Если вы писали тесты на Espresso — тестовом фреймворке от Google с открытым исходным кодом, — то вы знаете, что они не всегда стабильны и легко читаемы. Меня зовут Ксения Никитина, я являюсь Android-разработчиком в мобильной команде «Лаборатории Касперского». В этой статье я предложу вам способ, как сделать так, чтобы ваши автотесты отвечали всем ключевым качествам: были хорошо читаемы, стабильны, логируемы, давали возможность делать скриншоты, работали с AndroidOS и, наконец, имели продуманную и понятную архитектуру.

На прошлой неделе в Таиланде прошла конференция Security Analyst Summit, организованная «Лабораторией Касперского». Одной из главных тем конференции стало исследование атаки, которая получила название «Операция Триангуляция». О ней стало известно в июне, когда эксперты «Лаборатории Касперского» сообщили об обнаружении сложной атаки на мобильные устройства Apple, принадлежащие сотрудникам компании.



В дополнение к презентации были также опубликованы два отчета: первый о —деталях расследования, второй — о работе двух вредоносных модулей. Подробно описанные этапы исследования вредоносной атаки, удачные и неудачные, представляют особый интерес.

На прошлой неделе стало известно о новом серьезном инциденте в компании Okta, которая предоставляет организациям ряд сервисов для аутентификации пользователей. Учетные записи Okta используют для внутренних сервисов множество компаний; подробности об инциденте сообщили две из них: Cloudflare и BeyondTrust. Официальное заявление самой пострадавшей компании достаточно лаконично, хотя в нем и указаны индикаторы компрометации.



Примечательно, что это не первый инцидент в Okta за этот год. В марте выяснилось, что инфраструктура компании была скомпрометирована группировкой LAPSU$. В обоих случаях злоумышленники смогли проникнуть во внутренний сервис технической поддержки Okta, хотя дальнейшие методы атаки на клиентов различались. И в том, и в другом случае компрометация внутренней инфраструктуры была обнаружена далеко не сразу.

В четверг, 26 октября, в 17:00 состоится онлайн-митап, посвященный JS-разработке: «Гетерогенность, или Деплой JavaScript туда и обратно».

На ивенте расскажем, как мы в «Лаборатории Касперского» развернули несколько веб-приложений в совершенно разных средах на единой кодовой базе, разберем построение В2В единой консоли — комплексного, сложного приложения; единую модель деплоймента для cloud-native-разработки и on-premise; а также разработку в распределенных командах (фича-тимы).

На прошлой неделе компания Google сообщила о том, что теперь для входа в сервисы компании опцией по умолчанию будут парольные ключи. Такие ключи (passkey) — это шаг в сторону полного отказа от паролей в сервисах компании. Данная фича была внедрена весной этого года, а теперь при каждом входе в сервис пользователи будут получать предложение создать ключи и использовать новую систему как основную.



Стандарт авторизации с помощью ключей был разработан альянсом FIDO и предполагает наличие уже авторизованного устройства для быстрого логина. Для пользователей это уже привычная схема: даже после ввода пароля многие сервисы предлагают отправить запрос на ранее залогиненный девайс и таким образом подтвердить личность пользователя. Разница только в том, что теперь пароль и вовсе не нужен.

Нейроград — первый виртуальный мегаполис, в который вот-вот прибудут пользователи. Но есть проблема — кто-то испортил внешний облик города.

Целевая атака? Козни тайного врага? Выясните, кто стоит за этим! А заодно — устраните все баги, обращая внимание на любые странные и необычные явления во внешнем облике города.

Как делать дизайн для бизнеса и больших корпораций по всему миру? В чем его отличие от дизайна для В2С? Какие есть особенности? В чем сложности работы и подводные камни? И может ли В2В быть интереснее и увлекательнее B2C?



Я заметила, что статей и выступлений о дизайне в В2С намного больше. Даже если в названии статьи так прямо не говорится, чаще всего описывается специфика или опыт именно работы над В2С-продуктами. Про В2В говорят намного меньше, хотя, на мой взгляд, это ничуть не менее интересно. А отдельный интерес — что советы и рекомендации для В2С не всегда применимы в В2В. Поэтому я решила исправить этот дисбаланс и побольше рассказать вам об опыте работы над В2В-продуктами из первых рук.

Можно ли использовать смартфон для подслушивания чужих переговоров? Ответ вроде бы очевиден: включай диктофон, подкрадывайся к объекту подслушивания и записывай. Исследователи из двух американских университетов попробовали решить эту задачу максимально сложным образом, не используя встроенный микрофон, а синтезируя звук из микровибраций в видеозаписи. Подробный отчет об атаке Side Eye был недавно опубликован. Авторы работы открыли новую атаку по стороннему каналу, которая впечатляет одновременно своей красотой и полной бесполезностью.



Сторонним каналом в данном случае служит система оптической стабилизации камер, применяемая в большинстве современных смартфонов. Ее схематическое изображение вы видите выше. Такая система предполагает, что светочувствительная матрица и/или линзы в объективе выполнены на подвижной платформе и могут компенсировать дрожание камеры. Как выяснилось, она вполне может фиксировать вибрации от близлежащего источника звука и сохранять в видеоданных. Если у вас есть видео без звука, оказывается, вы можете восстановить диалог находящихся возле камеры людей. Но возможно это с большим количеством допущений, оговорок и текста мелким шрифтом.

