• Скучно о дешифрации


      Нет, а вы вообще когда-либо видели веселый текст про SSL?

      Я – нет. Но нам все равно придется страдать. Вы могли бы пролистать этот материал и почитать что-нибудь более интересное и интригующее. Но если вам надо разобраться, как и зачем это работает, то советую запастись чем-нибудь бодрящим. Ибо далее неподготовленный человек рискует заснуть.

      Я, конечно, возьму на себя ответственность и буду периодически вас будить. Однако, советую все же налить себе чашечку крепкого кофе и устроиться поудобнее. Поговорить нам надо о многом:
      дешифрация NGFW – дело тонкое.
      Читать дальше →
      • +9
      • 11.3k
      • 3
    • Проблемы действующей методики определения актуальных угроз от ФСТЭК



        Доброго времени суток, Хабр! Сегодня мы бы хотели покритиковать документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный ФСТЭК России 14 февраля 2008г. (далее – Методика).

        Эта Методика является единственным утвержденным документом по определению актуальных угроз безопасности, а в соответствии с действующим законодательством «Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России...».

        Как видно из даты утверждения Методики, ей уже более 10 лет и с ней действительно много проблем. Какие именно — рассмотрим далее.

        Читать дальше →
        • +15
        • 11.9k
        • 6
      • Как бесплатно автоматизировать мониторинг госзакупок

        • Tutorial
        Скажу сразу, статья скорее техническая, это инструкция.
        Но начну с истории.

        Сейчас я работаю на компанию со 100 процентным государственным участием, учредитель — одна уважаемая госкорпорация.

        Год назад я запустил здесь новый процесс — участие в госзакупках. Да — да, вот так бывает, госкомпания не участвовала в госзакупках.

        Попытки запустить это были, но безуспешные.

        Когда я пришел работать в эту компанию, закупки кто-то мониторил, но отдел продаж не получал конкурсов от этого кого-то, хотя им были высланы ключевые слова по тематике департамента. Процесс был сломан.

        Я был в недоумении некоторое время, пока не решил перезапустить этот процесс, выпросив оплатить аккаунт на Контур.Закупках.

        Всё настроил и стал мониторить сам. Находил конкурсы отдавал в отдел продаж, завертелось, закружилось.

        Людям нравится когда что-то происходит. Отдел продаж загорелся.

        Если кратко описать, что нужно, чтобы запустить процесс участия в госзакупках, то вам надо:
        1. Настроить мониторинг госзакупок
        2. Чтобы кто то отбирал проекты, понимая ФЗ и читая все требования. Убирать лишнее.
        3. Вести учет состояния проектов в едином интерфейсе.
        4. Готовить заявку на участие в конкурсе, понимая структуру вашей цены
        5. Иметь аккаунты на электронных торговых площадках (ЭТП)
        6. Уметь писать жалобы в ФАС на снос конкурсов (юрист)
        7. Проводить аналитику своего, извиняюсь, рынка
        Читать дальше →
      • Как написать сканер уязвимостей и зарабатывать на эксплойтах

          TLDR: О том как я уволился с работы безопасника и написал свой сканер уязвимостей.
          И как на этом можно заработать. В конце куски кода сканера и спецификация.


          Кто и что взламывает


          В 1970х, давным-давно, интернет выглядел вот так.



          Основную угрозу ему представляли исследователи и энтузиасты первыми добравшиеся до документации и сетей крупных корпораций.


          С тех пор интернет сильно изменился. Атаки на сети, сервисы и веб-приложения стали повседневностью. Каждый день разработчики и исследователи находят десятки уязвимостей. Параллельно с этим взламываются десятки тысяч сайтов.

