Как стать автором
Обновить
157.83
Рейтинг
Digital Security
Безопасность как искусство
Сначала показывать
  • Новые
  • Лучшие

Готовим iOS-устройство к пентесту

Блог компании Digital Security Информационная безопасность *
Tutorial
image

К Digital Security часто обращаются за аудитом iOS-приложений, поэтому мы решили сделать цикл статей про наш подход в этой области. И в первой из них расскажем о выборе и подготовке устройства для проведения тестирования приложений.

Какие вопросы рассмотрим:

  1. Выбор устройства: эмулятор VS симулятор VS реальный девайс, на что обращать внимание при выборе;
  2. Jailbreak: зачем нужен, разновидности, как сделать Jailbreak-устройство;
  3. Арсенал пентестера: что мы устанавливаем, и зачем это нужно.
Читать дальше →
Всего голосов 24: ↑24 и ↓0 +24
Просмотры 3K
Комментарии 0

Новости

Summ3r of h4ck 2021. Итоги программы

Блог компании Digital Security Информационная безопасность *Карьера в IT-индустрии

Было ли ваше лето настолько же продуктивным, как у стажеров Digital Security? Вопрос с подвохом, конечно. Сегодня поделимся впечатлениями наших стажеров и кураторов о летней обучающей программе Summ3r 0f h4ck 2021.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 592
Комментарии 0

Социальная инженерия: а вы точно курьер?

Блог компании Digital Security Информационная безопасность *
В одной из последних статей мы рассуждали об изменениях в сценариях социальной инженерии, которые спровоцировала мировая пандемия COVID-19. Разумеется, все тонкости рассмотреть в рамках одной публикации невозможно, поэтому сегодня продолжим нашу беседу и расскажем об особенностях физического проникновения злоумышленника на территорию компании. Не лишним будет еще раз напомнить о мерах безопасности, которые должен предпринимать каждый, чтобы не стать невольной жертвой.



Подчеркнем, что хотя наши рекомендации направлены на поддержание бдительности сотрудников компаний, общественности их также стоит взять на вооружение.
Читать дальше →
Всего голосов 25: ↑24 и ↓1 +23
Просмотры 7.6K
Комментарии 27

System Management Mode: From Zero to Hero

Блог компании Digital Security Информационная безопасность *

Автор статьи Закиров Руслан @backtrace

Исследования в области безопасности UEFI BIOS уже не являются чем-то новомодным, но в последнее время чувствуется некоторый дефицит образовательных материалов по этой теме (особенно — на русском языке). В этой статье мы постараемся пройти весь путь от нахождения уязвимости и до полной компрометации UEFI BIOS. От эксплуатации execute примитива до закрепления в прошивке UEFI BIOS.

Предполагается, что читатель уже знаком с основами UEFI BIOS и устройством подсистемы SMM.

Читать далее
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 1.6K
Комментарии 0

Социальная инженерия в эпоху социальной изоляции

Блог компании Digital Security Информационная безопасность *
image

Мир изменился. Я чувствую это в воде, чувствую это в земле, ощущаю в воздухе. Многое из того, что было — ушло. И не осталось тех, кто помнит об этом.

Пандемия изменила привычный уклад жизни огромного количества людей и подкинула проблем в самых разных сферах. Одна из этих сфер — информационная безопасность. Первостепенной задачей стал перевод сотрудников на удаленное место работы без потерь (здесь мы писали о рисках ИБ удаленного офиса). Затем последовал всплеск атак, связанных с дистанционным выполнением операций и возросшей популярностью онлайн-шоппинга и разнообразных онлайн-сервисов. Также обострились проблемы фишинга и социальной инженерии.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 3K
Комментарии 1

Открыт набор на Summ3r 0f h4ck 2021

Блог компании Digital Security Информационная безопасность *Карьера в IT-индустрии


Нам часто приходят вопросы о том, как молодому и амбициозному специалисту по информационной безопасности попасть в команду Digital Security. Так вот наша летняя обучающая программа Summ3r 0f h4ck — это отличная возможность. И вы ещё успеваете подать заявку.
Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 1.4K
Комментарии 0

Выбираем методы активной защиты с помощью MITRE

Блог компании Digital Security Информационная безопасность *

В поле нашего зрения попала матрица Shield от MITRE, в которой приводятся тактики активной защиты от действий злоумышленников. В отличие от матрицы ATT&CK, которую многие знают, уважают и используют, Shield не так хорошо известна. Тем не менее, описанные в ней тактики помогут более эффективно противостоять атакам.

