Pull to refresh
20
0
Artem @Fi5t

Security researcher

Send message

Европейские альтернативы американским интернет-сервисам

Reading time8 min
Views16K

Зашифрованное хранилище файлов CryptDrive.cz (Чехия)

Судя по последним событиям, Евросоюз начал по-взрослому давить на Google, Facebook и другие американские компании, которые собирают персональные данные европейских граждан и отправляют в США.

Например, в начале 2022 года популярный инструмент Google Analytics уже запретили к использованию в трёх странах Евросоюза. Чего нам ожидать дальше? Простая экстраполяция:

  • Во-первых, остальные страны ЕС запретят Google Analytics.
  • Во-вторых, они запретят другие американские сервисы.
  • В-третьих, действия ЕС скопируют некоторые государства «догоняющего развития» вроде РФ. Хотя необязательно эти государства думают о правах граждан. Просто считают их (граждан) своей собственностью по праву владения.
Читать дальше →
Total votes 28: ↑26 and ↓2+35
Comments24

Веб-безопасность 201

Reading time12 min
Views9.6K

Сегодня — вторая часть теории, которую рассказал эксперт по информационной безопасности и преподаватель Иван Юшкевич (https://twitter.com/w34kp455) провел мастер-класс по безопасности на конференции РИТ++ на платформе hacktory.ai.

Практическую часть о том, как накрутить лайки в социальных сетях, украсть криптовалюту и получить доступ к самым большим секретам пользователей, вы можете посмотреть здесь и здесь. Первую часть можно посмотреть по этой ссылке

Сегодня рассказ будет о CSRF, XSS и XXE.

Читать далее
Total votes 10: ↑9 and ↓1+13
Comments3

Web tools, или с чего начать пентестеру?

Reading time11 min
Views49K
Продолжаем рассказывать о полезных инструментах для пентестера. В новой статье мы рассмотрим инструменты для анализа защищенности веб-приложений.

Наш коллега BeLove уже делал подобную подборку около семи лет назад. Интересно взглянуть, какие инструменты сохранили и укрепили свои позиции, а какие отошли на задний план и сейчас используются редко.

Читать дальше →
Total votes 46: ↑46 and ↓0+46
Comments8

Готовим iOS-устройство к пентесту

Reading time7 min
Views9K
image

К Digital Security часто обращаются за аудитом iOS-приложений, поэтому мы решили сделать цикл статей про наш подход в этой области. И в первой из них расскажем о выборе и подготовке устройства для проведения тестирования приложений.

Какие вопросы рассмотрим:

  1. Выбор устройства: эмулятор VS симулятор VS реальный девайс, на что обращать внимание при выборе;
  2. Jailbreak: зачем нужен, разновидности, как сделать Jailbreak-устройство;
  3. Арсенал пентестера: что мы устанавливаем, и зачем это нужно.
Читать дальше →
Total votes 28: ↑28 and ↓0+28
Comments0

SRP-6. Безопасная аутентификация по небезопасному каналу

Reading time5 min
Views8.5K

Как аутентифицировать пользователя без передачи пароля на сервер? Возможно ли проверить, что пользователь ввёл правильный пароль, не передавая пароль на сервер. Да, такое возможно, благодаря доказательству нулевого разглашения.

Узнать как →
Total votes 13: ↑13 and ↓0+13
Comments3

Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ

Reading time10 min
Views25K

Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать скилы, например, в пентесте или обнаружении зловредов, да еще и бесплатно?

Сдаем все явки и пароли: делимся полезными ссылками на курсы и лабы, книги и подкасты, Telegram- и YouTube-каналы, форумы и блоги, которые наши крутые эксперты читают сами и рекомендуют тем, кто хочет держать руку на пульсе кибербеза и постоянно повышать свою ценность как профессионала. А может, наши подборки пригодятся вам при подготовке к собеседованию и помогут получить более высокую должность — кто знает ?

