На самом-самом деле его секреты нафиг никому не нужны. И кстати, такой ключ за 5 баксов ещё надо поискать

Шифропанкам посвящается. Мы собрали тулкит из популярных программ (преимущественно с симметричным шифрованием), которые помогут защитить личные данные от несанкционированного доступа и попросили исследователя криптографии из компании «Криптонит» прокомментировать наш выбор.

Под катом безопасные решения для шифрования файлов при помощи браузера, для быстрой защиты, пересылки, загрузки в облако шифрованных данных, криптографические контейнеры с двойным дном, десяток консольных инструментов для криптографии и комбайн, объединяющий их под единым графическим интерфейсом. А еще ответы на животрепещущие вопросы, например: «Что лучше AES, Кузнечик, Serpent или Twofish»?

Может ли что-то объединять старую металлическую кастрюлю, пожарную сигнализацию с громким названием, десяток невидимых глазу точек доступа Wi-Fi и подпольную биржу труда? Оказывается, да. Все эти удивительные вещи поддерживали работу склада, который мы рискнули взяться модернизировать.

Ну а что из этого вышло, как мы распутывали кабели, перевозили серверы и обновляли IT-инфраструктуру на складе, работу которого нельзя было остановить даже на час, читайте под катом.

В отчете по результатам пентеста каждой уязвимости присваивается определенный класс опасности. Это не субъективная оценка, она основывается на общепринятых методиках. О них сегодня и поговорим. Расскажем, как принято классифицировать и оценивать уязвимости информационных систем и объясним, зачем это нужно.

Бастион не собирает статистику по расходам на ИБ на российском рынке, но мы помогаем заказчикам формировать бюджеты на кибербезопасность, так что нам часто задают вопросы на эту тему. Сразу хочется поделиться ссылкой на толковый ликбез, но вместо грамотных рекомендаций поисковики выдают сотни SEO-оптимизированных заметок. Пришлось писать свою статью.

В этом посте поговорим об общих принципах построения бюджета на ИБ. Расскажем, какие виды затрат выделить и как расставить приоритеты. Покажем простой и быстрый метод расчетов и познакомим с более точной математической моделью для принятия обоснованных решений в условиях неопределенности и посоветуем, куда копать дальше.

На этот раз речь о различных десктопных Linux-дистрибутивах, но найдется место и Android, и даже Windows.

Большинство хакерских ОС отчасти похожи на подборки узкоспециализированных утилит, которые я уже выкладывал. Они представляют собой готовые наборы инструментов с некоторыми предустановками для оптимальной работы — ничего эксклюзивного. Простые скрипты, например, katoolin или PFT за пару команд делают из обыкновенной Ubuntu или Debian дистрибутив для тестирования на проникновение, так что многие из сотрудников Бастион работают из-под обычных Linux-дистрибутивов, заточенных под их нужды, а другие преимущественно используют Kali.

Call of Duty: Modern Warfare 2 на Android — да, это законно

Кажется, облачный гейминг переживает не лучшие времена, но с этим стоит поспорить. Как минимум одна российская компания уверенно чувствует себя на этом рынке.

Мы позвали Сергея Панферова, основателя и генерального директора Loudplay, чтобы он рассказал как создавался их сервис, на каком стеке делали, какие проблемы решали, почему провалилась Google Stadia и как в последний момент выскочить из под санкционного пресса.

График цен на маркетплейсе — напоминает биржевые сводки: если хочешь купить выгодно, мониторишь цену и ждешь подходящего момента. За этим сравнением стоит широко известное в психологии маркетинга когнитивное искажение.

В этом посте расскажем, как благодаря подсказкам пользователей мы изменили дизайн графика цен, при чем здесь психология и как редизайн повлиял на пользователей. А также попытаемся ответить на вопрос, действительно ли график цен так важен для маркетплейса.

«Если не можете расшифровать наши данные, то зачем вы здесь?», — примерно так порой реагируют на приезд нашей команды. Сейчас все объясню, а заодно:

• распишу, на какие стадии делится реагирование на инциденты, и как они выглядят на практике;
• перечислю основные ошибки, которые играют на руку хакерам;
• дам базовые советы по реагированию, которые сберегут ваши и наши нервы;
• расскажу, как сыграть в русскую рулетку с шифровальщиком;
• и приду к спорным выводам.

Привет, Хабр! Меня зовут Николай Ряшин, я генеральный директор компании Hive. Мы создаем, тестируем и устанавливаем дронопорты — автоматизированные станции для обслуживания беспилотников.

Сегодня я хочу рассказать, зачем дроны бороздят просторы Иннополиса, почему в России до сих пор нет беспилотной авиадоставки, и какие шаги мы делаем, чтобы это изменить.

