![](https://webcf.waybackmachine.org/web/20240304144308im_/https://habrastorage.org/webt/iw/v1/j-/iwv1j-nivzgtt6zidnp0oevqxla.jpeg)
Очевидно, что это некий сенсорный экран, но не было никаких указаний на то, чем он управляет. Арендодатель понятия не имел, что это. На устройстве не было ни кнопок, ни надписей, лишь крошечный жёлтый огонёк, дающий понять, что у него есть питание.
Защита данных
Решил собрать в одну кучку все известные мне способы попадать на свой(или чужой) сервер, который находится за NAT.
Проблема контроля конфиденциальных данных актуальна практически для всех предприятий. Корпоративные данные существуют в большом количестве различных форм и размеров. Но, как правило, обычно их делят на структурированные (формат баз данных) и неструктурированные (текстовые файлы, видео, изображения и т.д.).
Согласно исследованиям Gartner, 80% корпоративных данных являются неструктурированными. Из них 60% не приносят никакой пользы (копии, неиспользуемые файлы и т.д.), при этом ежегодный прирост таких данных составляет порядка 30-40%.
Предположим, что вы захотели получить информацию с сайта расположенного на домене onion. В общем-то, ничего особенного в этом нет. Даже, в какой-то мере проще, чем в клирнете. Все потому, что здесь используется очень мало скриптов. А следовательно, к особым ухищрениям для парсинга страниц можно не прибегать без необходимости. Вот только туда еще нужно попасть. И с помощью простого requests сделать этого не получиться. Немного покопавшись в Интернете я нашел решение, которое пока работает.
Цель статьи - показать вариант построения защищенной Iot-инфраструктуры для сети устройств на базе ESP32 и обменяться опытом.
Общую идею и весь проект разделил на темы:
• развертывание mosquitto SSL/TLS из docker-контейнера
• создание сертификатов для брокера Mosquitto SSL и клиентов ESP32
• архитектура хранилища сертификата для ESP32 и практические способы защиты
• подготовка защищенной прошивки устройства с применение встроенных средств безопасности и шифрования ESP32.
Бумажная безопасность и попытка подружить ГОСТ 15 408, ОУД, безопасную разработку и вот все эти страшные вещи с разработкой приложений и систем для АСУ ТП.
Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен.
В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в связке.
Всем привет! Для того, чтобы усилить безопасность серверов Linux привожу ниже советы, основой которых является публикация 40 Linux Server Hardening Security Tips [2023 edition] Вивека Гите. В приведенных инструкциях предполагается использование дистрибутив Linux на базе Ubuntu/Debian. Часть материала от автора я опускаю, так как публикация ориентированна на безопасность хостов Linux в инфраструктуре.
!!! Приведенные ниже рекомендации необходимо тестировать на совместимость с используемыми сервисами. Веред внедрением рекомендую провести тестирование на каждом отдельном типе сервера/приложения. !!!
В этой статье мы поговорим о Биткоин утилитах которые многочисленны и разнообразны. Его децентрализованный характер и отсутствие посредников делают его мощным инструментом для самых разных случаев использования. Поскольку технология продолжает развиваться и развиваться, мы можем ожидать увидеть еще более инновационные применения Биткоина в будущем.
Биткоин — первая в мире децентрализованная цифровая валюта, которая произвела революцию в нашем представлении о деньгах. Одним из наиболее интересных аспектов Биткоина является широкий спектр утилит, разработанных для его поддержки. Эти утилиты призваны помочь пользователям безопасно и надежно взаимодействовать с сетью Биткоин и играют решающую роль в экосистеме.
Одной из самых популярных биткоин-утилит является биткоин-кошелек. Кошелек — это программное приложение, которое позволяет пользователям хранить, отправлять и получать биткоины. Доступно множество различных типов кошельков, включая настольные, мобильные и аппаратные кошельки. Каждый тип кошелька имеет свои преимущества и недостатки, поэтому важно выбрать тот, который лучше всего соответствует вашим потребностям.
Еще одна важная утилита Биткоин — это обмен биткоинов. Биржа — это платформа, которая позволяет пользователям покупать и продавать биткоины за другие валюты, такие как доллары США или евро. Доступно множество различных бирж, каждая со своим набором комиссий, функциями безопасности и пользовательскими интерфейсами. Важно выбрать биржу с хорошей репутацией, имеющую хорошую репутацию в области безопасности и надежности.