Сегодня предлагаем погрузиться в тестирование на проникновение и проверку приложений на прочность, обнаружение и реверс вредоносных программ, киберразведку и расследование сложных инцидентов. Рассказываем, в какие методички заглядывают «белые шляпы», что помогает выйти на след APT-группировок и раскрутить цепочки хакерских атак, где первыми узнавать о новых подходах и техниках, используемых злоумышленниками. Добро пожаловать под кат!

Смотреть подборку
Total votes 12: ↑10 and ↓2+8
Comments1

Избранное: ссылки по reverse engineering

Reading time10 min
Views73K


Всем привет!


Сегодня мы хотели бы поделиться своим списком материалов по тематике reverse engineering (RE). Перечень этот очень обширный, ведь наш исследовательский отдел в первую очередь занимается задачами RE. На наш взгляд, подборка материалов по теме хороша для старта, при этом она может быть актуальной в течение продолжительного времени.


Данный список ссылок, ресурсов, книг мы уже лет пять рассылаем людям, которые хотели бы попасть в наш исследовательский отдел, но не проходят пока по уровню знаний или только начинают свой путь в сфере информационной безопасности. Естественно, этому перечню, как и большинству материалов/подборок, через некоторая время потребуется обновление и актуализация.


Забавный факт: нам показывали, как некоторые компании рассылают наш список материалов от себя, но только в очень старой редакции. И вот после этой публикации они, наконец, смогут использовать его обновленную версию с чистой совестью ;)


Итак, перейдем к списку материалов!

Читать дальше →
Total votes 37: ↑36 and ↓1+35
Comments15

#00 — И целого байта мало… | Приглашение на Revision Online 2020

Reading time3 min
Views2.4K
Дамы, господа, как бодрость духа?

От лица =RMDA= приглашаю вас на Revision Online 2020. Как вы отлично знаете, коронавирус лютует, отменены не только крупные мировые конференции, но даже крошечные мероприятия вокруг демосцены по всей Европе (Forever, Speccy.pl и многие другие). Ребята из команды Revision две недели боролись с муниципалитетом микроскопического городка в Германии, но не смогли отстоять право на проведение демопати. Они решили сделать мероприятие онлайн.

С 10 по 14 апреля, 72 часа непрерывного онлайн-потока по всем платформам и аспектам демосцены ждут вас! Все тут: 2020.revision-party.net

Мы активно участвуем в организации Revision Online 2020 и уже выпустили первую работу по теме: Revitro, 256 bytes intro, PC, x86

Total votes 10: ↑8 and ↓2+12
Comments6

CodeQL: SAST своими руками (и головой). Часть 1

Reading time12 min
Views10K

Привет, Хабр!

Как вы все уже знаете, в области безопасности приложений без статических анализаторов исходного кода (SAST) совсем никуда. SAST-сканеры занимаются тем, что проверяют код приложения на различные типы программных ошибок, которые могут скомпрометировать систему, предоставить злоумышленнику непредвиденные возможности для доступа к данным, либо для нарушения работы приложения. В основном анализ безопасности кода строится на изучении его семантической структуры, путей прохождения данных от момента пользовательского ввода до обработки. Однако есть и обычная для таких инструментов возможность поиска наиболее часто встречающихся небезопасных паттернов.

В этой статье я расскажу о CodeQL от GitHub Security Lab, интересном инструменте и языке для анализа исходного кода, который активно набирает популярность и выглядит весьма перспективным.

Читать далее
Total votes 6: ↑6 and ↓0+6
Comments0

Как киту съесть Java-приложение и не подавиться

Reading time8 min
Views62K
Здравствуйте, уважаемые хабравчане! Сегодня я хотел бы рассказать о том, как «скормить» Java-приложение докеру, как при этом лучше действовать, а чего делать не стоит. Я занимаюсь разработкой на Java более 10 лет, и последние года три провёл в самом тесном общении с Docker, так что у меня сложилось определённое представление о том, что он может и чего не может. Но ведь гипотезы надо проверять на практике, не так ли?

