В настоящей публикации приводиться описание модификации протокола идентификации Шнорра, совместимого с режимом моментальной цифровой подписи.
Привет, Хабр! В начале апреля 2023 года на одном из хостов был обнаружен подозрительный файл mhddos_proxy_linux_arm64 (MD5: 9e39f69350ad6599420bbd66e2715fcb), загружаемый вместе с определенным Docker-контейнером. По открытым источникам стало понятно, что данный файл представляет из себя свободно распространяемый инструмент для осуществления распределённой атаки на отказ в обслуживании (DDoS), направленный против российской ИТ-инфраструктуры.
После запуска программа получает все необходимые настройки и автоматически
инициирует массированные сетевые подключения к целевым хостам на различных
уровнях TCP/IP для осуществления отказа в обслуживании.
Если вам интересны технические подробности анализа или список целей данного инструмента, то добро пожаловать под кат.
Привет, Хабр! В этой статье я хотел бы поделиться опытом нашей команды в части интеграции .NET Core и выше приложений с корпоративным хранилищем секретов HashiCorp Vault.
Наши приложения, как и большинство приложений в компании, используют в процессе работы различные секреты (пароли, токены и т.д.). Их, с точки зрения информационной безопасности, нельзя хранить в коде или на компьютере, на котором запущено приложение. Поэтому в компании используется специальное ПО – хранилище секретов HashiCorp Vault.
В чем суть проблемы, с которой мы столкнулись: решение, используемое ранее для получения секретов из HashiCorp Vault в приложение, было не очень удобным и очевидным
Борьба с кибератаками сегодня похожа на сражение с гидрой: отрубаешь одну голову, на ее месте вырастает две. Как писали «Ведомости», количество кибератак в феврале 2023 года по сравнению с февралем 2022 года увеличилось на 65%. Первыми под удар злоумышленников попадают веб-ресурсы – корпоративные порталы с ценными данными клиентов и сотрудников, сайты e-com.
Какие типы кибератак сегодня преобладают? Какие облачные инструменты защиты веб-ресурсов стоит подключать в первую очередь? Почему защита нужна не только бизнесу, но и его контрагентам? Обо всем этом менеджер по развитию бизнеса КРОК Облачные сервисы Александр Фикс и руководитель отдела системного администрирования «РДЛ-Телеком» Иван Мельников поговорили на нашем митапе. А также обсудили практический кейс компании «РДЛ-Телеком».
Ниже – выжимка с главными тезисами встречи. А посмотреть запись и прочитать полную расшифровку можно почитать здесь.
История развития приложений для Android прошла несколько заметных этапов. Были небольшие приложения, работающие локально, клиент-серверные приложения, экосистемы приложений и, наконец, суперапы (super-app). Каждый из этих этапов повышал планку сложности, порождал новые уязвимости и заставлял разработчиков все больше заботиться о безопасности как самих приложений, так и данных, которыми они оперируют. Развивалась и сама операционная система — она давала разработчикам больше возможностей и механизмов обеспечения безопасности.
Эта статья о том, как эволюционировали уязвимости мобильных приложений, что на это влияло, какие уязвимости актуальны сейчас и какие ждут нас в будущем.
Привет! Меня зовут Лиза Шеленговская, я разработчик в подразделении Yandex Cloud Security. Задача нашей команды — создавать сервисы безопасности в облаке, а также следить за безопасностью самого облака. Конечно, мы занимаемся и вопросами управления уязвимостями. Одна из самых частых угроз в облаке и в on-premise — утёкшие статические секреты. В этой статье я расскажу о проблеме утечек чувствительных данных в публичные репозитории кода и о сервисе Secret Scanner, который мы создали, чтобы обезопасить пользователей. С его помощью мы ищем секреты, оказавшиеся в открытом доступе.
В этой статье мы продолжим построение системы защиты персональных данных (далее СЗПДн). В предыдущих двух статьях мы достаточно подробно рассмотрели процесс установления уровня защищенности персональных данных, актуальных угроз, а также выяснили, какие именно меры защиты нам необходимо применять для тех или иных уровней защищенности и актуальных угроз.
Теперь самое время поговорить о практической стороне вопроса, а именно, непосредственно о тех решениях, которые мы можем использовать в своей системе защиты.
Когда пару лет мы решили заказать разбор нашего сайта, мы хотели получить обратную связь от обычного пользователя, не профессионала VPN. Чего мы не ожидали — что получим мнение человека, дезинформированного маркетингом VPN-провайдеров. VPN-провайдеры и маркетологи, заполонившие интернет псевдорейтингами VPN, существующими только ради партнёрских ссылок, убеждают пользователей в том, что VPN — волшебная палочка интернет-безопасности, одним махом обещающая полную анонимность, защиту переписок, аккаунтов и кредитных карт, неуязвимость для хакерских атак, а ещё экономию на авиабилетах и аренде машин и покупках в интернет-магазинах.