Как говорится, спроси пять программистов, что такое функциональное программирование, получишь шесть разных ответов. В целом это программирование через функции в их математическом понимании, то есть когда функция принимает что-то на вход и что-то возвращает на выходе, не меняя глобального состояния.

В своей команде — команде разработки инструментов для разработчиков под KasperskyOS — мы создаем разные интересные консольные утилиты, эмулятор, обеспечиваем интеграцию с IDE и так далее. И для этого мы используем разные языки — C++, C, TypeScript; но больше всего пишем на Python.



В этой статье, которая написана по следам моего выступления на конференции PiterPy, я обращаюсь к практикующим разработчикам — расскажу о том, какие функциональные приемы можно использовать в этом языке. Сконцентрируюсь на практике — на тех примерах, которые можно использовать уже буквально сейчас, не переписывая свой проект.

На прошлой неделе журналисты издания 404 Media написали про адаптер для подключения смартфона Apple к внешнему монитору или телевизору с крайне сомнительным поведением с точки зрения приватности пользователя. Выскажемся конкретнее: такие устройства вообще не должны существовать, но этот переходник — далеко не единственный пример техники, которая в принципе не заботится о защите личных данных пользователя.



По внешнему виду и дизайну упаковки китайский адаптер максимально копирует официальный (и традиционно дорогой) переходник «Lightning to HDMI» компании Apple. Но если последний действительно является «безмозглым» переходником, то безымянное устройство вызывает массу подозрений уже при первом подключении к iPhone. Потому как смартфон попросит вас «разрешить подключение к компьютеру». И после этого все становится только хуже.

Всем привет!

Меня зовут Паша Востриков, я делаю на JS/TS много разного в «Лаборатории Касперского»: фронт, облачные сервисы (Node.js), штуки для коробочной поставки (OnPrem), платформенные компоненты и библиотеки. И, конечно же, Open Source.

Сегодня хотел бы затронуть тему отладки веб-приложений на JavaScript.

Итак, как отлаживаться? Как-как? console.log(1)

Привет, Хаброжители! Продолжаем делиться с вами экспертизой отдела Security services infrastructure (департамент Security Services компании «Лаборатории Касперского»).
Предыдущую статью нашей команды вы можете прочесть вот здесь: Keycloak. Админский фактор и запрет аутентификации

В этой части продолжим настраивать IAM с упором на отказоустойчивость и безопасность. Статья рассчитана на людей, которые ранее были знакомы с IAM и, в частности, с keycloak-ом. Поэтому в этой части не будет «базы» по SAML2, OAuth2/OIDC и в целом по IAM (на Хабре есть хорошие статьи на эту тему). Также для понимания данной статьи необходимы знания базовых абстракций kubernetes и умение читать его манифесты.



Рассмотрим два кейса:

1. Как в свежей версии keycloak (v.22.0.3) настроить отказоустойчивость при развертывании в k8s в режиме standalone-ha.
2. Как закрыть ненужные векторы атаки, ограничив пользователям доступ только до нужных путей, но оставив возможность админам заходить на консоль админки keycloak.

18 сентября издание 404media опубликовало интересный репортаж из казино группы MGM в Лас-Вегасе (США). Ранее эта компания, управляющая 14 отелями и казино в столице азартных игр, подверглась атаке кибервымогателей, которые потребовали выкуп за восстановление работоспособности ее IT-систем. Другая подобная организация, Caesars, подверглась аналогичной атаке, но в итоге решила заплатить выкуп в размере 15 миллионов долларов. Репортаж 404media предоставляет достаточно редкую возможность узнать, каковы могут быть последствия успешной, деструктивной кибератаки на публичный бизнес.


Хочется добавить «публичный бизнес, зависящий от IT», но на самом деле трудно представить себе организацию, которая от современных технологий не зависела бы. Главная мысль публикации заключается в том, что для посетителей казино MGM кибератака привела к ряду относительно мелких неудобств. А вот для сотрудников компании недоступность множества компьютерных систем превратилась в настоящий кошмар. Многие ранее автоматизированные операции пришлось проводить вручную — от контроля доступа в гостиницы до продажи фаст-фуда.

«На стажировке не дают реальных задач», «Тебя и близко к реальному проекту не подпустят!», «Лидам некогда с тобой нянчиться: ошибешься — и на выход!», «Даже если возьмут в штат, все равно будешь „принеси-подай”». Так многие думают про стажировки в IТ-компаниях.



Чтобы развеять стереотипы, мы подготовили три честных истории от сотрудников «Лаборатории Касперского», которые в свое время проходили стажировку Kaspersky Safeboard. Они разбирают реальные кейсы из своей практики и рассказывают, как этот опыт помог им в дальнейшей работе. А какое решение их кейсов предложили бы вы?

