современных веб-приложений приводит к увеличению количества уязвимостей. Согласно отчёту Cost of Data...
А вы давно заглядывали внутрь ваших зависимостей?
Задумывались ли вы о том, что находится внутри зависимостей, которые так или иначе подтягиваются в ваш код? Взять чужую библиотеку сейчас — норма жизни, но чем это обернется с точки зрения безопасности? Последние истории с node‑ipc и CTX заставили задуматься о том, что лежит внутри этих...
Интервью с Лукой Сафоновым о программах Bug Bounty и непосредственно платформе BugBounty.ru
После ухода платформы HakerOne (h1) в России появилось несколько отечественных площадок Bug Bounty. Две из них информационная служба Хабра уже осветила, и вот настало время рассказать ещё об одной. На удивление, самую первую в России Bug Bounty площадку мы обозреваем самой последней. BugBounty.ru...
Зачем вообще защищать данные при передаче?
Привет, Хабр! Меня зовут Федор и я занимаюсь киберкриминалистикой. Не только на работе (в RTM Group), но и на досуге. Мне нравится исследовать, почему и как кого-то взломали, а еще думать, как сделать так, чтобы этого не происходило. В связи с COVIDом и прочими событиями гораздо больше важных...
Как пандемия Covid-19 увеличила количество кибератак — история и анализ Punisher Ransomware
Во время пандемии Covid-19 большое количество мировых организаций столкнулись с ростом числа кибератак. Сегодня речь пойдет о зловреде-вымогателе, который активизировался как раз в то время. Злоумышленники, используя тематические приманки для заражения устройств пользователей различными семействами...
История развития паролей и средств их хранения
Слитые хешированные пароли Slack, утечки данных в Twitter, сообщения о взломе менеджера паролей LastPass. И это только малая часть того, чем пестрели новостные ленты в 2022 году. В компании LastPass, призванной надёжно хранить пользовательские пароли, признали, что злоумышленники получили доступ к...
Прокачаться в 2023 — подборка материалов по киберугрозам и защите данных
Подготовили компактную подборку книг для специалистов по кибербезопасности. Их рекомендуют к прочтению резиденты новостного веб-агрегатора Hacker News, крупные исследовательские институты, а также издательства MIT и Harvard Business Review. В список попали как исчерпывающие настольные справочники...
Александр Батенёв: «Крутой программист работает за деньги, но никогда не ради денег»
Закон Архимеда, если верить популярной легенде, всплыл из мыльной пены в ванной древнегреческого инженера. И не он один. Герой нашего нового блога о “Профессиях будущего”, принимая ванну, придумал решение для борьбы с вредоносными ботами. Кто после этого скажет, что кодинг — это скучно? Занимаясь...
Squid против 3proxy: чем обусловлен выбор прокси-сервера в Traffic Inspector Next Generation
В качестве прокси-сервера в архитектуре сетевых шлюзов различных производителей часто используется 3proxy. Этот выбор обусловлен, прежде всего, тем, что 3proxy — бесплатен, имеет открытый исходный код, компактные размеры и может работать под управлением множества ОС. Однако для универсального шлюза...
От поиска до блокировки: какие инструменты мы используем для борьбы с фишингом
Фишинг в первую очередь ассоциируется с электронной почтой. Но, чтобы похитить данные, мошенники часто подделывают сайты известных брендов. Компании узнают о проблеме, когда клиенты начинают жаловаться, что у них украли деньги, а услугу не предоставили. Чаще всего страдает диджитал-сфера:...
Отчёт о кибербитве Standoff 10, прошедшей осенью
Информационная служба Хабра 22 ноября и 23 ноября 2022 года посетила юбилейную десятую кибербитву Standoff между этичными хакерами и специалистами по информационной безопасности, среди которых также присутствуют этичные хакеры. Есть две стороны – одна атакующая (Red Team), другая защищающая (Blue...
Как составить и рассчитать бюджет стартапа на кибербезопасность
Бастион не собирает статистику по расходам на ИБ на российском рынке, но мы помогаем заказчикам формировать бюджеты на кибербезопасность, так что нам часто задают вопросы на эту тему. Сразу хочется поделиться ссылкой на толковый ликбез, но вместо грамотных рекомендаций поисковики выдают сотни...
Топ самых громких событий инфосека за ноябрь 2022
Всем привет! С уходом осени по традиции подводим итоги ноября в подборке самых ярких инфобез-новостей прошлого месяца. Сегодня у нас в программе пара сервисов с многолетней историей, по чью цифровую душу нагрянуло ФБР, громкие аресты видных фигур двух крупных киберпреступных группировок, а также,...
Positive Hack Day 2022. Отчёт-ретроспектива
В преддверии новых киберучений The Standoff хочется вспомнить фестиваль Positive Hack Day 2022, прошедший в мае, куда пригласили информационную службу Хабра. Для полноты обзора я просмотрел весь отснятый и выложенный компанией Positive Technologies на их Youtube-канале материал. Все интервью, все...
Как и зачем создавалась одна из первых систем квантового распределения ключей в России
Экспертиза нашей компании традиционно лежала в теме «классической» криптографии, но свою первую статью в блоге мы хотим посвятить инновационной теме и разработкам, которыми особенно гордимся — квантовому распределению ключей и системам их доставки. Подробнее...
Приручение черного дракона. Этичный хакинг с Kali Linux. Часть 6. Постэксплуатация. Способы повышения привилегий
Приветствую тебя, дорогой читатель, в шестой части серии статей «Приручение черного дракона. Этичный хакинг с Kali Linux». В прошлой статье мы рассмотрели основные методы эксплуатации уязвимостей в Linux и Windows системах при помощи модулей фреймворка Metasploit. Поговорили о таких вещах как типы...