Мы собрали для вас полезные материалы, посвященные вопросам сетевой и облачной безопасности, а также защите от DDoS-атак. За годы на Хабре и других ресурсах наши эксперты подготовили много статей по защите данных. Теперь самое главное представлено в одной публикации по темам ИБ и IaaS.
Информационная безопасность *
Защита данных
Новости
Наследство, передаваемое «в цифре». Что с этим делать и как правильно завещать
Интернет — часть повседневной жизни, и наши онлайн и оффлайн-миры тесно связаны. Но по мере всё большей цифровизации жизни возникает вопрос о том, что делать с цифровым наследием людей. Представьте, что у некоего Васи была многолетняя подписка на Pornhub музыкальный сервис, прокачанный игровой аккаунт, большая коллекция фотографий и пара биткойнов в кошельке. Что с ними будет, если Васи не станет?
Неизвестно. Может быть, наследники попробуют отыскать доступ хотя бы к кошельку, чтобы пользоваться криптой. Может быть, они даже не узнают об этих активах. Или будут знать не про все. Вариантов очень много. А всё потому, что вопрос цифрового наследия почти никак не регламентирован на государственном и международном уровне. Попробуем разобраться в этом вопросе, разобрав положение дел на данный момент.
Поскольку вопрос объёмный и сложный, мы разбили статью на две части. В первой обсудим сущность цифрового наследия, его компоненты, особенности законодательства. Вторая часть будет посвящена практике работы с наследием, этичности управления подобного рода активами, цифровым «кладбищам» и способам использования данных, оставленных умершими людьми.
[утечка 1.091k] Слив базы пользователей Pikabu
Несколько минут назад мне на глаза попалась свежая новость об утечки с сайта Pikabu: Данные пользователей pikabu слили?
Nemesida WAF: защита сайта и API от хакерских атак и паразитного трафика
Сталкиваясь с атаками на веб-ресурсы, администраторы пытаются перекрыть вредоносный трафик настройками веб-сервера, установкой Rate Limit, созданием правил блокировок или ограничением доступа по IP из списка стран. Эти действия требуют навыков и не всегда приводят к ожидаемым последствиям.
В статье расскажу, как обеспечить быструю и качественную защиту веб-приложений и API от большей части угроз OWASP Top-10 с использованием бесплатной версии Nemesida WAF Free.
Повтор — тоже атака. Часть 1
Данная статья является первой из трех, которые будут рассказывать об инструментах, которые используются для тестирования внутренней инфрасруктуры Windows Active Directory. Во всех тестовых сценариях подразумевается, что уже есть доступ во внутреннюю инфраструктуру и в ней есть активные пользователи, которые пользуются сервисами Windows AD, такими как файловые шары, центры сертификации, веб-приложения и т.д.
ТОП-3 ИБ-событий недели по версии Jet CSIRT
На этой неделе опубликовано исследование вредоноса Daxin, NVIDIA попробовала зашифровать украденные хакерами данные, а в медицинских инфузионных насосах найдены уязвимости. Новости собирал Александр Ахремчик, ведущий аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее — под катом.
10 лучших бесплатных OSINT-инструментов по версии компании T.Hunter
Приветствую Хабр. На связи T.Hunter. Недавно у нас в офисе разгорелся спор – наберется ли хотя бы 10 сносных и, самое главное, БЕСПЛАТНЫХ инструментов для проведения OSINT?
Ну и оказалось, что наберется. Это, разумеется, не топ инструментов, а просто наш небольшой список. Он конечно же не претендует на звание самого лучшего и универсального, но возможно Ты, мой дорогой читатель, найдешь для себя что-нибудь интересное. Итак поехали …
DISCLAIMER: Данная статья написана в ознакомительных целях и не является руководством к неправомерным действиям или обучающим материалом для сокрытия правонарушений.
SMS PVA: лёгкий способ обойти идентификацию по номеру телефона
При регистрации пользователей многие онлайн-платформы требует идентификации с помощью SMS-кода. Код отправляется на указанный номер, а затем его нужно ввести для завершения регистрации. Считается, что это позволяет отфильтровать троллей, мошенников и преступников. Однако, как показало наше исследование SMS PVA: An Underground Service Enabling Threat Actors to Register Bulk Fake Accounts, такой способ идентификации уже не может считаться надёжным. В этом посте расскажем, почему наши эксперты пришли к такому выводу, и приведём рекомендации для повышения безопасности.
В опенсорсе меньше уязвимостей? Похоже, что да
Безопасность через неясность работает в некоторых редких ситуациях: например, указать нестандартный порт SSH для защиты от брута или закамуфлировать критически важный объект, как сова на фотографии (см. приёмы обфускации кода). Да, есть такие экзотические методы. Но обычно наилучшую защиту обеспечивает максимальная открытость кода.
Чем меньше секретов в коде программы — тем безопаснее.
Насколько справедливо это парадоксальное утверждение? Посмотрим на статистику.
Двигать влево или вправо? Экономический подход к ИБ
Привет, Хабр! Меня зовут Петр Умнов, и сегодня я хочу рассказать об одной интересной концепции, которой поделился наш коллега Джефф Харди из Acronis Hosting Solutions. Речь идет о концепции отношения к киберугрозам со стороны хостинговых компаний, а также о методах “сдвига влево” и “сдвига вправо” для того, чтобы избежать рисков. На мой взгляд, эти соображения подойдут практически для любой компании, и поэтому решил поговорить о них в своем посте подробнее.
JSON Web Token и Secure Sockets Layer
Для начала разберем небольшую задачу. Она поможет читателю получить представление об основах шифрования.
