Pull to refresh
196
Karma
31
Rating
Игорь Santry @SantrY

Главный по блогу Бастион, научный журналист

20+ open source утилит для шифрования файлов на (почти) любой случай жизни

Бастион corporate blog Information Security *Open source *Software


На самом-самом деле его секреты нафиг никому не нужны. И кстати, такой ключ за 5 баксов ещё надо поискать


Шифропанкам посвящается. Мы собрали тулкит из популярных программ (преимущественно с симметричным шифрованием), которые помогут защитить личные данные от несанкционированного доступа и попросили исследователя криптографии из компании «Криптонит» прокомментировать наш выбор.


Под катом безопасные решения для шифрования файлов при помощи браузера, для быстрой защиты, пересылки, загрузки в облако шифрованных данных, криптографические контейнеры с двойным дном, десяток консольных инструментов для криптографии и комбайн, объединяющий их под единым графическим интерфейсом. А еще ответы на животрепещущие вопросы, например: «Что лучше AES, Кузнечик, Serpent или Twofish»?

Читать дальше →
Total votes 35: ↑34 and ↓1 +33
Views 13K
Comments 26

Успеть за 30 дней: как мы полностью модернизировали складской комплекс из прошлого

Hoff Tech corporate blog IT Infrastructure *Network technologies *Network hardware Systems engineering *
Case

Может ли что-то объединять старую металлическую кастрюлю, пожарную сигнализацию с громким названием, десяток невидимых глазу точек доступа Wi-Fi и подпольную биржу труда? Оказывается, да. Все эти удивительные вещи поддерживали работу склада, который мы рискнули взяться модернизировать.

Ну а что из этого вышло, как мы распутывали кабели, перевозили серверы и обновляли IT-инфраструктуру на складе, работу которого нельзя было остановить даже на час, читайте под катом.

Читать далее
Total votes 55: ↑54 and ↓1 +53
Views 8.4K
Comments 32

Системы классификации и оценки уязвимостей и угроз информационных систем: какие они бывают и зачем нужны

Бастион corporate blog Information Security *

В отчете по результатам пентеста каждой уязвимости присваивается определенный класс опасности. Это не субъективная оценка, она основывается на общепринятых методиках. О них сегодня и поговорим. Расскажем, как принято классифицировать и оценивать уязвимости информационных систем и объясним, зачем это нужно.

Читать далее
Total votes 14: ↑14 and ↓0 +14
Views 2.8K
Comments 8

Как составить и рассчитать бюджет стартапа на кибербезопасность

Бастион corporate blog Information Security *Start-up development


Бастион не собирает статистику по расходам на ИБ на российском рынке, но мы помогаем заказчикам формировать бюджеты на кибербезопасность, так что нам часто задают вопросы на эту тему. Сразу хочется поделиться ссылкой на толковый ликбез, но вместо грамотных рекомендаций поисковики выдают сотни SEO-оптимизированных заметок. Пришлось писать свою статью.


В этом посте поговорим об общих принципах построения бюджета на ИБ. Расскажем, какие виды затрат выделить и как расставить приоритеты. Покажем простой и быстрый метод расчетов и познакомим с более точной математической моделью для принятия обоснованных решений в условиях неопределенности и посоветуем, куда копать дальше.

Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views 2.5K
Comments 1

20+ хакерских операционных систем для атаки и защиты

Бастион corporate blog Configuring Linux *Information Security *

На этот раз речь о различных десктопных Linux-дистрибутивах, но найдется место и Android, и даже Windows.



Большинство хакерских ОС отчасти похожи на подборки узкоспециализированных утилит, которые я уже выкладывал. Они представляют собой готовые наборы инструментов с некоторыми предустановками для оптимальной работы — ничего эксклюзивного. Простые скрипты, например, katoolin или PFT за пару команд делают из обыкновенной Ubuntu или Debian дистрибутив для тестирования на проникновение, так что многие из сотрудников Бастион работают из-под обычных Linux-дистрибутивов, заточенных под их нужды, а другие преимущественно используют Kali.