В этой статье мы сделали гид по маркетинговым мифам и заблуждениям о VPN, и порочным коммерческим практикам, сознательно культивируемых VPN-компаниями.
Все большую популярность в современном мире набирают домашние устройства Интернета вещей (Internet of Things, IoT). Они предоставляют своим пользователям удобство и возможность управления устройствами внутри дома из любого места через Интернет. Однако, такой скачок популярности IoT привел к возникновению правовых вопросов, связанных с конфиденциальностью данных потребителей и их защитой.
Вопрос защиты персональных данных пользователя является одним из основных аспектов, требующих регулирования российским законодательством в области IoT. Устройства Интернета вещей собирают и обрабатывают большие объемы таких данных, включая информацию о привычках, личной жизни, предпочтениях. Их неправомерное использование приводит к нарушению прав и свобод граждан.
В данной статье мне хотелось бы подробнее обсудить существующие проблемы правового обеспечения Интернета вещей в нашей стране, разобраться в том, какие нормативно-правовые акты и как могут быть применимы в этой сфере на сегодняшний день.
Конечно, угроза безопасности звучит очень пафосно, тем более для милого котика, смотрящего на вас с JPEG изображения, но среди его байт легко мог затеряться вредоносный скрипт. Давайте разберёмся, что к чему.
Привет, Хабр! Меня зовут Екатерина Веремиенко, я руководитель направления «Риски информационной безопасности» в Х5 Group. В этой статье хочу рассказать, как мы выстраиваем в компании риск-ориентированный подход по управлению информационной безопасностью. Эта информация точно пригодится каждому специалисту, кто каким-либо образом связан с этим направлением. Особенно это будет актуально тем сотрудникам компаний, у которых информационная безопасность не интегрирована в бизнес-процессы и воспринимается, как отдельная функция.
Сегодня я публикую интервью с форума «Цифровая устойчивость и промышленная безопасность России», который называют «Магнитка». Как я уже писал ранее, форум в этом году был посвящён промышленной кибербезопасности, поэтому я решил поговорить с экспертом, опыт которого находится практически на стыке промышленности и информационной безопасности (ИБ) — с руководителем практики промышленной кибербезопасности Positive Technologies Дмитрием Даренским. Разговор был недолгим, но текст получился объёмным и, на мой взгляд, интересным, надеюсь, скучно не будет.
Тестирование на проникновение — профессия серьезная, правила в ней основаны на горьком опыте, но вы все равно можете повеселиться, изучая их. Сегодня поделюсь советами, которые помогут стать хорошим пентестером и избежать неприятностей. А заодно расскажу несколько баек о том, в какие абсурдные ситуации можно попасть, нарушая эти правила. Так что устраивайтесь поудобнее, открывайте этот гайд, а по прочтении — делитесь своими историями в комментариях.
Приветствую всех технических энтузиастов и отдельно — участников соревнования Wireless Fuzzy Frenzy, которое было проведено в рамках ежегодного фестиваля практической кибербезопасности PHDays 12. Пришла пора раскрыть карты и разобрать детально, с чем пришлось бы столкнуться тебе, если бы ты был в ряду энтузиастов, которые в один момент решились принять участие в этом конкурсе и не отступили перед трудностями.
.dad, .phd, .prof, .esq, .foo, .zip, .mov и .nexus..zip и .mov. Эти домены, созвучные с расширениями файлов, могут использоваться для фишинга. Есть как минимум несколько способов составления фишинговых URL. Например, с использованием символа @.
Команда К2Тех занимается внедрением NAC-решений 17 лет, и имеет, как нам казалось, большой опыт в этом вопросе. Но даже с нашим опытом 2022-й год стал неожиданностью. Оказалось, что необходимо срочно и в неоптимальных условиях проводить импортозамещение NAC для десятков крупных компаний, которые на нас полагались.
Опыт незабываемый и очень ценный. Поэтому решили выпустить несколько статей про текущую ситуацию на рынке решений Network Access Control и как мы искали альтернативный NAC для клиентов — достойную замену ушедшим аналогам. Под катом расскажем как проводили испытания альтернатив, какие шишки набили и почему рекомендуем некоторые решения нашим заказчикам. Они не идеальные, но свои задачи выполняют.
Задумывались ли вы о переходе из кодинга фич в сторону инфраструктурной разработки? Любопытство к SRE практикам растет, поскольку устойчивость и надежность приложений стали главными факторами успеха на рынке. В этом материале мы собрали для вас успешные карьерные кейсы действующих SRE-инженеров.
Совсем скоро пройдет IT’s Tinkoff CTF для ИТ-специалистов. У нас уже готов сайт, где вы можете узнать подробности и зарегистрироваться, но это еще не все. Для тех, кто пока не знаком с таким форматом соревнований, мы подготовили эту статью. В ней мы расскажем, что такое CTF, и разберем тестовое задание. Если вы любите интересные задачи, приглашаем под кат.