Если вы последние лет 20 катаетесь на старом, но надежном автомобиле, легко упустить из внимания тот момент, что современные авто, даже бюджетные, теперь оснащены полноценным компьютером (и не одним), а также постоянно подключены к Интернету. В начале сентября организация Mozilla Foundation провела исследование приватности современных авто, и выводы из него были сделаны, мягко говоря, не радужные.


Идея исследования Mozilla Foundation была достаточно простая (и не лишенная недостатков). По сути специалисты внимательно прочитали различные пользовательские соглашения, предлагаемые владельцам авто разных марок. Эти тексты создают опытные команды юристов, и в них не всегда отражается реальное положение дел со сбором данных. Впрочем, обобщенные и обтекаемые формулировки делают только хуже: кажется, что автопроизводители знают о нас все и могут делать с информацией что угодно, начиная с автоматического распространения политик сбора данных на всех пассажиров вплоть до сбора информации о «сексуальной жизни» владельцев авто.

6 сентября компания Microsoft поделилась результатами расследования киберинцидента, обнаруженного ранее в июле этого года. Тогда стало известно об успешном взломе почтовых систем 25 организаций — с использованием поддельных токенов доступа.


И сам инцидент, и результаты расследования представляют большой интерес. Речь идет о действиях хорошо подготовленной группировки, которая воспользовалась далеко не самым простым способом взлома корпоративной переписки. Последовавшее за взломом расследование также дает уникальный шанс понять, как такие инциденты становятся возможными в очень крупных организациях с большими затратами на защиту корпоративной инфраструктуры.

29 августа компания VMware закрыла критическую уязвимость в сервисе VMware Aria Operations for Networks. Этот сервис обеспечивает мониторинг облачной инфраструктуры предприятия и по своей природе должен обладать доступом к этой самой инфраструктуре. Тем опаснее проблема для организаций, использующих данный инструмент. Уязвимость с идентификатором CVE-2023-34039 получила близкий к максимальному рейтинг опасности 9,8 балла по шкале CVSS v3.



Проблема подробно рассмотрена в отчете команды Summoning Team. В официальном описании уязвимости сказано, что она позволяет обойти систему авторизации. Но независимый отчет наглядно показывает, что произошла достаточно распространенная ошибка: в сервисе версий 6.0–6.10 были намертво вшиты ключи авторизации по протоколу SSH.

Вы пишете автотесты? Ваш проект с автотестами огромен и монструозен, и добавление каждого нового сервиса в него приносит нестерпимое желание все удалить и написать заново? У вас есть базовый класс на 3000+ строк с методами на все случаи жизни? Или, возможно, вам приходилось исправлять множество тестов, чтобы добавить одну и ту же строчку в каждом из них?



Если хотя бы на часть вопросов вы ответили положительно, если в целом они знакомы вам не понаслышке или же вы просто давно хотите оптимизировать свой тестовый проект, но не знаете, с чего начать — эта статья для вас! Сегодня я хочу поговорить про паттерны и прочие сложные вещи, о которых тестировщики часто совсем не задумываются.

Привет, Хабр и его жители! Я, Максим Санджиев, представляю отдел, занимающийся развитием, поддержкой и безопасностью инфраструктуры в департаменте Security Services компании «Лаборатории Касперского». У нас в отделе накопилась «нестандартная» экспертиза по работе с vault, IAM (keycloak), rook-ceph, minio s3, prometheus, k8s и многими другими инструментами OPS/SecOps/SRE. Хотели бы с вами поделиться нашими ресерчами, идеями, самописными разработками и получить фидбэк на наши реализации. Начнем с кейсов по работе с IAM.



Эта статья рассчитана на людей, которые ранее были знакомы с IAM и, в частности, с keycloak-ом. Поэтому в этой части не будет «базы» по SAML2, OAuth2/OIDC и в целом по IAM (на Хабре есть хорошие статьи на эту тему).

Рассмотрим два кейса:

• Есть учетная запись (УЗ) в keycloak с правами админа на какой-то веб-ресурс. Как, используя keycloak, сделать так, чтобы для входа админу требовался дополнительный фактор аутентификации?
• Есть веб-ресурс (client в терминологии keycloak). Как дать доступ к этому веб-ресурсу средствами keycloak на этапе аутентификации определенной группе пользователей (в ситуации, когда это не реализовано самим приложением)?

Кибератака на сервис обмена файлами MOVEit вполне может оказаться самым масштабным инцидентом в сфере информационной безопасности в этом году. По обновленным на прошлой неделе сведениям компании Emsisoft, число организаций, данные которых были украдены с использованием критической уязвимости в MOVEit, достигло 1000.



Этот же отчет содержит и грубую оценку количества пострадавших пользователей, чьи данные утекли в результате кибератак, — более 60 миллионов. Такой масштаб утечек связан с несколькими причинами. Во-первых, MOVEit внедряется на стороне организации, что позволяет по иронии соблюдать строгие требования по защите информации и не использовать обычные облачные сервисы. Это, в свою очередь, приводит к задержкам в установке патчей. Во-вторых, в ПО были обнаружены несколько серьезных уязвимостей подряд, причем как минимум одна из них уже эксплуатировалась на момент обнаружения.