Читать дальше →
Total votes 21: ↑19 and ↓2 +17
Views 11K
Comments 5

Эксплойтинг браузера Chrome, часть 1: введение в V8 и внутреннее устройство JavaScript

Бастион corporate blog Information Security *JavaScript *Browsers
Translation


Cегодня браузеры играют жизненно важную роль в современных организациях, поскольку всё больше программных приложений доставляется пользователям через веб-браузер в виде веб-приложений. Практически всё, что вы делаете в Интернете, включает в себя применение веб-браузера, а потому он является одним из самых используемых потребительских программных продуктов на планете.

Работая дверями в Интернет, браузеры в то же время создают существенные угрозы целостности персональных вычислительных устройств. Почти ежедневно мы слышим новости наподобие "баг Google Chrome активно используется как Zero-Day" или "Google подтвердила четвёртый эксплойт Zero-Day Chrome за 2022 год". На самом деле, эксплойты браузеров не представляют собой ничего нового, их находят уже долгие годы, начиная с первого эксплойта для удалённого исполнения кода, задокументированного как CVE-1999-0280. Первым потенциально публичным раскрытием браузерного эксплойта, используемого в реальных условиях, стал эксплойт Aurora браузера Internet Explorer, который атаковал Google в декабре 2010 года.
Читать дальше →
Total votes 29: ↑29 and ↓0 +29
Views 10K
Comments 1

От сервера с Авито до мировой экспансии. Что под капотом у российского клауд гейминга

Город Иннополис corporate blog IT Infrastructure *Cloud services *Games and game consoles

Call of Duty: Modern Warfare 2 на Android — да, это законно

Кажется, облачный гейминг переживает не лучшие времена, но с этим стоит поспорить. Как минимум одна российская компания уверенно чувствует себя на этом рынке.

Мы позвали Сергея Панферова, основателя и генерального директора Loudplay, чтобы он рассказал как создавался их сервис, на каком стеке делали, какие проблемы решали, почему провалилась Google Stadia и как в последний момент выскочить из под санкционного пресса.

Читать далее
Total votes 19: ↑15 and ↓4 +11
Views 3.8K
Comments 13

A/B тесты, принцип дефицита и летящие цены: как график цен влияет на поведение пользователей

СберМегаМаркет corporate blog E-commerce management *Product Management *

График цен на маркетплейсе — напоминает биржевые сводки: если хочешь купить выгодно, мониторишь цену и ждешь подходящего момента. За этим сравнением стоит широко известное в психологии маркетинга когнитивное искажение.

В этом посте расскажем, как благодаря подсказкам пользователей мы изменили дизайн графика цен, при чем здесь психология и как редизайн повлиял на пользователей. А также попытаемся ответить на вопрос, действительно ли график цен так важен для маркетплейса.

Читать далее
Total votes 10: ↑9 and ↓1 +8
Views 2.3K
Comments 10

Как и чем отвечать на атаки: мнение лида группы реагирования

Бастион corporate blog Information Security *Project management *


«Если не можете расшифровать наши данные, то зачем вы здесь?», — примерно так порой реагируют на приезд нашей команды. Сейчас все объясню, а заодно:


  • распишу, на какие стадии делится реагирование на инциденты, и как они выглядят на практике;
  • перечислю основные ошибки, которые играют на руку хакерам;
  • дам базовые советы по реагированию, которые сберегут ваши и наши нервы;
  • расскажу, как сыграть в русскую рулетку с шифровальщиком;
  • и приду к спорным выводам.
Читать дальше →
Total votes 25: ↑25 and ↓0 +25
Views 4.3K
Comments 4

От стартапа до лоббиста: как Hive и Иннополис создают будущее беспилотной авиации

Город Иннополис corporate blog Manufacture and development of electronics *Multicopters

Привет, Хабр! Меня зовут Николай Ряшин, я генеральный директор компании Hive. Мы создаем, тестируем и устанавливаем дронопорты — автоматизированные станции для обслуживания беспилотников.

