Информационная безопасность *

В связи с развитием информационных технологий и интернета, появились новые способы публикации, обмена и потребления новостей и информации. Из-за огромного потока информации в медиа сфере стандарты контроля и редакционные нормы значительно снизились. В интернет-пространстве стало появляться всё больше недостоверной информации.

Fake news — это новости, которые не соответствуют действительности, придуманные для отвлечения внимания аудитории.

Актуальность данной тематики обусловлена огромным количеством недостоверной информации, распространяющейся в интернете на сегодняшний день. Например, статистика, представленная на рисунке 1 [1], демонстрирует распространение фейковых новостей о коронавирусе лишь за четыре дня.

Это - отдельное руководство, описывающее ещё один способ получить личный
прокси-сервер shadowsocks бесплатно и служащее продолжением к моей предыдущей статье. В этот раз мы воспользуемся сервисом Replit.

В этот раз всё будет намного проще: регистрация, импорт, запуск. Три шага.

Многие компании отрасли столкнулись с мобилизацией. Призывают как рядовых сотрудников, так начальников. Очевидно, что это очередное испытание для российского бизнеса, поэтому все пытаются решить эту проблему. Легкие и быстрые в срочном порядке пересекли государственную границу. Но для многих приходится решать эту проблему на месте и отраслевые министерства пытаются помочь в этом. В частности сейчас наибольшую активность проявляют Минпромторг и Минцифры. Но при этом есть и подводные камни, которые пока еще не видны большинству участников.

С 1 марта 2023 г. законодательство ограничивает использование информационных систем (ИС) для идентификации и/или аутентификации с использованием биометрии. Как говорил Сенека: «Закон должен быть краток, чтобы его легко могли запомнить и люди несведущие». В этой статье буду придерживаться этого правила, и кратко расскажу, кому и на каких условиях разрешат использовать такие системы.

Сегодня в ТОП-3 — меры защиты от эксплуатации уязвимости ProxyNotShell, кража данных у подрядчика министерства обороны США и новая техника для обхода средств защиты на конечных узлах.

Новости собирал Павел Козяев, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сбор телеметрических данных о пользователях и их действиях в вебе и приложениях — плата за пользование «бесплатными» сервисами в Интернете. Пользователи расплачиваются своим вниманием и временем, проведёнными в данных сервисах и приложениях. Поэтому производители мобильных платформ, ИТ-компании, социальные сети заинтересованы в получении максимального объёма данных с устройств.

Если по отдельности данные телеметрии не представляют угрозы конкретному человеку, то их совокупность может дать очень много информации о человеке, его интересах, семье, работе. В то же время постоянная связь устройств с инфраструктурой ИТ-гигантов создаёт потенциальную угрозу утечек конфиденциальной информации или изучения окружения при помощи микрофонов и камер смартфонов.

В данной статье рассматривается вопрос о том, какую конкретно информацию смартфон передает на серверы вендоров.

Привет, Хабр! Меня зовут Дима, я занимаюсь тестированием безопасности операционной системы Astra Linux в группе компаний «Астра». В статье я расскажу о фаззинг-тестировании, которое помогает обнаружить слабые места программ методом подачи на их входные интерфейсы различных наборов данных, при обработке которых ПО может начать вести себя нештатно или выйти из строя.

Привет, хабр! Мы с очередным постом из серии «интересное на иностранном языке» – история про экс-начальника службы безопасности Uber Джозефа Салливана, которого обвиняют в сокрытии кибератаки. Теперь ему грозит до восьми лет тюрьмы и шестизначный штраф. Примечательно, что к истории Джозефа, а точнее к судебному процессу, сейчас приковано внимание чуть ли не всего сообщества ИБ-руководителей США. Действительно, дело Джо можно назвать своего рода «киберпрецедентом» для инфобеза, ведь это первый случай, когда начальника службы безопасности компании обвиняют в «сокрытии преступления и воспрепятствовании правосудию». Но обо всем по порядку.

Как из «рок-звезды» мира информационной безопасности сделали «козла отпущения» и почему история заставила ИБ-специалистов задуматься, а надо ли стремиться к высоким должностям? Об этом в статье The New York Times, перевод которой читайте ниже.

А вот что: брать деньги.

В двух предыдущих статьях мы рассмотрели различные аспекты правления учетными записями и настройки доступа к файлам. Однако, при настройке доступа всегда можно ошибиться, задав неверные значения. Если администратор выдал недостаточные права, то такая ошибка будет найдена довольно быстро, так как, тот кому этих прав не хватит очень скоро пожалуется админу. Но что делать, если прав в итоге оказалось больше, чем нужно? Многие, конечно, могут сказать, что это вообще не проблема, мол больше не меньше, но на самом деле это ошибочная логика. Как мы увидим в сегодняшней статье, даже безобидные на первый взгляд разрешения могут привести к получению прав root в системе.

Продолжаем копать дальше и разбираться что же происходит интересного в мире web 3.0: стоит ли овчинка выделки, чтобы туда вообще погружаться. Сегодня мы попытаемся разобраться, что такое децентрализованное облако и причем там blockchain. Но начнем как всегда сначала с классического облака и рассмотрим историю его трансформации в децентрализованное.

Также в статье мы немного покритикуем AWS, Google Cloud и Azure. Как же без этого. Поговорим о применении контейниризации в децентрализованных облаках. Ведь одназначно мы выступает не за количество, а за качество, то есть стремимся к повышению эффективности использования оборудования. Затронем тему токенов и для чего они нужны проектам из web 3.0

На хабре были попытки обсуждения темы цифровых наличных (Digital Currency) и в частности фиатных цифровых наличных (Central Bank Digital Currency, CBDC). Однако, с моей точки зрения, не было ни одного удовлетворительного ни технического, ни социального описания "на пальцах" что это такое и зачем (а главное КОМУ) это нужно.