Представим, что у нас есть сундук с важными документами. Мы хотим отправить его из пункта А в пункт Б, но так, чтобы никто не мог открыть его содержимое по пути следования. На сундук можно повесить замок/замки, отправлять сундук несколько раз, принимать обратно, передавать ключ/ключи через посредника. Посредник может скопировать ключ или даже сам сундук, подобно файлам на компьютере. Как же выстроить цепочку передачи, чтобы посредник не получил доступ к закрытым документам при перевозке?
Приватность в электронной почте: нам нужно использовать шифрование по умолчанию
Связь по электронной почте
В наши дни связь между людьми, учреждениями, компаниями и организациями является цифровой.
Согласно взятой из веба статистики, электронные письма генерируют ежедневный трафик, объём которого склонен к росту:
2021 год | 2022 год | 2023 год | 2024 год | 2025 год |
---|---|---|---|---|
319,6 | 333,2 | 347.3 | 361.6 | 376,4 |
Ежедневный трафик в миллиардах электронных писем компаний и потребителей. Источник: www.radicati.com |
То есть в 2022 году ожидается ежедневный трафик в 333,2 миллиарда писем (или приблизительно 333200000000).
Однако нас удивляет не столько огромный объём почтового трафика, сколько совершеннейшая неосведомлённость пользователей о необходимости защиты содержимого каждого письма.
На самом деле, большая доля писем в ежедневном трафике отправляется обычным текстом, без применения криптографических систем, защищающих содержимое каждого сообщения.
Daxin: незаметный бэкдор, разработанный для атак на защищенные сети
Проведённое Symantec Threat Hunter исследование выявило вредоносное ПО невиданной ранее технической сложности. Оно позволяет злоумышленнику выполнять различные операции и собирать данные на заражённом компьютере. Бэкдор имеет высокую степень скрытности и позволяет злоумышленникам общаться с зараженными компьютерами в высокозащищенных сетях, где прямое подключение к Интернету недоступно.
ИТ безопасность. Человеческий фактор
Взгляд на ИТ безопасность с другой стороны экрана...
Топ 10 самых интересных CVE за февраль 2022 года
ДИСКЛЕЙМЕР!
Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненной вред с использованием изложенной информации.
Заканчивается второй месяц 2022 года, пора подвести итоги самых интересных уязвимостей за прошедший период.
Security Week 2209: криптография в смартфонах
Компания Samsung на данный момент идентифицировала и закрыла две связанные между собой уязвимости. Первая — CVE-2021-25444 в том самом приложении Keymaster. С помощью повторного использования вектора инициализации у потенциального атакующего имелась возможность «сломать» механизм авторизации, расшифровав секретные ключи. Вторая уязвимость (CVE-2021-25490) позволяет провести аналогичную атаку на более современные смартфоны Samsung, в которых используется слегка модифицированный механизм доставки зашифрованных ключей. Была показана и практическая атака: кража приватных ключей для авторизации на веб-сайтах с использованием протокола FIDO2.
Как настроить резервированную схему сети с двумя файерволами FortiGate
В этом тексте расскажем, как настроить резервированную схему сети с использованием двух файерволов (FortiGate) в разных локациях. Статья будет полезна всем, кто хочет построить отказоустойчивую инфраструктуру на уровне сети.
Подробно описанные шаги — под катом.
Европейские альтернативы американским интернет-сервисам
Зашифрованное хранилище файлов CryptDrive.cz (Чехия)
Судя по последним событиям, Евросоюз начал по-взрослому давить на Google, Facebook и другие американские компании, которые собирают персональные данные европейских граждан и отправляют в США.
Например, в начале 2022 года популярный инструмент Google Analytics уже запретили к использованию в трёх странах Евросоюза. Чего нам ожидать дальше? Простая экстраполяция:
- Во-первых, остальные страны ЕС запретят Google Analytics.
- Во-вторых, они запретят другие американские сервисы.
- В-третьих, действия ЕС скопируют некоторые государства «догоняющего развития» вроде РФ. Хотя необязательно эти государства думают о правах граждан. Просто считают их (граждан) своей собственностью по праву владения.
Российская виртуализация на российском железе: обзор платформы АЭРОДИСК MACHINE-V
Здравствуйте, Хабровчане! В этой статье мы проведем обзор новой линейки программно-аппаратных комплексов АЭРОДИСК Machine-V с предустановленной российской системой виртуализации АИСТ и гиперконвергентой системой vAIR.
Идею создания готовых программно-аппаратных комплексов (ПАК-ов) с предустановленным гипервизором мы получили от наших заказчиков. Потребности, которые решает ПАК АЭРОДИСК Machine-V, можно в общем виде разделить на две категории. Первая – упрощение и в результате повышение качества технической поддержки (поддержка серверов и ПО виртуализации от одного производителя), второе – упрощение закупочных процедур. В этой статье мы разберем эти два аспекта, также углубимся в техническую реализацию, рассмотрим защищенное исполнение таких решений для ГИС, ИСПДн и КИИ, ну и, конечно, не обойдем вниманием российские процессоры Эльбрус и Байкал.
Кроме того, мы детально разберем все аспекты платформы АЭРОДИСК Machine-V на очередном вебинаре «ОколоИТ» 9 марта 2022 года.
Ссылка не регистрацию: https://events.webinar.ru/42526535/10570681
Вклад авторов
-
alizar 21085.3 -
marks 9200.7 -
ptsecurity 8523.2 -
LukaSafonov 6044.6 -
ValdikSS 5478.6 -
GlobalSign_admin 4331.9 -
Kaspersky_Lab 3889.0 -
esetnod32 3275.0 -
zhovner 2947.0 -
Jeditobe 2709.8