Сегодня я хочу рассказать, зачем дроны бороздят просторы Иннополиса, почему в России до сих пор нет беспилотной авиадоставки, и какие шаги мы делаем, чтобы это изменить.

Читать далее
Total votes 19: ↑19 and ↓0 +19
Views 3.2K
Comments 4

Сравниваем качество русскоязычных SaaS-систем в задаче распознавания интентов

Ростелеком corporate blog Instant Messaging *Machine learning *Research and forecasts in IT *

Продуктовый офис B2O Ростелекома предлагает продукты операторам связи, которые помогают решать задачи бизнеса. Один из таких продуктов - чат-бот. Ключевая задача в развитии диалоговых систем связана с улучшением понимания намерений пользователей — увеличением точности распознавания интентов — intent recognition.

Эту задачу решают десятки движков для машинного обучения, но качество их работы меняется в зависимости от языка и размера датасета, на котором обучен алгоритм. Выбор далеко не очевиден, поэтому мы решили внести немного ясности в этот вопрос и провести исследование — сравнить семь русскоязычных SaaS-систем. Что из этого вышло — читайте под катом.

Читать далее
Total votes 17: ↑17 and ↓0 +17
Views 1K
Comments 0

Инструкция: как открыть программу баг-баунти и не облажаться

Бастион corporate blog Information Security *

Перед тем как написать этот пост, я расспросил знакомых из разных IT-компаний и столкнулся с полярными мнениями. Одни горячо топили за bug bounty и говорили, что это чуть ли не лучший способ поддерживать безопасность (правда часто оказывалось, что программу открыли еще до их найма), другие уверены, что это слишком рискованно.

Истина, как всегда, где-то посередине. Спешный запуск bug bounty будет опасной авантюрой. Вдумчивый — становится контролируемым мероприятием, которое приносит предсказуемую пользу, но в любом случае такую программу нельзя назвать универсальным ответом на киберугрозы.

Прочитать и положить в закладки
Total votes 24: ↑23 and ↓1 +22
Views 1.8K
Comments 3

Я загрузил 4000 вирусов в разные облачные хранилища, и вот что из этого вышло

Бастион corporate blog Information Security *Antivirus protection *Cloud services *
✏️ Technotext 2022

Эксперты регулярно объявляют то одно, то другое файловое хранилище новой базой для хакерских атак. Это актуальная проблема, и по идее владельцы этих сервисов должны с ней бороться. Поэтому я решил провести небольшое исследование, завести аккаунты в известных облачных сервисах и проверить эффективность антивирусной защиты.

Читать далее
Total votes 106: ↑106 and ↓0 +106
Views 61K
Comments 70

TorchOk — представляем open-source пайплайн для обучения нейросетей в компьютерном зрении

Город Иннополис corporate blog Open source *Machine learning *

Иннополис — место, где формируются идеи, которые затем вырываются в большой мир, чтобы сделать его немного лучше, удобнее и технологичнее. Так произошло и с разработками компании EORA, которая опубликовала пайплайн для машинного обучения, заточенный под работу с компьютерным зрением.

Все необходимое для работы с ним опубликовано на GitHub под лицензией Apache 2.0, но если хотите подробностей из первых уст — добро пожаловать под кат. Передаем слово руководителю отдела компьютерного зрения EORA Data Lab Владу Виноградову.

Мы много лет разрабатывали TorchOk, и чувствуем, что настало время для презентации: нам есть, что показать и о чем рассказать.