Я представил весь процесс как старую добрую компьютерную игру с тёплым ламповым пиксель-артом.

Начнем мы, как и полагается любой игре, с некоторого брифинга. В качестве вводной возьмем немного рекламы докера.

На сайте докера можно ознакомиться с рядом рекламных посулов – а именно, с обещанием увеличить скорость разработки и развертывания аж в 13 раз и повысить портативность в разработке (в частности, избавиться о сакраментального «работает на моей машине»). Но соответствует ли это реальности?

Сейчас мы попробуем доказать/опровергнуть эти утверждения.
Читать дальше →
Total votes 31: ↑30 and ↓1+29
Comments31

Программирование NES (dendy), assembler 6502

Reading time6 min
Views11K

У меня с детства была мечта написать игру для любимой приставки денди, шло время, мечта то появлялась то затихала снова. Она меня направляла в сторону магии программирование, и вот прошло больше 20-ти лет я программист, и снова в который раз пытаюсь постигнуть магию той самой денди что так будоражило моё воображение в тяжелом но счастливом детстве. Сегодня Я расскажу вам как постиг секреты этой магии, наконец то смог вывести спрайты на экран и научился рисовать фон, и надеюсь это будет не последняя мая статья на Хабре.

Мечта под катом
Total votes 13: ↑12 and ↓1+16
Comments10

Делаем вечную лампочку

Reading time3 min
Views299K
На упаковках светодиодных ламп указывают срок службы 30, 40 или 50 тысяч часов, но многие лампочки не живут и года.

Сегодня я расскажу, как за пять минут без каких либо инструментов модифицировать лампочку так, чтобы её срок службы значительно увеличился.

Читать дальше →
Total votes 185: ↑180 and ↓5+233
Comments361

Android изнутри: сравнение Dalvik и ART

Reading time6 min
Views38K
Привет, Хабр! Около полугода назад я публиковал подробный «гайд» по JVM. Пост, в целом, зашел, а в комментариях спросили, не планируется ли “чего-то по андроиду”. Наконец, у меня дошли руки.



В этом посте поговорим о среде выполнения в Android. В частности, я постараюсь кратко, но емко изложить, чем отличается ART и Dalvik, и как со временем улучшились средства разработки в Android. Тема явно не новая, но, надеюсь, придется кстати тем, кто только начинает вникать. Кому интересно — добро пожаловать под кат.
Читать дальше →
Total votes 14: ↑12 and ↓2+14
Comments14

Моделирование микросервисов с помощью Event storming

Reading time8 min
Views69K

Event storming — метод, который смещает акцент у событий с технического на организационный и бизнес уровни и помогает создать устойчивую модульную систему. Он нередко используется в контексте моделирования микросервисов. Но как применить его на практике?

При создании системы на микросервисах можно легко получить распределенный монолит. Event Storming не уберегает от этого на 100 %, но позволяет существенно снизить риск этого события. О том, как именно этого добиться, рассказал в своем докладе на конференции TechLead Conf 2020 практикующий консультант по архитектуре, процессам разработки и продуктовым практикам Сергей Баранов.

Читать далее
Total votes 14: ↑13 and ↓1+17
Comments2

Поддержание аккуратной истории в Git с помощью интерактивного rebase

Reading time5 min
Views47K

Interactive rebase — один из самых универсальных инструментов Git'а. В этой статье от автора Git-клиента Tower рассказывается, как корректировать сообщения при коммитах и исправлять свои ошибки.

Читать далее
Total votes 42: ↑41 and ↓1+53
Comments44

Наркоз и седация в стоматологии: это безопасно? А детям?

Reading time13 min
Views43K
image
Аппарат со всем необходимым для проведения наркоза у детей.

