Как стать автором
Обновить
943.02

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

Ликбез по разрешениям в Android

Уровень сложностиПростой
Время на прочтение24 мин
Количество просмотров562

В быстро меняющемся мире мобильных технологий операционная система Android занимает особое место благодаря своей универсальности и обширному спектру возможностей. Одним из ключевых элементов, обеспечивающих безопасность и неприкосновенность личных данных пользователей Android, является система разрешений. Разрешения Android контролируют взаимодействие приложений с операционной системой и доступ к пользовательским данным, создавая безопасную и контролируемую среду, в которой функциональность и защита находятся в гармонии.

Читать далее

Новости

Rust: объясняем Владение и Субструктурные типы на пальцах

Время на прочтение14 мин
Количество просмотров1.3K

Системы типов помогают разработчикам создавать надежные и безопасные программы. Однако такие термины, как «субструктурные типы» или «владение», нередко кажутся сложными и трудными для понимания, особенно для тех, кто не сталкивался с теорией типов в академической среде.

Новый перевод от команды МойОфис расскажет вам, как субструктурные типы и система владения в Rust помогают создавать безопасные и эффективные программы. Автор разбирает ключевые теоретические аспекты, выясняет, какие преимущества они предоставляют, и показывает, почему их использование становится неотъемлемой частью разработки современных языков. Вы узнаете, как субструктурные типы помогают обеспечивать безопасность и жизнеспособность программ, а также познакомитесь с идеями и проблемами их внедрения на практике.

Читать далее

Взлом гиганта: как я нашел уязвимость в поддомене Google и попал в «зал славы» багхантеров

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров3.9K

Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google.

В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.

Читать далее

Есть ли необходимость в автоматизации тестирования на проникновение

Время на прочтение10 мин
Количество просмотров616

Несмотря на постоянно растущий спрос на решения для информационной безопасности, число успешных кибератак на организации по всему миру ежегодно увеличивается. По нашим данным, в 2023 году этот показатель вырос на 18%, и, судя по тенденциям 2024 года, этот рост продолжится. Одна из причин – повсеместная цифровизация. Компании автоматизируют процессы и внедряют новые продукты и сервисы, что ведет к увеличению числа цифровых активов, которые могут стать уязвимым местом в инфраструктуре.

В этой статье поговорим про зрелость информационной безопасности в российских компаниях, покажем, хорошо ли они справляются с кибератаками, есть ли у них планы по развитию ИБ на ближайшие пять лет и готовы ли они переходить от ручного тестирования на проникновение (пентеста) к автоматизации этого процесса.

Читать далее

Истории

Что важно учесть при написании отчета по пентесту и за что платит заказчик – делимся экспертизой

Время на прочтение11 мин
Количество просмотров382

После завершения любого проекта (по пентесту, анализу защищенности, Red Teaming и др.) специалисты приступают к самому душному увлекательному этапу – к написанию отчета. Казалось бы, ничего особенного – нужно всего лишь свести в единый документ все свои достижения. Но правда жизни такова, что именно отчет выступает итоговым результатом работ, который видит заказчик и по которому он будет судить о качестве проделанной работы. То есть, какие бы суперисследования мы ни провели, какие бы крутые баги ни нашли, заказчик никогда не узнает, какие мы молодцы, солнышки, котики профессионалы, если полученные результаты с их экспертной оценкой не будут понятно, структурировано и в полном объеме изложены в отчете. А это далеко не всегда простая задача.

В этом посте поделимся некоторыми нюансами и особенностями, которые мы учитываем при подготовке отчетов.

Читать далее

Три мушкетера из мира DevSecOps. Внедряем инструменты для развития AppSec-процессов

Уровень сложностиСредний
Время на прочтение12 мин
Количество просмотров840

Привет, Хабр! С вами Максим Коровенков, DevSecOps Lead в Купер.техе. Продолжаем цикл статей про построение DevSecOps с нуля. Это большой гайд from zero to, надеюсь, hero.

Читать далее

Фундаментальная проблема TLS/SSL или как потерять доверие к доверенным центрам

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров3.6K

Сегодня HTTPS считается де-факто стандартом для безопасного сёрфинга веб-страниц, но знаете ли вы о подводных камнях, на которые мы натыкаемся в самый неудобный момент? Сегодняшняя статья расскажет о самой главной из них, а так же о способе её исправления.