Продуктовый офис B2O Ростелекома предлагает продукты операторам связи, которые помогают решать задачи бизнеса. Один из таких продуктов - чат-бот. Ключевая задача в развитии диалоговых систем связана с улучшением понимания намерений пользователей — увеличением точности распознавания интентов — intent recognition.

Эту задачу решают десятки движков для машинного обучения, но качество их работы меняется в зависимости от языка и размера датасета, на котором обучен алгоритм. Выбор далеко не очевиден, поэтому мы решили внести немного ясности в этот вопрос и провести исследование — сравнить семь русскоязычных SaaS-систем. Что из этого вышло — читайте под катом.

Перед тем как написать этот пост, я расспросил знакомых из разных IT-компаний и столкнулся с полярными мнениями. Одни горячо топили за bug bounty и говорили, что это чуть ли не лучший способ поддерживать безопасность (правда часто оказывалось, что программу открыли еще до их найма), другие уверены, что это слишком рискованно.

Истина, как всегда, где-то посередине. Спешный запуск bug bounty будет опасной авантюрой. Вдумчивый — становится контролируемым мероприятием, которое приносит предсказуемую пользу, но в любом случае такую программу нельзя назвать универсальным ответом на киберугрозы.

Эксперты регулярно объявляют то одно, то другое файловое хранилище новой базой для хакерских атак. Это актуальная проблема, и по идее владельцы этих сервисов должны с ней бороться. Поэтому я решил провести небольшое исследование, завести аккаунты в известных облачных сервисах и проверить эффективность антивирусной защиты.

Иннополис — место, где формируются идеи, которые затем вырываются в большой мир, чтобы сделать его немного лучше, удобнее и технологичнее. Так произошло и с разработками компании EORA, которая опубликовала пайплайн для машинного обучения, заточенный под работу с компьютерным зрением.

Все необходимое для работы с ним опубликовано на GitHub под лицензией Apache 2.0, но если хотите подробностей из первых уст — добро пожаловать под кат. Передаем слово руководителю отдела компьютерного зрения EORA Data Lab Владу Виноградову.

Мы много лет разрабатывали TorchOk, и чувствуем, что настало время для презентации: нам есть, что показать и о чем рассказать.

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

Все таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков. Под катом ссылки на некоторые из них.

Пост состоит из 8 объемных разделов:

1. метапоисковики и поисковые комбайны;

2. инструменты для работы с дорками;

3. поиск по электронной почте и логинам;

4. поиск по номерам телефонов;

5. поиск в сети TOR;

6. поиск по интернету вещей, IP, доменам и поддоменам;

7. поиск данных об уязвимостях и индикаторов компрометации;

8. поиск по исходному коду.

В этом списке собраны инструменты, которые члены нашей команды используют в работе. И все же, эта подборка пригодится не только пентестерам, но и разработчикам, журналистам, HR, маркетологам и всем, кто много ищет в интернете. Знания — это сила. Используйте их во благо.

99% того, что я делаю — использование ошибок, которых можно избежать. Сегодня я расскажу про IDOR — одну из самых распространенных и простых в использовании веб-уязвимостей. С ее помощью можно посмотреть чужие фотографии в социальной сети или получить скидку в интернет-магазине, а можно заработать тысячи долларов баг-баунти.

На примерах из практики я покажу, как хакеры находят и эксплуатируют ошибки бизнес-логики в приложениях и дам практические советы по их устранению на этапе разработки.

Привет, мы — команды мобильной разработки и дизайна СберМегаМаркета. В этой статье мы расскажем, какие сложности скрываются за, казалось бы, относительно простым с технической точки зрения редизайном мобильного приложения.

В процессе мы решили, что не все ошибки стоит немедленно исправлять и провели с десяток бессонных и одну нервную ночь перед самым релизом.

27 апреля 2021 года мы объявили о ребрендинге, в процессе которого маркетплейс получил не только новое имя и логотип, но изменился также фирменный стиль и цветовая гамма, добавились сервисные возможности и новые средства идентификации. Подготовка началась примерно за несколько месяцев до официального релиза, но у нас было несколько крупных итераций, в результате которых фактически процесс приходилось полностью начинать заново. 

Ты наверняка слышал про ханипоты — цели-приманки, по атакам на которые вычисляют хакеров. В последние годы эта технология проапгрейдилась и теперь носит общее название Deception. О том, в чем отличия и как хакеров пытаются водить за нос, мы и поговорим.

В этом проекте нет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за человеческого фактора: простой ошибки веб-разработчиков или неаккуратных сотрудников. Такие случаи напоминают о том, что невозможно предусмотреть все заранее и доказывают важность проведения тестов на проникновение.