Есть такая замечательная фобия у людей, столкнувшихся в детстве с советской карательной стоматологией, — стоматофобия. Тогда считалось, что местная анестезия придумана для слабых духом, а терпеть запах жженого дентина и жуткую боль в течение часа — это нормально. Несмотря на то, что сейчас ни один здравомыслящий стоматолог не будет лечить без анестезии, среди нас всё ещё ходят грустные печальные люди, травмированные этими воспоминаниями. Иногда такие пациенты пересиливают себя и приходят на приём с панорамным снимком зубов. Точнее, с десятком полуразрушенных корней и множеством инфицированных гнойных очагов в костной структуре челюсти.

Если с идеей того, что детей надо обязательно лечить под местной анестезией, люди уже свыклись, то общая анестезия всё ещё пугает. Многие ещё помнят тяжёлый выход из наркоза с тошнотой и «вертолётами» во времена применения тяжёлых старых препаратов. И до сих пор у людей есть ощущение, что любая общая анестезия — это что-то предельно опасное и уж тем более неприемлемое для применения у детей, кроме экстренных показаний. На самом деле всё сильно поменялось.

Короче, будем говорить о наркозе у детей. А ещё — про современные варианты с закисью азота, пропофолом и севофлураном. Они очень хорошие, но помните, что самостоятельные эксперименты с ними могут закончиться встречей с Куртом Кобейном.
Читать дальше →
Total votes 40: ↑36 and ↓4+51
Comments62

Небольшой гайд по выбору 3D-принтера для начинающих

Reading time8 min
Views31K

Поводом для написания данной статьи послужила статья “Я хотел купить недорогой 3D-принтер, но посмотрел YouTube и расхотел”, в конце которой автор просит ответить на несколько вопросов. Попробую ответить с точки зрения своего семилетнего опыта 3D-моделера и 3D-печатника. Для начала небольшие предостережения.

В данной статье не будет советов: “Покупайте принтер производителя Х - он хороший, а производителя Y - не берите ни в коем случае”, только общие рекомендации.

Классификация принтеров неформальная, принятая в отечественном сегменте печатников.

Все написанное основано на личном опыте автора и является его личным мнением.

Если данные предостережения вас не пугают - добро пожаловать под кат.

Поехали
Total votes 18: ↑17 and ↓1+21
Comments70

IoT-елочка, гори!.

Reading time8 min
Views5.6K
Пришел новый русский в магазин, чтобы сдать новогоднюю гирлянду.
– Не работает? – спрашивает его продавец.
– Почему? Очень даже работает, – отвечает тот.
– А в чем тогда дело?
Покупатель вздохнул и ответил:
– Не радует.

Привет, друзья!

Очень надеемся, что гирлянда, изготовление которой мы опишем в статье, порадует вас и своим видом, и тем фактом, что вы можете ее сделать сами. Совсем не претендуя на то, что эта гирлянда станет серьезным конкурентом недорогих китайских вариантов, мы все же считаем, что такой небольшой DIY в преддверии новогоднего праздника может стать прекрасным развлечением для всей семьи, ведь тут и сборка “железочек”, и программирование, и составление сценария логики работы гирлянды, и, в конечном счете, созидание красоты, сделанной собственной руками!

Под катом:

  1. Собираем прототип гирлянды.
  2. Пишем код для нескольких режимов работы.
  3. Подключаем к платформе Rightech IoT Cloud.
  4. Придумываем и реализовываем сценарий работы гирлянды.
  5. Создаем праздничное настроение.

image
Читать дальше →
Total votes 6: ↑3 and ↓3+2
Comments27

Прокачиваем Android проект с GitHub Actions. Часть 1

Reading time15 min
Views17K

Привет!

Это пост для тех, кто заинтересовался возможностями GitHub Actions, но никогда не имел опыта реальной настройки build-систем. Примеры будут полезны как для прокачки собственного pet-проекта, так и для понимания, как настраивается CI/CD, если по работе нет связанных с этим задач.

Читать далее
Total votes 19: ↑19 and ↓0+19
Comments2

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Works in
Registered
Activity