Ни для кого не секрет, что для российской электроники наступили очень непростые времена. И хотя власти обещают, что теперь эта отрасль в приоритете и получить колоссальное финансирование, пока ситуация развивается по самому негативному сценарию. Что бы исправить ситуацию необходимо сначала понять и проанализировать какие ошибки были допущены ранее, но тогда статья превратится в поток хейта. Кроме того публично критиковать своих подчинённых мне запрещает устав, критика конкурентов слишком дорого стоит для открытой публикации, ну а критиковать органы власти можно только если планируешь или готов занять их место. Поэтому вместо недостатков поговорим о удачных практиках...
Информационная безопасность *
Защита данных
Топ самых интересных CVE за сентябрь 2022 года
ДИСКЛЕЙМЕР!
Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации.
Сентябрь 2022 года подошел к концу, а это значит, что пора вернуться к нашей традиционной рубрике – Топ самых интересных CVE за прошедший месяц!
Разработка флешки с функцией самоуничтожения
Ведь всем нам известно, что лучший способ сохранить данные в безопасности – это их уничтожить, не так ли?
Что ж, для большинства из нас более актуальным ответом стало бы шифрование. Но задумайтесь о случаях, в которых устройство может попасть в руки тех, кого шифрование не остановит…
Мой замысел – создать USB-накопитель, который косметически и функционально будет полностью идентичен типичной флешке, за одним отличием – при подключении стандартным образом он не будет показывать никаких данных.
А что разумный человек точно не станет делать, прежде чем подключать обычную флешку? Лизать пальцы!
Всё верно. Носитель будет оснащён скрытыми электродами, измеряющими сопротивление вставляющего его в устройство пальца. В обычном состоянии сопротивление пальца равно 1.5МОм, а вот во влажном около 500кОм. При загрузке такая флешка будет отображаться пустой, если сопротивление между парой электродов окажется выше заданного порога. Это не самое изящное решение, но, на мой взгляд, оно удачно балансирует между смехотворностью и функциональностью. Что же касается людей с гермофобией, то они могут смачивать палец под краном.
Самые известные и странные олдовые компьютерные вирусы (часть 3)
В первой и второй частях мы рассказали о ранних компьютерных вирусах 80-х, «эпохи классического киберпанка». К рубежу 90-х годов вирусы были у всех на слуху. Их боялись, о них писали панические статьи в прессе и рассказывали в сюжетах крупнейших телеканалов.
С конца 1990 года после выхода Norton Antivirus формируется всё более массовый рынок антивирусных программ, которые призваны устранить растущую угрозу мировой цифровизации.
Естественно, авторы вирусов ответили на это созданием ещё более хитрых и совершенных вредоносных программ.
Истории
«В начале проекта стоит смириться с тем, что в одиночку его не сделать». Интервью с основателем SelfPrivacy
Привет!
Мы решили сделать серию интервью с проектами, которые проходили или проходят акселерацию в Privacy Accelerator. Это, чтобы, как говорится, и себя показать (то есть проекты, а они у нас достойные!), и людей посмотреть - ведь на Хабре самая классная техническая аудитория, которая разбирается в нашей теме.
Сейчас в Privacy Accelerator стартует пятый набор, но мы по-прежнему на связи со всеми выпускниками прошлых лет. Некоторые из первых резидентов Privacy Accelerator опять с нами, но уже в новом формате - инкубатора. Сегодня поговорим с участником самого первого набора, осень 2020 года.
Знакомьтесь - Кирилл, основатель и CEO проекта SelfPrivacy. Два года назад его команда была отобрана в акселератор и активно в нем поработала: проверила гипотезу, провела серию пользовательских интервью, опрос, выявила ключевые боли, сделала MVP и разработала дизайн. А еще презентовала свой проект на питчинге перед экспертами и зрителями Privacy Day 2021 в Москве. Затем продолжила работу в инкубаторе. Как проект попал в Privacy Accelerator? Как проходила работа и что было особенно ценно? Чем сейчас занимается команда и какие у нее планы?
Просто о сложном: Confidential Cloud Computing
Сегодня мы попробуем разложить по полочкам концепцию Сегодня мы попробуем разложить по полочкам концепцию Confidential Cloud Computing и содержательно поговорить о конфиденциальных вычислениях в Web 3.
