Как стать автором
Обновить
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир
Сначала показывать

Как завалить проект и карьеру: 10+ вредных советов разработчику от менеджеров и сеньоров

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров12K
Недавно мы в «Лаборатории Касперского» провели онлайн-митап, где технические менеджеры и разработчики из команды Mobile Dev давали вредные советы про работу и карьеру. В частности, коллеги объясняли, что нужно сделать, чтобы поджечь релиз и затормозить свое развитие, и какие рабочие сигналы игнорировать, чтобы постоянно жить в хаосе.



В этом посте — краткая выжимка эфира в нескольких ключевых тезисах. Если же вам интересно послушать более развернутую дискуссию и аргументы участников, посмотрите запись митапа здесь или в виджете ниже.
Читать дальше →
Всего голосов 55: ↑35 и ↓20+21
Комментарии11

Keycloak. Мапинг учеток через mTLS c двойной проверкой сертификатов в kubernetes

Уровень сложностиСложный
Время на прочтение10 мин
Количество просмотров1.9K
Продолжаем с делиться экспертизой отдела Security services infrastructure (департамент Security Services компании «Лаборатории Касперского»). В данном посте мы разберем, как легко настроить mTLS, обращаясь к ресурсам в k8s через ingress-контроллер, и подсоединить это все к keycloak. Пост будет полезен тем, кто в своей инфраструктуре использует PKI и, в частности, клиентские сертификаты.



Ни для кого не секрет, что для улучшения защиты доступа к веб-ресурсам многие компании используют или начинают использовать mTLS — когда помимо проверки серверного сертификата проверяется сертификат пользователя. В данной статье мы расскажем:
  1. Как настроить проверку клиентских сертификатов в k8s на ingress-контроллере.
  2. Как передать клиентский сертификат с ingress-контроллера в keycloak с мапингом сертификата к учетной записи Keycloak-a.
  3. Как и зачем настраивать перепроверку клиентского сертификата в keycloak.
  4. Как проверить отозванные клиентские сертификаты с помощью keycloak и CRL/OCSP.

Статья рассчитана на людей, которые ранее были знакомы с IAM и, в частности, с keycloak-ом. Поэтому в этой части не будет «базы» по SAML2, OAuth2/OIDC и в целом по IAM (на Хабре есть хорошие статьи на эту тему). Также для понимания данной статьи необходимы знания базовых абстракций kubernetes и умение читать его манифесты.

В ресерче материалов для данного поста и реализации данной технологии на проде принимали участие еще несколько человек. Указать их соавторами на Хабре нет возможности, поэтому озвучу их тут: Ян Краснов, Иван Николаев, Максим Сушков, Иван Кодянов.
Читать дальше →
Всего голосов 15: ↑15 и ↓0+19
Комментарии6

Security Week 2441: уязвимости в роутерах DrayTek

Время на прочтение3 мин
Количество просмотров901
На прошлой неделе компания Forescout выложила подробный отчет об обнаружении 14 уязвимостей в роутерах тайваньской компании DrayTek, используемых, как правило, в корпоративном окружении. Одна из уязвимостей имеет максимальный рейтинг 10 баллов по шкале CVSS v3 и может приводить к выполнению произвольного кода.



Всего уязвимостям подвержены 24 модели роутеров данного производителя, из которых 11 официально более не поддерживаются производителем. Впрочем, несмотря на это, обновления прошивок, устраняющих уязвимости, выпущены для всех затронутых устройств и доступны на сайте производителя. В устаревших роутерах была закрыта только одна, наиболее опасная, уязвимость.
Читать дальше →
Всего голосов 5: ↑5 и ↓0+11
Комментарии0