Поехали!

Эти штрафы навсегда отобьют желание вести бизнес: что должен успеть предприниматель до 30 мая, чтобы уменьшить риски

Уровень сложностиСредний
Время на прочтение3 мин
Количество просмотров4.3K

Уже поняли про что речь? Верно, про утечку. Если быть точнее, про утечку персональных данных из компании. Лет 10 назад это понятие не вызывало откровенно негативных чувств. С недавних пор оно неразрывно с тревогой и печалью, а буквально через полтора месяца уже будет навевать гнев и нести опустошение: не только эмоциональное, но и финансовое, ибо новые штрафы за утечку персональных данных вырастут до астрономических значений.

Какие еще штрафы будет выписывать РКН

Встроенные механизмы безопасности для объектов КИИ: что это, как помогает и зачем мы в это вкладываемся?

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров527

Привет Хабр! Меня зовут Константин Закатов, я работаю в «ПК Аквариус» директором департамента по информационной безопасности. Количество киберугроз растет, поэтому необходимо постоянно модернизировать и адаптировать подходы к защите оборудования на объектах критической информационной инфраструктуры (КИИ). Один из ответов текущие вызовы - внедрение встроенных механизмов безопасности.
В этой статье объясню, что представляют собой эти встроенные механизмы безопасности, и расскажу, в каком направлении они развиваются на примере решений нашей компании.

Компания «Аквариус» - вендор, который разрабатывает и производит широкий спектр ИТ-оборудования, а также реализует комплексные ИТ-проекты федерального масштаба, включая решения в области кибербезопасности. Мы - его сотрудники - видим, что вопросы безопасности становятся критически важными на каждом этапе жизненного цикла ИТ-систем. Мировой рынок давно использует различные встроенные и неотделимые механизмы, такие как TPM и проприетарные чипы безопасности. Давайте разберёмся, как добиться похожего уровня у нас в стране на практике.

Для построения надёжной и безопасной информационной инфраструктуры требуется соединить компетенции по разработке средств вычислительной техники и экспертизу в области информационной безопасности.

Годами мы жили в мире, где базовые инструменты информационных систем были придуманы и спроектированы вне нашего поля зрения. Мы потребляли только готовый продукт, зачастую не отвечавший требованиям отечественных нормативных документов. Однако, поступательное движение нашей нормативной базы по локализации разработки и производства даёт свои плоды – мы научились создавать гораздо больше сами, а не только пользоваться готовыми технологиями. Тем самым мы движемся в сторону технологического суверенитета.

Аналогию технологическому суверенитету можно найти в области продуктовой безопасности: множество требований регламентируют обязанность любых иностранных производителей локализовывать свою продукцию на территории нашей страны, будь то йогурт или сладости. Так почему же мы не должны в областях промышленности, которые имеют критическое значение для нашей страны, действовать схожим образом? И если лет 10-15 назад мы говорили о встраивании отдельных элементов безопасности в иностранную технику, потому что мы не обладали достаточными компетенциями, то сейчас нам под силу реализовать сложные, но крайне необходимые элементы «по умолчанию» в отдельных элементах инфраструктуры и обеспечить их жизненный цикл в рамках всей системы.

Читать далее

Как мы ускорили ванильную FreeIPA в 20 раз!!! (почти)

Уровень сложностиСредний
Время на прочтение16 мин
Количество просмотров3.5K

В статье речь пойдет об ALD Pro (Astra Linux Domain Pro).
Один заказчик попросил предоставить инструмент нагрузки LDAP-запросов, да не простой, а с GUI и графиками.

Наша команда в своей работе активно использует open source инструмент нагрузочного тестирования Locust (англ. Саранча). Сам по себе Locust является ядром нагрузки с минимальным функционалом из коробки, но этот функционал расширяется за счет использования Locustfiles, которые пишутся на чистом Python, что позволяет не ограничиваться набором инструкций, как, например, в Dockerfile/Containerfile/Vagrantfile, а писать отдельные Python-модули.
На создании инструмента нагрузки ничего не закончилось, а все только началось.

Мы нагрузили ALD Pro, получили графики и...обнаружили катастрофу.

