Анализируем домен компании с помощью OSINT
В начале сентября мы перенесли облако NGcloud на новый домен. Перед миграцией проанализировали домен с помощью инструментов OSINT. Зачем? Потому что из сведений о домене хакеры могут добыть массу информации: начиная от данных владельца и заканчивая внутренними документами компании. В этой статье...
Ноутбуки, планшеты и другие гаджеты на Linux: что предлагает рынок в 2023 году
Устройства на Linux, если мы говорим о потребительской технике, менее многочисленны, чем девайсы на базе других ОС. Тем не менее производители время от времени предлагают такие модели, они относительно редко, но выходят. Сегодня о них и поговорим. В подборке — устройства, которые вышли или...
Инструменты для пентеста Wi-Fi
Это дополнение к основной статье "Как стать гуру или Wi-Fi Cheat Sheet". Я увидел много откликов по данной теме как положительных, так и отрицательных. Кому-то не нравится подача (да, есть свои минусы, но перенести материал из обычной заметки Markdown достаточно сложно), кому-то инструменты, но кто...
Osquery&SIEM. Вы правила мониторинга продаёте? Нет, просто показываем
Пока в сети появляется всё больше разговоров о запрете использования Apple-техники в определённых кругах, мы хотим показать, как у нас организован мониторинг macOS с точки зрения безопасности корпоративной инфраструктуры. Статья является продолжением первой части из микросерии аналитических статей,...
Linux-КПК на базе NanoPi Neo Air: необычный DIY-проект, разработанный с нуля
Наладонные компьютеры в своё время были очень популярны. Честно говоря, мне до сих пор их не хватает. Возможно, не столько самого гаджета, сколько ощущения, которое он давал, ведь в руках у тебя hi-tech-девайс небольшого размера, который может столь многое! Того же ощущения, видимо, не хватает и...
Нужно больше Linux-смартфонов: Ubuntu Touch продолжает развиваться, поддерживая новые модели
Проект Ubuntu Touch изначально развивала компания Canonical, и у неё были на мобильную версию своего дистрибутива большие планы. Но что-то пошло не так, и разработчики отказались от проекта. К счастью, он не умер, его подхватила команда из Ubports. Причём не формально — сейчас вышла новая версия...
Как разминировать свой код на PHP (и не только)?
«Мины» в исходном коде — это не только уязвимости, но и прочие дефекты безопасности, которые так или иначе ухудшают качество софта. Какими путями «минируется» ваш код и какие типы «мин» наиболее актуальные? Поговорим об этом в контексте веб-программирования и PHP. О «минах» в коде расскажет Илья...
А вы давно заглядывали внутрь ваших зависимостей?
Задумывались ли вы о том, что находится внутри зависимостей, которые так или иначе подтягиваются в ваш код? Взять чужую библиотеку сейчас — норма жизни, но чем это обернется с точки зрения безопасности? Последние истории с node‑ipc и CTX заставили задуматься о том, что лежит внутри этих...
20+ open source утилит для шифрования файлов на (почти) любой случай жизни
На самом-самом деле его секреты нафиг никому не нужны. И кстати, такой ключ за 5 баксов ещё надо поискать Шифропанкам посвящается. Мы собрали тулкит из популярных программ, которые помогут защитить личные данные от несанкционированного доступа и попросили исследователя криптографии из компании...
Обзор OWASP ZAP. Сканер для поиска уязвимостей в веб-приложениях
Сегодня почти у каждой организации есть собственный веб-сайт. Вместе с ростом интернета возрастают и атаки на веб-сайты, становясь все более серьезнее и масштабнее. Однако существует обширный список инструментов, которые могут производить сканирование и находить уязвимости в веб-приложениях. Одним...
Обзор Harbor. Реестр Docker образов с организацией прав доступа и сканированием образов на наличие угроз
В основе концепции Docker лежит такое понятие как образ. В терминологии Docker образ — это исполняемый файл (шаблон), в котором содержится исходный код приложения, его библиотеки и все самое необходимое для запуска контейнера. Готовые образы хранятся в реестрах. Один из самых известных и в тоже...
«Утечка данных»: в чем опасность и как с этим бороться?
Личные данные сегодня становятся все больше публичными, а конфиденциальность информации скорее условна. Махинации с использованием "слитых" баз данных сейчас обрели небывалый масштаб. От "разводов" недобросовестных телефонных мошенников страдаем мы с вами, от взломов и утечки внутренней информации...
DevSecOps и практики разработки защищенного ПО в контексте современных вызовов
Всем привет! В этой статье хочу поговорить о технологических вызовах, рассмотреть наиболее актуальные сегодня практики безопасной разработки с точки зрения современных запросов индустрии, поделиться собственным взглядом на тренды отрасли и вектора развития в текущих реалиях. Я Юрий Сергеев,...
Open Source: IT-фетиш 21 века
В последние лет 5 часто встречаются в сети красиво изложенные мысли на тему открытых исходников различных приложений. Суть в следующем: «Если код закрыт, то пользоваться приложением нельзя или нежелательно». Ведь если нельзя заглянуть под капот, нет никаких гарантий, что там не спрятан какой-нибудь...
Почему я выбрал DeltaChat для приватного общения
Нет централизованного сервера. Используется любой email-сервер, который укажете Надежное e2e-шифрование Autocrypt Level 1. Реализация прошла независмый аудит Open Source, не преследует коммерческих целей, финансируется НКО и пользователями Аудитория ~1М. Точно не оценить из-за отсутсвия телеметрии...
Безопасная разработка приложений — на что обратить внимание при работе с открытым кодом
Мы в T1 Cloud продолжаем рассказывать о процессах безопасной разработки приложений Secure SDLC. Сегодня подробнее поговорим о потенциальных уязвимостях в компонентах open source и как от них защититься. Читать далее...
Linux, Unix, безопасность: open source-проект FreeIPA как Enterprise-решение
Привет, Хабр! Меня зовут Александр Копылов. Я руководитель направления, участник профсообщества Сбера DWH/BigData. Сегодня предлагаю обсудить интересное решение из сферы инфобеза для высоконагруженных проектов. Огромное их количество, помимо технических возможностей и разнообразных фич, требует...
Взять и защитить SDLC — чем поможет облако
Продолжаем говорить о безопасной разработке и Secure SDLC. Сегодня на примере платформы T1 Cloud SDP покажем, какие облачные сервисы привнесут уровень безопасности в жизненный цикл ПО. Среди них есть как ручной анализ кода, так и автоматизированная проверка надежности open source компонентов....