Злоумышленники очень изобретательны и редко пасуют перед трудностями. Поэтому методы активной защиты, подразумевающие изучение их поведения, отслеживание действий и реагирование в реальном времени всегда будут актуальны.

Привычная всем нам классификация методов защиты выглядит следующим образом:

Читать далее
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 2.6K
Комментарии 0

Приглашаем на ZeroNights 2021

Блог компании Digital Security Информационная безопасность *Конференции
Этим летом ZeroNights – меж­дународ­ная кон­ферен­ция, пос­вящен­ная прак­тичес­ким аспектам информа­цион­ной безопас­ности, состоится уже в юбилейный десятый раз. Но толь­ко в 2021-м году идея, скры­тая в наз­вании ZeroNights, впер­вые будет исполне­на настолько точно: белые ночи, лето, Петербург и толь­ко «Hackers in the area».


Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 1.4K
Комментарии 1

Burp и его друзья

Блог компании Digital Security Информационная безопасность *

В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили список тех, которые сами чаще всего используем в работе.


img

Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Просмотры 8.5K
Комментарии 3

Что нового от MITRE? Атаки на системы машинного обучения

Блог компании Digital Security Информационная безопасность *Машинное обучение *

Сегодня компьютеры пишут тексты и сочиняют стихи, создают картины и обрабатывают фотографии. Роботы не только умеют самостоятельно двигаться, но даже помогают врачам проводить операции. Все это возможно благодаря технологиям искусственного интеллекта, одним из разделов которого является машинное обучение.


Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 2.6K
Комментарии 0

Байки из склепа. Рассказываем, как не стоит обращаться с чувствительными данными

Блог компании Digital Security Информационная безопасность *

Предлагаем снова поговорить о безопасности данных в веб-приложениях. Пользовательские данные — это драгоценный ресурс, утрата которого сулит целый ряд последствий с варьирующейся степенью серьезности. Но в очередной раз читать про пароли или рассматривать классические фишинг-примеры большинству пользователей будет скучно — этой информации в сети предостаточно. Поэтому сегодня мы расскажем вам несколько нетипичных историй, с которыми пришлось столкнуться нашим экспертам.


Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 3.6K
Комментарии 0

34 аббревиатуры для систем защиты информации

Блог компании Digital Security Информационная безопасность *

Давайте начнем с одного простого и уже всем набившего оскомину тезиса: информационные технологии беспрестанно развиваются. Помимо очевидных преимуществ, которые влекут за собой подобные качественные изменения, существует и ряд вполне очевидных трудностей. Наиболее релевантным из них для нас, как ИБ-специалистов, является усложнение систем защиты информации.


Если когда-то давно можно было обойтись простым разграничением доступа и шифрованием конфиденциальной информации, то сейчас так сразу и не разберешься, что именно использовать. К некоторым аббревиатурам (вроде IPS, DLP и WAF) уже многие привыкли. Однако копнешь чуть глубже – откроется невиданный мир многофункциональных систем защиты и маркетинга. Разберемся, что же значат все эти модные аббревиатуры и что за ними скрывается.


Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 5.8K
Комментарии 0

Онлайн-встреча по информационной безопасности Digital Security ON AIR

Блог компании Digital Security Информационная безопасность *Конференции


29 октября приглашаем на вторую онлайн-встречу по информационной безопасности Digital Security ON AIR.

Поговорим о Kubernetes, С2 фреймворках в контексте Red Team, исследовании прошивок UEFI BIOS и уязвимостях инфраструктуры эквайринга. Начало в 17:00 (МСК). Вход свободный.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 672
Комментарии 0

Укрощение Горыныча 2, или Символьное исполнение в Ghidra

Блог компании Digital Security Информационная безопасность *Реверс-инжиниринг *


С удовольствием и даже гордостью публикуем эту статью. Во-первых, потому что автор — участница нашей программы Summ3r of h4ck, Nalen98. А во-вторых, потому что это исследовательская работа с продолжением, что вдвойне интереснее. Ссылка на первую часть.


Добрый день!