Что и зачем почитать DevSecOps-у: личный опыт

Уровень сложностиПростой
Время на прочтение12 мин
Количество просмотров6.4K
Знания — сила! А актуальные и понятно преподнесенные знания — и вовсе на вес золота! Я решил рассказать про книги, которые показались мне, как руководителю отдела поддержки инфраструктуры сервисов (Head of Security Services Infrastructure) в «Лаборатории Касперского», полезными. Перед вами — «опорная» литература DevSecOps. Я разберу основные темы, связанные с работой девопсов и девсекопсов – и пройдусь по релевантным изданиям для этих специалистов. Расскажу, как конкретно эта литература повлияла на мою карьеру, а значит — может повлиять и на вашу :)



Дисклеймер: Если вас, как специалистов, сформировали какие-то другие книги по той же тематике — обязательно пишите в комментариях!
Читать дальше →
Всего голосов 30: ↑29 и ↓1+30
Комментарии8

Как совмещать учебу и работу — и не сгореть?

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров7K

Начался октябрь, а это значит, что первый учебный семестр в самом разгаре. А ведь впереди еще и сессии… Тут и полностью вовлеченному в учебу студенту может быть тяжело — а ведь немало и тех, кто активно совмещает вуз со стажировками и работой!

К этому надо подходить более чем серьезно: пожертвуешь парой с виду «лишних» семинаров — и бессонные ночи за конспектами одногруппников обеспечены! А если еще и релиз грядет — и до выгорания недалеко.

Как все успеть, рассказали стажеры «Лаборатории Касперского»: они и учатся, и работают, и кутят на досуг время находят.

Читать далее
Всего голосов 35: ↑28 и ↓7+25
Комментарии9

Security Week 2440: уязвимость CUPS переменной опасности

Время на прочтение6 мин
Количество просмотров1.3K
Главным событием прошлой недели в области информационной безопасности стало обнаружение четырех уязвимостей в службе печати Common Unix Printing System. Уязвимости актуальны для множества Linux- и Unix-дистрибутивов. И сами уязвимости, и способ их эксплуатации, разработанный первооткрывателем, исследователем Симоном Маргарителли, представляют большой интерес. Впрочем, помимо технических особенностей проблемы, на прошлой неделе также имела место драма со сложностями процесса ответственного раскрытия информации, а также с чрезмерным обсуждением персональных особенностей людей, вовлеченных в процесс.



Суть исследования Маргарителли приведена на скриншоте выше: в некоторых случаях мы можем обратиться к серверу, на котором установлен и запущен компонент cups-browsed, и без спроса добавить собственный принтер. С помощью всех остальных уязвимостей мы можем вызвать выполнение произвольного кода. Звучит страшновато, но для объективной оценки лучше сослаться на бюллетень компании Canonical: проблема затрагивает в основном десктопные системы и не может быть проэксплуатирована без участия пользователя. У этой простой формулировки есть множество дополнений мелким шрифтом, которые мы постараемся кратко изложить далее.
Читать дальше →
Всего голосов 8: ↑8 и ↓0+15
Комментарии0

Security Week 2439: масштабная фишинговая атака на пользователей GitHub

Время на прочтение3 мин
Количество просмотров1.6K
Важным событием прошлой недели стала масштабная попытка кражи данных у пользователей сервиса GitHub (новость на сайте BleepingComputer, новость на Хабре). Злоумышленники использовали стандартную функциональность репозитория, открывая новую запись в разделе Issues. В результате владельцы репозитория получали на почту уведомление следующего вида:



После перехода по ссылке на более не действующий сторонний сайт пользователю выводилось предложение «проверить, что вы не робот». И далее следовала гениальная находка атакующих: для «верификации» предлагалось открыть меню выполнения команд в Windows с помощью комбинации клавиш Win+R и вставить туда предварительно помещенный в буфер обмена кусок кода. Этот код открывал консоль PowerShell, скачивал и выполнял вредоносный файл. Если вам кажется, что настолько прямолинейная атака уж точно не затронет разработчиков, есть как минимум один аргумент, почему все же стоит опасаться и таких «вредоносных программ в ручном режиме».
Читать дальше →
Всего голосов 6: ↑5 и ↓1+10
Комментарии1

МИТАП: собираем комбо вредных советов про карьеру мобильного разработчика

Время на прочтение1 мин
Количество просмотров1.1K

Расскажем, почему изоляция от коллег и руководителя – это база, и в чем польза cтагнации.