          Читать дальше →
        • Google запустила домены для быстрого создания документов

          Несколько дней назад Google опубликовал небольшой лайфхак для тех, кто использует Google Docs. Теперь появилась возможность мгновенно создавать документы, таблицы, слайды и т.п. Пользователю нужно лишь набрать ключевое слово в строке браузера и добавить к нему домен ".new"



          Например doc.new создаст новый документ, а sheet.new таблицу.
          Читать дальше →
        • Сколько зарабатывает Хабр + инструкция как узнать сколько зарабатывают другие компании

            Предыстория: после того, как мы с командой в прошлом году закрыли компанию и еще не начали работу над новой, мы решили обновить наш старый, но довольно большой сайт с кулинарными рецептами. Чтобы понять насколько серьезно стоит углубляться в работу над ним, я проанализировал данные по выручке сайтов, которые тоже зарабатывают на рекламе.

            В этом году уже вышли новые данные, которыми тоже решил поделиться. Доходы, расходы и прибыль приведены в миллионах рублей.

            image
            Читать дальше →
          • EveryLang — программа, которая может почти все

              EveryLang позволяет переводить любой текст, проверять орфографию, переключать раскладку в ручной и автоматической режиме, имеет индикатор раскладки в различных видах, работает с буфером обмена, использует шаблоны текстов, ведет дневник набираемого текста, конвертирует текст в различные варианты и включает в себя очень удобный инструмент SmartClick, для работы с текстом с помощью мыши.

              EveryLang позволит существенно увеличить скорость работы с текстом. Предоставит новые возможности экономии времени на рутинных процедурах.

              image
              Читать дальше →
            • 5 простых способов улучшить общение с клиентами

                5 простых способов улучшить общение с клиентами

                Главный секрет построения крепких взаимоотношений с клиентами — правильная коммуникация. Причем, это касается как личной, так и профессиональной сферы. В бизнесе грамотное общение позволяет завоевать лояльность, которая приносит повторные покупки и хорошие отзывы для «сарафанного радио».

                Справедливо и обратное — плохое и неграмотное общение приводит к неудовлетворенности покупателей, разочарованию и падению продаж. А в век социальных сетей отзывы недовольных потребителей распространяется как «лесной пожар», сокрушая при этом вашу репутацию.

                Независимо от площадки на которой вы общаетесь с клиентами, делать это нужно качественно. В этой статье мы рассмотрим несколько простых способов для улучшения коммуникации с клиентами.
                Читать дальше →
              • ODBC Firebird Postgresql, выполнение запросов в Powershell

                  Иногда у системных инженеров возникает необходимость получить определенный набор данных непосредственно из самой СУБД средствами Powershell. В данной статье хочу продемонстрировать два метода работы c firebird, postgresql через odbc драйвер и клиентскую библиотеку.

                  Начнем с firebird и работу с базой через ODBC драйвер, для начала нужно зарегистрировать в системе клиентскую библиотеку GDS32.DLL, ее разрядность должна быть такой же как и ODBC драйвера который должен быть установлен далее, скачать можно на сайте производителя, обязательно во время установки необходимо поставить галочку о регистрации библиотеки.

                  image

                  Далее устанавливаем сам ODBC, который также берем на сайте производителя, не забываем что его разрядность должна соответствовать разрядности ранее установленного клиента. Теперь собственно сам powershell скрипт, за его основу был взят пример на C# для postgresql.
                  Читать дальше →
                • PowerShell. Пользовательские функции для пользователей

                  Привет! Довольно часто в своей работе приходиться пользоваться самостоятельно написанными функциями и таскать куски кода между разными скриптами. На Хабре уже есть довольно хорошая статья про Повторное использование кода от Mroff, но была необходимость пойти немного дальше, задокументировать и как-то описать свои функции. Как оказалось, поиск выдавал довольно сухую информацию в основном по общей структуре функции и не более того. Упорство было вознаграждено, и я решил поделиться полученной информацией. Добро пожаловать под кат, где мы научимся вносить в свои функции информацию для потомков и коллег.
                  Читать дальше →
                  • +15
                  • 29.9k
                  • 8
                • Jump Start в PowerShell (часть I)

                  Только автоматизация. Только PowerShell.