Прошлогодняя стажировка в Digital Security не оставила меня равнодушной к компании и новым исследованиям, так что в этом году я взялась поработать над проектом так же охотно. Темой летней стажировки «Summer of Hack 2020» для меня стала «Символьное исполнение в Ghidra». Нужно было изучить существующие движки символьного исполнения, выбрать один из них и реализовать его в интерфейсе Ghidra. Казалось бы, зачем, ведь в основном движки представляют собой самостоятельные решения? Этот вопрос будет возникать до тех пор, пока не попробовать то, что автоматизирует действия и сделает их наглядными. Это и стало целью разработки.


Статья в какой-то степени является еще и продолжением статьи моего наставника, Андрея Акимова, о решении Kao’s Toy Project с Triton. Только сейчас нам не придется писать ни строчки кода – решить крякми можно будет практически двумя кликами.


Итак, начнем по порядку.

Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 2.6K
Комментарии 0

Summ3r of h4ck 2020. Итоги программы

Блог компании Digital Security Информационная безопасность *
Лето закончилось, и вместе с ним закончилась и наша программа Summ3r of h4ck 2020. Пришло время подвести итоги и посмотреть, чего же добились за этот месяц наши подопечные. Об их исследованиях и впечатлениях от Digital Security и будет рассказано в этой статье.


Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 1.4K
Комментарии 1

DevSecOps: организация фаззинга исходного кода

Блог компании Digital Security Информационная безопасность *DevOps *


Узнав результаты голосования, проведённого в одной из наших прошлых статей, мы решили более подробно обсудить вопрос организации фаззинга. Кроме того, в рамках онлайн-встречи по информационной безопасности "Digital Security ON AIR" мы представили доклад, основанный на нашем опыте в DevSecOps, где также рассказали об этой интересной теме.


Записи всех докладов можно посмотреть на нашем Youtube-канале. Если же вы предпочитаете текстовый формат, добро пожаловать под кат!

Читать дальше →
Всего голосов 21: ↑21 и ↓0 +21
Просмотры 7.4K
Комментарии 2

3D Secure, или что скрывают механизмы безопасности онлайн-платежей

Блог компании Digital Security Информационная безопасность *Платежные системы *


Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.


Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure. Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment). VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.

Читать дальше →
Всего голосов 23: ↑23 и ↓0 +23
Просмотры 19K
Комментарии 31

Уязвимости PHP-фреймворков

Блог компании Digital Security Информационная безопасность *PHP *


10 июня компания Digital Security провела онлайн-встречу по информационной безопасности Digital Security ON AIR. Записи докладов можно посмотреть на Youtube-канале.


По материалам докладов мы выпустим цикл статей, и первая из них — об уязвимостях PHP-фреймворков уже ждет под катом.

Всего голосов 37: ↑34 и ↓3 +31
Просмотры 11K
Комментарии 20

Вебинар «Secure SDLC: безопасность как фундаментальный аспект разработки»

Блог компании Digital Security Информационная безопасность *Управление разработкой *


28 июля в 11:00 (МСК) приглашаем на вебинар Digital Security, где рассмотрим процесс Secure SDLC со всех сторон.
Читать дальше →
Рейтинг 0
Просмотры 548
Комментарии 0

(Без)умные устройства: топ-10 уязвимостей IoT от OWASP

Блог компании Digital Security Информационная безопасность *Умный дом

Не секрет, что реализация механизмов безопасности IoT-устройств далека от совершенства. Известные категории уязвимостей умных устройств хорошо описаны в Top IoT Vulnerabilities от 2018 года. Предыдущая версия документа от 2014 года претерпела немало изменений: некоторые пункты исчезли совсем, другие были обновлены, появились и новые.


Чтобы показать актуальность этого списка, мы нашли примеры уязвимых IoT-устройств для каждого типа уязвимостей. Наша цель – продемонстрировать риски, с которыми пользователи умных устройств сталкиваются ежедневно.


Уязвимые устройства могут быть совершенно разными – от детских игрушек и сигнализаций до автомобилей и холодильников. Некоторые устройства встречаются в нашем списке не один раз. Все это, конечно же, служит показателем низкого уровня безопасности IoT-устройств вообще.



За подробностями следуйте под кат.

Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 4.4K
Комментарии 7

Информация

Дата основания
Местоположение
Россия
Сайт
dsec.ru
Численность
51–100 человек
Дата регистрации