Термин «облако» несколько раз пересматривался в истории Интернета. Для первопроходцев на заре Интернета идея заключалась в создании распределенной системы взаимосвязанных мейнфреймов, которая сама стала бы облаком. В более позднем видении облако будет означать возможность пользователей получать доступ к своим ресурсам (в основном данным) с любого устройства, которое к нему подключено.
Облако начало приобретать современные очертания только в начале 2000 года. Что произошло? До этого Интернет был в основном в руках нескольких энтузиастов. Затем произошла удивительная вещь: сотрудники Amazon (в то время интернет-магазина) не были удовлетворены скоростью, с которой они могли разрабатывать новые продукты и услуги. Проще говоря, они внедрили новый процесс для своих команд разработчиков и построили инфраструктуру с двумя ключевыми функциями:
• позволить инженерам создавать новые сервисы быстрее и не затрачивать слишком много ресурсов на обслуживание;
• обеспечить масштабирование и рост успешных услуг (тех, которые удовлетворяют спрос клиентов).
Управление учетными записями в Linux. Часть 2. Не/правильная настройка доступа
В предыдущей статье мы рассмотрели вопросы хранения учетных данных в ОС семейства Линукс. Теперь перейдем к обсуждению вопросов правильной и не очень настройки прав доступа к различным объектам операционной системы.
Напомню основные моменты относительно учетных записей в Линукс: есть суперпользователь root (id=0), который может все и есть все остальные учетные записи (id от 500 или 1000), которые имеют ряд ограничений и по идее не могут нанести большого вреда системе.
Но на практике возможны различные ситуации, когда обычному пользователю необходимы административные права. Например, обычный пользователь не может прочитать файл с хэшами паролей /etc/shadow, но он может изменить свой собственный пароль с помощью команды passwd. Очевидно, что для внесения изменений в защищенный файл команда должна выполняться с правами суперпользователя. И таких примеров может быть довольно много.
В этой статье мы поговорим о том, как устроены различные механизмы управления доступом, а в следующей подробно рассмотрим то, как потенциальный злоумышленник может использовать ошибки, допущенные при настройке доступа.
ТОП-3 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-3 — новые способы применения ВПО Prilex, исследование кибератак на основе вредоносных DLL и взлом серверов Microsoft SQL с помощью ВПО FARGO.
Новости собирал Ильяс Садыков, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.
Фаззинг JS-движков с помощью Fuzzilli
fuzzilli
– это фаззер для javascript-движков от команды googleprojectzero
. Его отличительная черта – это FuzzIL
, промежуточный язык, который можно мутировать и затем транслировать в js
. Этот язык обеспечивает мутированному js
семантическую валидность: даже после нескольких раундов изменений в коде остается логика, с которой движок будет работать.
Движки, которые можно фаззить
В этом списке V8
, Spidermonkey
, XS
и duktape
уже поддерживают работу с fuzzilli
. А остальные движки можно пропатчить и начать фаззинг, патчи включены в состав инструмента.
С помощью fuzzilli
уже найдено много интересных багов типа OOB
. Разберемся, как он устроен.
Новый вирус Erbium, который крадет деньги с вашей банковской карты и криптовалюту, быстро распространяется по интернету
В интернете появилось опасное вредоносное ПО под названием Erbium. Это инструмент для кражи личных данных, который нацелен на ваши пароли, данные банковских карт, куки, криптовалютные кошельки и, возможно, многое другое. Из-за быстрого распространения и широкой доступности в будущем он может быть адаптирован для заражения компьютеров новыми способами и похищения других данных.
Эффективное повышение осведомленности работников в вопросах ИБ
Повышение осведомлённости пользователей в вопросах информационной безопасности - обязательная в настоящее время активность в компаниях, стремящихся уменьшить вероятность компрометации информационных систем.
В данной статье попробуем разобраться как должен выглядеть курс по повышению осведомлённости работников.
(не) Безопасный дайджест: атака «от скуки», любовь к штрафам и этичный взлом
Собрали подборку ИБ-инцидентов, о которых стало известно в сентябре. Сегодня в программе: искренние извинения за утечку, доверчивые сотрудники, взлом забавы ради и банковский холдинг Morgan Stanley, которому, кажется, нравится платить штрафы за потеряю данных своих клиентов.