Нет в жизни разработчика более надоедливого архетипа коллеги, чем “неравнодушный советчик”, который спешит причинить добро вне зависимости от твоего желания и последствий этого причинения. Причем, каждый второй обязательно собрал целое комбо из этих квазиполезных рекомендаций и готов делиться ими при каждом удобном случае. Мы нашли целых четверых таких советчиков и решили предоставить им трибуну для причинения добра в особо крупных размерах!



26 сентября мы проведем онлайн-митап “10+ вредных советов мобильному разработчику: как точно завалить проект и карьеру”. На нем опытные лиды и разрабы расскажут, какие действия обязательно затормозят твой промоушн и подожгут любой релиз.
Читать дальше →
Всего голосов 16: ↑14 и ↓2+16
Комментарии1

Security Week 2438: эксфильтрация данных через свист конденсаторов

Время на прочтение3 мин
Количество просмотров1.5K
Седьмого сентября исследователь Мордехай Гури опубликовал новую работу, предложив атаку PIXHELL — очередной метод эксфильтрации данных из компьютера, изолированного от Интернета и локальной сети. Гури — известный специалист по решению задач такого рода. За последние 10 лет он опубликовал минимум два десятка работ. Все они так или иначе решают следующую проблему: есть компьютер с особо секретными данными, отключенный от сети. Мы предполагаем, что на этом ПК каким-то образом удалось запустить вредоносное программное обеспечение, способное собрать секретную информацию. Осталось выяснить, как ее оттуда извлечь. Очевидные способы (подкупить сотрудника, заслать в охраняемое помещение шпиона) Мордехай Гури отметает как слишком скучные и вместо этого изобретает все новые нетривиальные подходы, которые наверняка учитываются в наиболее параноидальных сценариях защиты информации.



Во всех своих работах Мордехай Гури описывает несколько общих способов организации скрытного канала передачи информации: это звук, свет, тепло, магнитное и электромагнитное излучение. Свежая работа описывает создание акустического канала эксфильтрации. Самый простой метод такого рода был описан в 2018 году: через динамики ноутбука или даже PC Speaker на материнской плате десктопа воспроизводятся аудиосигналы высокой частоты, которые люди в помещении, скорее всего, не услышат. Свежее исследование организует акустический канал чуть более сложным образом, используя паразитный шум электронных цепей компьютерного монитора.
Читать дальше →
Всего голосов 3: ↑3 и ↓0+8
Комментарии6

Спидран карьеры software-архитектора

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров10K
О software-архитекторах сейчас не говорит только ленивый. По мере усложнения структуры современных приложений команды разработки все больше нуждаются в «дирижере» для своего «оркестра», в специалисте, который предсказывает, какими нефункциональными требованиями будет обладать система и как довести ее до нужных характеристик.



Однако у рядового разработчика вопросов о сути работы «софтварных» архитекторов нередко остается больше, чем ответов:

Чем именно архитектор занимается? Какими навыками должен обладать? Да и как им вообще можно стать?

На наш взгляд, развитие IT-специалиста можно сравнить с классическим мифическим путем героя: победил дракона — стал лидом.

Чтобы узнать, как этот «путь» выглядит в архитектуре ПО, мы пообщались с Анной Мелеховой (AnnaTref), Software Architect & Software Development Group Manager в KasperskyOS — собственной микроядерной операционной системе «Лаборатории Касперского». Мы пройдем путь героя вместе: посмотрим на основные карьерные треки, выявим их особенности и выясним, каких драконов надо победить. Поехали!