Читать далее
Total votes 20: ↑20 and ↓0 +20
Views 6.1K
Comments 7

5 способов, как взять домен с помощью PetitPotam

Инфосистемы Джет corporate blog Information Security *IT systems testing *

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

Читать далее
Total votes 14: ↑12 and ↓2 +10
Views 6.4K
Comments 2

150+ хакерских поисковых систем и инструментов

Бастион corporate blog Information Security *Search engines *

Все таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков. Под катом ссылки на некоторые из них.

Пост состоит из 8 объемных разделов:

1. метапоисковики и поисковые комбайны;

2. инструменты для работы с дорками;

3. поиск по электронной почте и логинам;

4. поиск по номерам телефонов;

5. поиск в сети TOR;

6. поиск по интернету вещей, IP, доменам и поддоменам;

7. поиск данных об уязвимостях и индикаторов компрометации;

8. поиск по исходному коду.

В этом списке собраны инструменты, которые члены нашей команды используют в работе. И все же, эта подборка пригодится не только пентестерам, но и разработчикам, журналистам, HR, маркетологам и всем, кто много ищет в интернете. Знания — это сила. Используйте их во благо.

Читать далее
Total votes 64: ↑61 and ↓3 +58
Views 36K
Comments 6

Как найти и устранить IDOR — ликбез по уязвимости для пентестеров и веб-разработчиков

Бастион corporate blog Information Security *Website development *Development of mobile applications *

99% того, что я делаю — использование ошибок, которых можно избежать. Сегодня я расскажу про IDOR — одну из самых распространенных и простых в использовании веб-уязвимостей. С ее помощью можно посмотреть чужие фотографии в социальной сети или получить скидку в интернет-магазине, а можно заработать тысячи долларов баг-баунти.

На примерах из практики я покажу, как хакеры находят и эксплуатируют ошибки бизнес-логики в приложениях и дам практические советы по их устранению на этапе разработки.

Читать далее
Total votes 22: ↑21 and ↓1 +20
Views 6.2K
Comments 5

Больше, чем новый логотип: как дизайнили приложение СберМегаМаркет

СберМегаМаркет corporate blog Mobile applications design *

Привет, мы — команды мобильной разработки и дизайна СберМегаМаркета. В этой статье мы расскажем, какие сложности скрываются за, казалось бы, относительно простым с технической точки зрения редизайном мобильного приложения.

В процессе мы решили, что не все ошибки стоит немедленно исправлять и провели с десяток бессонных и одну нервную ночь перед самым релизом.

27 апреля 2021 года мы объявили о ребрендинге, в процессе которого маркетплейс получил не только новое имя и логотип, но изменился также фирменный стиль и цветовая гамма, добавились сервисные возможности и новые средства идентификации. Подготовка началась примерно за несколько месяцев до официального релиза, но у нас было несколько крупных итераций, в результате которых фактически процесс приходилось полностью начинать заново. 

Читать далее
Total votes 10: ↑6 and ↓4 +2
Views 2.4K
Comments 9

Технология обмана. Что такое Deception и как теперь обманывают хакеров

Бастион corporate blog Information Security *Network technologies *
Sandbox

Ты наверняка слышал про ханипоты — цели-приманки, по атакам на которые вычисляют хакеров. В последние годы эта технология проапгрейдилась и теперь носит общее название Deception. О том, в чем отличия и как хакеров пытаются водить за нос, мы и поговорим.

Читать далее
Total votes 48: ↑46 and ↓2 +44
Views 14K
Comments 10

Бесконтрольный доступ и рассеянность: итоги одного пентеста

Бастион corporate blog Information Security *Web services testing *Personnel Management *


В этом проекте нет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за человеческого фактора: простой ошибки веб-разработчиков или неаккуратных сотрудников. Такие случаи напоминают о том, что невозможно предусмотреть все заранее и доказывают важность проведения тестов на проникновение.

Читать дальше →
Total votes 36: ↑35 and ↓1 +34
Views 11K
Comments 13

Information

Rating
175-th
Location
Москва и Московская обл., Россия
Works in
Registered
Activity