                  Предисловие


                  В качестве хобби и при наличии времени преподаю студентам в УКИТ (бывший Московский государственный колледж информационных технологий). На данный момент у меня мало времени, чтобы уделить его группе студентов, зато вполне достаточно, чтобы подготовить пост здесь, на Хабре.

                  Я работаю системным администратором в крупной не ИТ-компании с большой завязкой на ИТ ресурсы. По роду деятельности представляется решать большое количество однотипных задач по обслуживанию пользователей.

                  С языком PowerShell познакомился около двух лет назад, но вплотную занялся им лишь спустя год, не осознав поначалу его огромных возможностей. В статье, прежде всего, я буду ориентироваться на тех, кто хочет начать работать с PowerShell, но пока не доверяет ему или не знает, с какой стороны подступиться к этому чуду.

                  Внимание: PowerShell вызывает привыкание.
                  Читать дальше →
                • Тяжкое наследие прошлого. Проблемы командной строки Windows

                  • Translation
                  Предисловие от автора, Рича Тёрнера из Microsoft. Это статья о командной строке: от её появления и эволюции до планов капитального ремонта Windows Console и командной строки в будущих версиях Windows. Будь вы опытным профессионалом или новичком в IT, надеемся, что вы найдёте статью интересной.

                  Давным-давно в далёкой-далёкой серверной...


                  С первых дней развития информатики людям нужен был эффективный способ передавать компьютеру команды и данные и видеть результат выполнения этих команд/вычислений.

                  Одним из первых по-настоящему эффективных человеко-машинных интерфейсов стал Tele-Typewriter или «телетайп». Это электромеханическая машина с клавиатурой для ввода данных и каким-нибудь устройством вывода — сначала использовался принтер, позже экран.
                  Читать дальше →
                • Бесплатно, быстро, легко и просто получаем информацию о системе с множества ПК в сети

                  В процессе работы любого ИТ специалиста бывают моменты, когда нужно получить информацию о системе. Иногда нужно собрать какой-то один или ряд параметров системы с множества рабочих станций и быстро обработать. Чем оперативнее сведения будут получены, тем конечно же лучше. В статье хочу представить powershell модуль, с помощью которого можно быстро получать почти любую информацию о системе. К примеру: мне удавалось собрать информацию о размере оперативной памяти с нескольких сотен рабочих станций, затратив на это чуть более двадцати секунд!
                  Читать дальше →
                  • +15
                  • 17.6k
                  • 9
                • Дыра как инструмент безопасности – 2, или как ловить APT «на живца»

                    (за идею заголовка спасибо Sergey G. Brester sebres)

                    Коллеги, целью данной статьи является желание поделиться опытом годичной тестовой эксплуатации нового класса IDS-решений на основе Deception-технологий.

                    Читать дальше →
                  • Сети для самых матёрых. Часть пятнадцатая. QoS

                    • Tutorial
                    СДСМ-15. Про QoS. Теперь с возможностью Pull Request'ов.

                    И вот мы дошли до темы QoS.

                    Знаете почему только сейчас и почему это будет закрывающая статья всего курса СДСМ? Потому что QoS необычайно сложен. Сложнее всего, что было прежде в цикле.

                    Это не какой-то магический архиватор, который ловко сожмёт трафик на лету и пропихнёт ваш гигабит в стомегабитный аплинк. QoS это про то как пожертвовать чем-то ненужным, впихивая невпихуемое в рамки дозволенного.

                    QoS настолько опутан аурой шаманизма и недоступности, что все молодые (и не только) инженеры стараются тщательно игнорировать его существование, считая, что достаточно закидать проблемы деньгами, и бесконечно расширяя линки. Правда пока они не осознают, что при таком подходе их неизбежно ждёт провал. Или бизнес начнёт задавать неудобные вопросы, или возникнет масса проблем, почти не связанных с шириной канала, зато прямо зависящих от эффективности его использования. Ага, VoIP активно машет ручкой из-за кулис, а мультикастовый трафик ехидно поглаживает вас по спинке.