Читать дальше →
Всего голосов 34: ↑29 и ↓5+27
Комментарии8

Security Week 2437: уязвимость в ключах YubiKey 5

Время на прочтение3 мин
Количество просмотров1.4K
Важной новостью прошлой недели стало обнаружение достаточно серьезной уязвимости в аппаратных ключах YubiKey 5, используемых для многофакторной аутентификации, в том числе по стандарту FIDO. Исследователи из компании NinjaLab показали (сайт проекта, исследовательская работа, пересказ для простых смертных в издании Ars Technica), как можно, по сути, такой ключ клонировать и в дальнейшем получать доступ к сервисам ничего не подозревающей жертвы. Атаку назвали EUCLEAK.



Исследование представляет интерес скорее своей сложностью, а не потенциальными последствиями. Для успешной атаки требуется физический доступ к устройству. Более того, нужно будет разобрать устройство и поработать паяльником, а сама атака занимает (в худшем случае) около 10 часов. В случае если речь идет об особо ценной информации, впрочем, и такие усилия могут быть оправданы. Но настоящая заслуга NinjaLab заключается в том, что они нашли уязвимость в особо защищенном и очень хорошо протестированном микроконтроллере компании Infineon, который используется и в контроллерах YubiKey, и во многих других устройствах.
Читать дальше →
Всего голосов 4: ↑4 и ↓0+9
Комментарии0

Как я разрушил свои стереотипы об автотестах, или Мой путь от Appium до Kaspresso

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров1.9K

Всем привет!

Меня зовут Сергей Дударев, я руководитель направления автоматизированных тестов в департаменте мобильной разработки «Лаборатории Касперского». В этой статье хочу рассказать, как я прошел путь от Appium до open-source-фреймворка Kaspresso, с чего начинал, какие делал для себя открытия, как разрушались мои стереотипы и какие по итогу были сделаны выводы.

Читать далее
Всего голосов 14: ↑14 и ↓0+17
Комментарии1

Security Week 2436: SQL-инъекция для прохода в аэропорт без очереди

Время на прочтение3 мин
Количество просмотров5K
На прошлой неделе исследователи Сэм Карри и Иэн Кэрролл сообщили о серьезной уязвимости в одном из сервисов, используемых для обеспечения безопасности в аэропортах США. В этой стране контроль безопасности во всех аэропортах передан общей администрации, известной как Transportation Security Administration. TSA обеспечивает в том числе специальные программы TSA PreCheck, ускоряющие проход для обычных пассажиров. Для пилотов и членов экипажей, как правило, предусмотрена отдельная очередь. Как выяснили Карри и Кэрролл, для записи в «члены экипажа» существует отдельная система, открытая для ряда сторонних организаций. И в одном из таких сторонних сервисов обнаружилась довольно банальная уязвимость.



В исследовании речь идет не только о быстром прохождении через контроль безопасности в аэропортах. Помимо этой системы, известной как Known Crewmember, существует также база данных Cockpit Access Security System. Она позволяет получить доступ в кокпит самолета. Например, если пилот авиакомпании летит пассажиром, то он может воспользоваться свободным местом в кабине летного экипажа. Администрированием этих двух систем занимается коммерческая компания Collins Aerospace, но она по сути предоставляет API, в то время как реальными «пропусками» управляют отдельные авиакомпании. И вот здесь авторы исследования наткнулись на сервис FlyCASS. В то время как крупные авиакомпании имеют собственные проприетарные системы контроля доступа, FlyCASS предоставляет услуги более мелким операторам. На сайте FlyCASS.com для каждого из них предусмотрен отдельный личный кабинет.
Читать дальше →
Всего голосов 7: ↑7 и ↓0+12
Комментарии1

Security Week 2435: долгоживущие уязвимости в продуктах Microsoft

Время на прочтение4 мин
Количество просмотров1.4K
На прошлой неделе специалисты «Лаборатории Касперского» опубликовали отчет об эволюции уязвимостей в ПО за второй квартал 2024 года. Отчет основан на статистике из внешних источников и собственных данных компании. Особый интерес представляет статистика уязвимостей, эксплуатировать которые пытается реальное вредоносное ПО. Судя по этим данным, киберпреступники достаточно активно эксплуатируют несвежие проблемы в популярном программном обеспечении. В частности, пользователи компьютеров под управлением Windows чаще всего сталкиваются с эксплойтами, нацеленными на уязвимости, обнаруженные и закрытые от трех до семи лет назад. Эксплойты под Linux чаще нацелены на более свежие уязвимости в ядре ОС.