CyberCamp 2022: от идеи до первого крупного кибертренинга
В сентябре мы организовали в онлайне кибертренинг в рамках CyberCamp 2022. В нем приняли участие 40 команд со всей России, а с нашей стороны более 40 человек придумывали задания, тестили платформу, мониторили инфраструктуру, курировали команды. О полученном опыте, эмоциях и набитых шишках рассказываем в этом посте.
Как начать заниматься багхантингом веб-приложений
Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест, и редтиминг, и bug bounty. Дыры в программном обеспечении могут обернуться убытками для компаний и компрометацией персональных данных (а иногда и финансовыми потерями) для пользователей. В этой и следующих статьях мы подробно пройдемся по теме bug bounty и расскажем о том, как прокачаться в багхантинге веб- и мобильных приложений.
Первая статья будет особенно интересна самым маленьким начинающим багхантерам. Но и те, кто уже зарабатывал на этом, смогут найти для себя что-то новое.
Категоризация веб-ресурсов при помощи… трансформеров?
Привет! Меня зовут Анвар, я аналитик данных RnD-лаборатории. Перед нашей исследовательской группой стоял вопрос проработки внедрения ИИ в сервис фильтрации веб-контента SWG-решения Solar webProxy. В этом посте я расскажу, зачем вообще нужен анализ веб-контента, почему из многообразия NLP-моделей для автоматизации решения этой задачи мы выбрали модель-трансформер. Кратко объясню, как с помощью математики взвесить смысловые отношения между словами. И, конечно, опишу, как мы приземлили веб-фильтрацию в продукт.
Централизация как фактор сдерживания развития безопасных коммуникаций
Плавное течение конкуренции и объединения атакующих и защищающих остановилось как только появился синтез средств массовой информации и компьютерных технологий. Атакующим более нет надобности в прямых взломах, как того требовалось ранее.
МАСШТАБная интеграция или как мы подружили ECP VeiL с Кибер Бэкап
Привет Хабр! Сегодня мы рассмотрим кейс интеграции системы резервного копирования Кибер Бэкап с платформой виртуализации ECP VeiL от НИИ “Масштаб”. Скажу сразу, что это был непростой путь, и нам пришлось приложить немало усилий с обеих сторон, чтобы продукты действительно начали взаимодействовать друг с другом так, как надо. Но, как говорят психологи, “над отношениями надо работать”. Что же, мы работали и продолжаем работать. А под катом — небольшой рассказ том, как развивались взаимоотношения Кибер Бэкап и ECP VeiL.
Послание в чаше Петри: кодирование сообщений с помощью бактериальных паттернов
В былые времена люди без иронии и преувеличения называли самым ценным ресурсом информацию. И чем ценнее информация, тем лучше она должна быть сокрыта от любопытных глаз и ушей. Этот тезис как никогда актуален в наши дни. Сопряжение реального и цифрового миров привело к тому, что множество данных, некогда хранящихся на физических носителях, преобразовались в цифровой вид. А чем сложнее форма, в которой пребывает информация, тем сложнее ее защитить от потенциального злоумышленника. Ввиду этого разнообразие новых методов шифрования данных не прекращает расти. И вот ученые из Дьюкского университета (США) разработали новый метод кодирования и декодирования информации, который использует искусственный интеллект и бактерии. Как бактерии помогают шифровать данные, какова задача ИИ в этом процессе, и насколько такое шифрование эффективно? Ответы на эти вопросы мы найдем в докладе ученых.
5 способов, как взять домен с помощью PetitPotam
В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.
В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.
Подробнее — под катом.
Защитить IoT-устройства — что предлагают регуляторы
Число ботнетов на базе умных гаджетов постоянно растет. На ситуацию начали обращать внимание регуляторы. Мы решили обсудить обстановку в разных странах и можно ли наконец поставить букву S (stands for security) в аббревиатуру IoT.
Вклад авторов
-
alizar 21361.3 -
marks 9200.7 -
ptsecurity 8704.8 -
LukaSafonov 6170.8 -
ValdikSS 5478.6 -
GlobalSign_admin 5133.9 -
Kaspersky_Lab 4467.9 -
esetnod32 3275.0 -
zhovner 2947.0 -
Jeditobe 2709.8