Если зайти на сайт https://cbdctracker.org/ то можно увидеть, что тема более чем хайповая с точки зрения многих государств... Так как инфобез понятие комплексное, думаю тема цифровых наличных обязательна к изучению для грамотных спецов хотя бы "на пальцах".

В данном посте разберём что такое цифровые наличные, чем они отличаются от криптовалют (спойлер: почти всем) и приведём пример алгоритма цифровых наличных.

Кто не любит "социально-экономическое бла-бла-бла" (а зря!) — идите к главе "Пример протокола", там описание алгоритма цифровых наличных "на пальцах".

Доступ к данным, хранящимся в документах нового поколения — вопрос актуальный. Для его решения применяются CV-сертификаты, не соответствующие стандарту X.509, но сохраняющие идею иерархичности открытых ключей и адаптированные к технологии смарт-карт. Они вполне заслуженно получили широкое распространение. Познакомится с ними можно в этой статье.

Всем привет! Подоспел наш традиционный дайджест самых горячих новостей информационной безопасности за ушедший месяц. Осень началась с заметных происшествий на геополитической арене, так что у нас сегодня немало инфобез-интриг на государственном уровне: иранцы взламывают Албанию, Черногории мерещатся вездесущие русские хакеры, португальцы упускают важные происшествия в перерыве на послеобеденный сон… Помимо этого, расскажем о громких взломах, затронувших Uber и Rockstar, и о падении зубров от мира киберпреступного рынка. За подробностями добро пожаловать под кат!

На днях один мой знакомый получил звонок от работника ФНС с целью уточнить некоторые данные по декларации 3-НДФЛ на возврат бюджетных денег за лечение. Удивлению не было предела: мало того, что декларацию эту он не подавал (!) так и возврат уже был проверен и одобрен (!!), возврат средств предполагался на неведомый счёт в МТС-банке на его имя (!!!), нужно было лишь уточнить сущие пустяки. Небольшая, но поучительная история.

Привет, Хабр! На связи Михаил Семенов, лидер дивизиона баз данных в СберТехе, Артем Лаптев, руководитель эксплуатации продукта Platform V Pangolin в SberInfra, и Вячеслав Гавришин, руководитель команды развития Platform V Pangolin в SberInfra. 

В этом посте мы поделимся историей импортозамещения систем управления базами данных в Сбере и опытом миграции с MSSQL и Oracle на собственную СУБД Platform V Pangolin. Расскажем, как разрабатываем и кастомизируем отечественную СУБД уровня enterprise и какие решения помогли нам упростить процесс миграции и использовать продукт в микросервисной архитектуре банка.

Исследования любого приложения достаточно рутинный и длительный процесс. Без использования инструментов и автоматизации разобрать даже самые простые алгоритмы написанные на некоторых языках программирования практически невозможно. (Go рантайм без символов). Справиться с этой тяжелой задачей и предоставить набор инструментов могут следующие приложения:

<sup>- Hopper
- IDA Pro
- Ghidra
- radare2
- rizin</sup>

Список включает только те, которые постоянно на слуху и известны во всём мире. Попробуем разобраться в нашей статье с тем как эти приложения могут разбирать ассемблерные листинги и строить псевдокод. Можно ли найти проект, который будет давать возможность просто создавать изменение ассемблерного листинга без написания сложных парсеров?

Интернет, каким мы его знаем, прошёл три стадии развития.

Первая эпоха интернета: первобытный бульон, в котором зарождались сервисы и идеи, отбирались люди и формировались команды. Интернет на этой стадии был ещё далеко немассовым. Эта стадия приходится примерно на 1995-2005.

Вторая эпоха интернета: захват масс. Примерно 2006-2015. Продукты, прошедшие первичный отбор, начали втягивать в интернет рядовых и корпоративных пользователей, предложив настолько крутые решения актуальных проблем, что интернет превратился в предложение, от которого нельзя отказаться. Это был пик интернета как либертарианского идеала: люди пользовались ему благодаря тому, какую ценность он создавал, а не по принуждению. Стартапы, возникшие в первую эпоху, превращаются в корпорации.

Третья эпоха интернета (2016–…): закрепощение масс. Корпорации выросли до пределов доступного им рынка: всё более-менее экономически активное население большинства развитых стран оказалось охваченным, пространства для экстенсивного роста не осталось, и теперь экономическая конкуренция превратилась из бесконечной экспансии и поисков новых идей, рынков, миров, в борьбу за передел и контроль над оформившимся во Вторую эпоху интернета рынков.

А ещё третья эпоха интернета совпала с приходом в интернет государства.

Hello, world!

В начале августа 2022 года мы представили облачный сервис Dr.Web FixIt! широкой публике. Он предназначен для дистанционного анализа вирусозависимых компьютерных инцидентов (ВКО) на платформе Windows и устранения их последствий. В основе FixIt! лежит обширная база знаний с информацией о различных типах заражений операционной системы, способах обнаружения признаков компрометации, а также набор алгоритмов выявления и лечения угроз. Сервис задумывался как отдельное многофункциональное средство борьбы с киберугрозами, которое дополняет существующие на рынке антивирусные инструменты. Однако это также и мощное диагностическое решение, помогающее оценивать состояние компьютеров и выявлять всевозможные неполадки системы и установленного в ней ПО.

Эксперты регулярно объявляют то одно, то другое файловое хранилище новой базой для хакерских атак. Это актуальная проблема, и по идее владельцы этих сервисов должны с ней бороться. Поэтому я решил провести небольшое исследование, завести аккаунты в известных облачных сервисах и проверить эффективность антивирусной защиты.