                    Поэтому давайте просто осознаем, что QoS это обязательно, познать его придётся так или иначе, и почему-бы не начать сейчас, в спокойной обстановке.

                    Читать дальше →
                  • Безопасность начинается с домашнего машрутизатора

                    • Translation
                    Автор статьи — архитектор решений безопасности (Security Solutions Architect) в подразделении CERT

                    В последнее время много внимания привлекла вредоносная программа VPNFilter, особенно после публичного объявления ФБР 25 мая и ряда объявлений от производителей устройств и компаний в области безопасности. Рассмотрим зловред VPNFilter: какие уязвимости он использует и как, оценим его влияние на интернет. Я также излагаю рекомендации для производителей устройств интернета вещей (IoT), в том числе домашних маршрутизаторов, которые стали целью VPNFilter. Поскольку в статье подчёркивается приоритетность нескольких критических уязвимостей, я повторю рекомендации, сделанные в марте 2017 года в статье о ботнете Mirai.

                    История уязвимостей


                    Статья в блоге Cisco о VPNFilter содержит подробные данные об устройствах, подверженных этой уязвимости, которая затронула «по крайней мере 500 тыс. сетевых устройств во всём мире». VPNFilter в некотором смысле похож на Mirai, поскольку тоже нацелен на устройства IoT, в частности, на домашние маршрутизаторы. Кроме того, сейчас известно, что ботнет Mirai использовал четыре 0day-эксплойта, кроме обычного подбора стандартных пар логин-пароль для компрометации устройств IoT. Недавно была обнаружена новая версия ботнета Mirai, тоже нацеленная на домашние маршрутизаторы.
                    Читать дальше →
                    • +17
                    • 18.6k
                    • 6
                  • Безопасность Microsoft Office: Автоматизация



                      Программы электронного документооборота совершили настоящий прорыв, значительно облегчив работу офисных сотрудников. Но вскоре стало понятно, что можно продвинуться еще дальше, автоматизировав рутинные действия пользователей. У программируемых офисных приложений было явное преимущество на рынке. Visual Basic For Applications не удовлетворял всех потребностей: требовалась поддержка различных «внешних» языков, в том числе и скриптовых.

                      Как уже упоминалось в предыдущих статьях, разработка пакета была начата в те времена, когда о безопасности десктопных систем никто особенно не задумывался. Главной целью разработчиков было быстродействие, второстепенной— низкие требования к ресурсам системы.
                      Читать дальше →
                    • Основы повышения привилегий в Windows

                        Решил для себя и для тех, кому будет полезно, собрать все что знаю, но не помню по теме, в этой статье. Делитесь советами. Основным источником этой статьи является эта.

                        Я вольно перевел и добавил немного от себя, того, что насобирал и узнал из других источников.

                        В общем, тут представлены способы, которые помогут нам достигнуть цели повышения привилегий.
                        Читать дальше →
                      • Курс MIT «Безопасность компьютерных систем». Лекция 6: «Возможности», часть 2

                        • Translation
                        • Tutorial

                        Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год


                        Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

                        Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
                        Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
                        Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
                        Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
                        Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
                        Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
                        Читать дальше →
                      • Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ банковских преступлений


                          (с) МВД России. Фрагмент записи с камер наблюдения в момент кражи денег из банкомата

                          О чем исследование
                          Ссылки на другие части исследования


                          Эта статья посвящена анализу и выявлению закономерностей в преступлениях, направленных на кражу денег банков или их клиентов.

                          Далее в статье будет представлена выборка из более чем из ста реальных преступлений последних лет. Все рассмотренные преступления будут классифицированы и снабжены кратким описанием. Затем будет проведен комплексный анализ, по результатам которого сформулированы ответы на основные вопросы банковской безопасности, в частности:

                          1. Какой тип преступлений наиболее опасен для банков?
                          2. Какие банковские профессии наиболее часто оказываются вовлеченными в преступную деятельность?
                          3. Есть ли закономерности в действиях преступников, и если есть, то какие?
                          4. … и др.

                          Читать дальше →