Совершенно противоположную картину демонстрирует статистика по часто эксплуатируемым уязвимостям в таргетированных атаках, нацеленных на бизнес. В этом случае в TOP 10 уязвимостей представлено куда больше недавно обнаруженных проблем, включая, например, уязвимость в VPN-сервере Ivanti Connect Secure. Помимо общей статистики, авторы отчета также выбрали три наиболее «интересные» уязвимости среди обнаруженных во втором квартале 2024 года.
Читать дальше →
Всего голосов 5: ↑5 и ↓0+12
Комментарии0

Как понять, что твой мидл готов стать сеньором? Гайд для тимлида (и не только)

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров24K
Новый грейд — это не просто лычка IT-спеца. По сути, это кульминация работы над задачами и решений различных кейсов, которыми он занимался на своей позиции. Но на этот новый уровень айтишник переходит не один.



Важным звеном в процессе повышения разраба зачастую оказывается тимлид — он как наставник должен навести «молодого джедая на путь истинный», помочь своему мидлу наконец-то стать сеньором-помидором (да простят меня хабровчане за космический пафос).

В «Лаборатории Касперского» существует устоявшийся и прозрачный пайплайн повышения мидлов — промоушен-комитет. В этой статье я подробно расскажу об этом процессе с точки зрения руководителя: от подготовки и сбора кейсов до получения кандидатом заветного грейда.

Читать дальше →
Всего голосов 47: ↑35 и ↓12+27
Комментарии66

Security Week 2434: уязвимое стороннее приложение в прошивке Google Pixel

Время на прочтение3 мин
Количество просмотров1.2K
На прошлой неделе компания iVerify обнародовала (оригинальное исследование, пост на Хабре) информацию об уязвимом приложении, которое устанавливалось на большинство смартфонов Google Pixel с сентября 2017 года. Приложение, известное как Showcase.apk, изначально было разработано по заказу сотового оператора Verizon и использовалось им для перевода телефона в специальный деморежим. Широкие привилегии приложения, невозможность удалить его стандартными методами теоретически позволяют перехватить контроль над устройством.



Главная претензия iVerify к приложению Showcase — небезопасный метод загрузки обновлений со стороннего сервера. При первом запуске программа обращается к серверу по незащищенному протоколу HTTP и скачивает обновления. Система верификации скачанного присутствует, но по факту не работает. Теоретически можно представить сценарий атаки типа man-in-the-middle, при котором Showcase.apk перенаправляется на сервер злоумышленника, скачивает оттуда вредоносное обновление и выполняет этот код с максимальными привилегиями.
Читать дальше →
Всего голосов 3: ↑3 и ↓0+8
Комментарии0

Можно ли стать Blue Team тимлидом за пять лет, или Работа в SOC: мифы и реальность

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров6.9K
Нет повести печальнее на свете, чем повесть о слухах про работу в мониторинге ИБ-инцидентов. Публичные спикеры и авторы книг часто поддерживают разные заблуждения о SOC: что он скучный, лишен по-настоящему интересных задач и не предполагает карьерного роста. Однако я уверен, что это не так!