Снова рад приветствовать всех подписчиков и читателей! Сегодня хочу представить вашему вниманию несколько инструментов OSINT подходящих для сканирования сети и сбора информации об организациях. В этой статье подробно разберём установку, настройку и использование каждого инструмента, так же разберём случаи для чего эти инструменты нам могут пригодиться.
Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.
Удаленная работа все чаще считается обычной практикой и становится неотъемлемой частью современного рынка труда. Однако успех такого формата работы в долгосрочной перспективе зависит от наличия инструментов, необходимых для того, чтобы работать дистанционно.
Мир заставляет подстраиваться под реалии пандемии и вынужденного перехода с офисной деятельности на удаленную. Но удаленная работа требует надежного и безопасного решения, которое обеспечит сохранность передаваемой информации, а также комфортную рабочую среду пользователя. Особенно остро этот вопрос касается отечественных операционных систем и их взаимодействия с другими ОС.
WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.
А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности.
Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтового сервера Microsoft Exchange. Скорее всего, вы слышали, как минимум о нескольких громких уязвимостях OWA. С 2020 года существует подробный ресерч от коллег из PT SWARM на тему безопасности MS Exchange WEB-интерфейсов, а новые атаки появляются с завидной частотой. В одном из подкастов я слышал, что в OWA имеется огромный архитектурный баг, который является драйвером целого семейства подобных уязвимостей.
Атак достаточно, но есть еще и очень приятная “фича” в OWA – перечисление существующих пользователей в зависимости от времени ответов сервера. После формирования списка однозначно существующих учетных записей можно провести атаку типа Password Spray (англ. Распыление паролей) и с небольшим шансом подобрать пароль типа «P@ssw0rd!» среды пары сотен пользователей.
Многим пентестерам это известно, но мне удалось найти ультимативный способ проведения этой атаки за счет избыточности русских фамилий (sic!). Сперва рассмотрим проблематику.
Я часто нахожусь в командировках и путешествиях, внимательно отношусь к безопасности своего macbook. Недавно, вернувшись в отель, я обнаружил признаки того, что кто-то что-то делал с моим ноутбуком в мое отсутствие.
В этой статье мы рассмотрим способы, позволяющие узнать о попытке физического доступа к вашему макбуку, соберем данные о вторжении и отправим их себе в Telegram.
Всем привет. Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress, активный эксплойт которой шёл в феврале. Несколькими критическими уязвимостями смогли похвастаться продукты от Microsoft, включая RCE в Outlook и повышение привилегий на Exchange Server. А CMS Joomla выбила сразу пять XSS-уязвимостей за месяц. Об этом и других интересных CVE февраля читайте под катом!
Привет! Меня зовут Максим Коровенков, я DevSecOps Lead в СберМаркете.
Хочу рассказать о том, как мы строим developer-центричный DevSecOps. Мы набили по ходу этого «строительства» уже достаточное количество шишек, поэтому, дабы поберечь вас, делюсь обретенным опытом.
Статья будет полезна тем, кто только начинает строить DevSecOps-процессы в компании, а также тем, кто уже начал, но столкнулся с проблемами роста (рост числа микросервисов, команд разработки, экспоненциальный рост нагрузки, нехватка кадров и т.д.). Поехали!
С сегодняшнего дня, 1 марта, Роскомнадзор может вносить в реестр запрещённых ресурсов страницы с информацией о способах, методах обеспечения доступа к ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ — проще говоря, банить сайты за информацию о VPN, Tor и прочих прокси: как их настраивать или какими сервисами пользоваться.
Хакеры в кино — сверхлюди, которые по щелчку мыши могут взломать автомобиль, запустить «киберракету» и вычислить юрлицо через командную строку. Сцены взлома сопровождаются звуковыми и визуальными эффектами, которые вызывают если не смех, то ироническую улыбку у всех, кто в теме.
Меня зовут Артемий Богданов, я Chief Hacking Officer в Start X. Находил слабые места в приложениях Uber, Yahoo и ВКонтакте, участвовал в CTF и регулярно провожу пентесты. За годы работы убедился, что реальные кибератаки выглядят совсем не так красочно, как в кино. Никаких сирен и экранов с мигалками.
Этой статьей я бы хотел развеять миф о всесильности хакеров и объяснить, как этот миф мешает внедрению культуры кибербезопасности в компаниях.
Под катом — четыре сцены взлома из фильмов с подробным разбором их правдоподобности. В заключении порассуждаем, почему легенда о всемогущих хакерах мешает сотрудникам защищать свои данные в сети и как помогает организаторам кибератак.
Ваш аккаунт