Меня зовут Сергей Солдатов. Я — Head of Security Operations Center в «Лаборатории Касперского». За свою карьеру мне посчастливилось работать в разных ипостасях мира ИТ и ИБ, поэтому, наверное, в своих размышлениях я могу быть вполне объективен. Ну а если нет, надеюсь, коллеги-ветераны кибербеза поделятся своим мнением в комментариях :)

Мы подробно разберем основные заблуждения, связанные со сферой мониторинга инцидентов, а также рассмотрим, из каких конкретных задач состоит работа аналитика SOC и какой карьерный трек у него может быть.
Читать дальше →
Всего голосов 32: ↑30 и ↓2+33
Комментарии6

Security Week 2433: презентации на конференциях DEF CON/Black Hat

Время на прочтение4 мин
Количество просмотров1.3K
На прошлой неделе в Лас-Вегасе в США прошла очередная парная конференция DEF CON / Black Hat. Именно к этим двум ежегодным мероприятиям многие компании и частные исследователи в сфере информационной безопасности готовят свои наиболее интересные доклады. Сегодня мы коротко расскажем о семи презентациях, затрагивающих большой спектр тем: от серьезной уязвимости в процессорах AMD до методов шпионажа с использованием небезопасного робота-пылесоса.



Начнем с исследования компании SafeBreach Labs, в котором был показан способ деинсталляции обновлений Windows. В результате такой атаки потенциальный злоумышленник может заново сделать систему уязвимой для известных атак, заменяя часть системных файлов на устаревшие. При этом встроенное средство обновления будет показывать, что все доступные апдейты установлены. Компания Microsoft знает о данных проблемах с февраля этого года и официально идентифицировала две уязвимости (1,2). Патчи для них пока не выпущены.
Читать дальше →
Всего голосов 3: ↑3 и ↓0+5
Комментарии0

Да здравствует кастомный автозвук, или Мой DIY Bluetooth-пульт на основе ESP32

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров9.5K
Интернет вещей плотно вошел в нашу жизнь и используется повсеместно. Для меня же это возможность не только пользоваться, но еще и создавать разные умные устройства.



Меня зовут Евгений Глейзерман, я — Head of KasperskyOS IoT Protection Development в «Лаборатории Касперского». Отвечаю за различные IoT-продукты на собственной микроядерной операционной системе KasperskyOS: шлюзы, контроллеры, блоки телематики и т. д. А еще я иногда ковыряю устройства поменьше, на которые KasperskyOS пока установить нельзя. В данной статье хочу рассказать о своем хобби-проекте и поделиться возможностями esp-32 на примере DIY-девайса для автозвука: как я собрал пульт, регулирующий громкость по Bluetooth, взяв за основу популярный микроконтроллер.
Читать дальше →
Всего голосов 36: ↑35 и ↓1+39
Комментарии8

Security Week 2432: шифрование cookie в браузере Google Chrome

Время на прочтение4 мин
Количество просмотров2.2K

На прошлой неделе компания Google объявила об усилении защиты файлов cookie в браузере Google Chrome. Кража сессионных cookie активно практикуется вредоносным программным обеспечением. Зачастую это позволяет злоумышленникам сравнительно легко получить доступ к веб-сервисам (корпоративным или персональным), в которых залогинен пользователь, без кражи паролей к ним. В результате данные браузера становятся одной из главных мишеней инфостилеров. Улучшение касается Chrome под Windows. Начиная с версии браузера Chrome 127, будет внедрена система шифрования данных, ограничивающая доступ к ним со стороны других приложений.



Проблема, которую пытаются решить в Google, заключается в том, что информация, защищенная стандартным механизмом Data Protection API (DPAPI) в Windows, доступна любой другой программе, выполняемой с правами пользователя. В дополнение к этому в Chrome 127 реализована концепция шифрования, привязанного к конкретному приложению или Application-Bound Encryption. Отдельный сервис будет проверять обращения к файлам cookie и расшифровывать их, только если к ним обращается браузер.

Читать дальше →
Всего голосов 9: ↑9 и ↓0+15
Комментарии3
1
23 ...

Информация

Сайт
www.kaspersky.ru
Дата регистрации
Дата основания
Численность
5 001–10 000 человек
Местоположение
Россия