Читать далее

Security Week 2512: кибератаки на гостиничный бизнес

Время на прочтение3 мин
Количество просмотров385
На прошлой неделе компания Microsoft опубликовала подробный отчет о кибератаках, ориентированных на владельцев гостиниц, зачастую неизбежно работающих с сервисом Booking.com. Целью атак является кража учетной записи в этом сервисе с последующим доступом к платежным средствам и, возможно, атакам уже на гостей.



Интересной особенностью данной киберкриминальной кампании является использование достаточно популярного в последнее время приема, когда под видом «верификации пользователя» жертве предлагают скопировать и запустить вредоносный скрипт. Для этих атак наконец-то придумали название: ClickFix. Термин намекает на еще один метод маскировки кибератаки: под средство решения каких-то надуманных проблем с компьютером.
Читать дальше →

Теневая сторона драгоценностей: Diamond & Sapphire Ticket

Уровень сложностиСложный
Время на прочтение8 мин
Количество просмотров392

Вы уже разобрали Silver и Golden Ticket? Это лишь прелюдия. 

Diamond & Sapphire — последние «сокровища» в цепочке уязвимостей с билетами.

В статье рассмотрим:
✅ Эволюция атак: от серебра с золотом — к алмазам и сапфирам.
✅ Хакерский workflow: как создать "драгоценные" билеты.
✅ Противостояние: артефакты и детекторы на Sigma, чтобы ловить даже призрачные следы.

Читать далее

AppSec 2025: тренды, которые будут популярны, и методы, которые уйдут в прошлое

Время на прочтение7 мин
Количество просмотров605

К 2025 году безопасность приложений перестает быть просто технической необходимостью — она становится стратегическим приоритетом для бизнеса. С ростом облачных технологий, искусственного интеллекта и постоянной автоматизации процессов эволюционируют и угрозы, а традиционные методы защиты не всегда эффективны. В этой статье мы обсудим тренды в AppSec, которые будут задавать тон в 2025 году, а также рассмотрим практики, которые утратят свою актуальность.

Читать далее

Ближайшие события

25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань
20 – 22 июня
Летняя айти-тусовка Summer Merge
Ульяновская область

Стажировки по информационной безопасности

Время на прочтение4 мин
Количество просмотров998

image


С началом весны многие компании объявляют о старте набора на их программы стажировок.


В рамках создания базы знаний по старту карьеры в информационной безопасности, я какое-то время назад сделал большую подборку компаний, которые за последнее время запускали стажировки по ИБ. Некоторые уже объявили о старте нового потока, некоторые, думаю, сделают это вот-вот. Для тех, кто находится в поиске первой работы, думаю, будет очень полезно, поэтому, ниже выкладываю полный список. Версия с удобными фильтрами по типу компаний, локации и направлению ИБ доступна по ссылке

Читать дальше →

Что помогает разработчику писать безопасный код: обзор инструментов

Время на прочтение10 мин
Количество просмотров1.8K

Современное производство программного обеспечения — сложный процесс, от разработчика требуется не только писать код, но и справляться с целым комплексом сопутствующих задач: отслеживать изменения, проводить тестирование, соблюдать стилистические правила и внутренние стандарты, учитывать безопасность и применять best practices по обеспечению ИБ уже во время написания кода.

Но есть и хорошие новости. Разработчику доступно большое число инструментов, которые упрощают труд: от линтеров до анализаторов и систем автоматизированного тестирования — все они встраиваются в среду разработки и помогают решать сложные задачи, не отвлекаясь от творческой части работы. В этой статье я, Евгений Иляхин, архитектор процессов безопасной разработки в Positive Technologies, как раз расскажу о крайне полезных инструментах, которые автоматизируют рутину и повышают качество кода, позволяя программисту сосредоточиться на разработке новой фичи или поиске оптимального решения.

Читать

Давайте поговорим о шифровании и IDOR (да, снова IDOR)

Время на прочтение3 мин
Количество просмотров596

Представьте себе систему, предназначенную для защиты конфиденциальных данных пользователей (таких как страховые полисы), только такую, что один неверный шаг превратил ее в открытую книгу. Именно на это я и наткнулся, когда копался в одном сервисе защиты регистрации на мероприятия. То, что начиналось как любопытство к API, переросло в находку, которая может предоставить полный доступ к полису любого пользователя. Вот как это происходило, шаг за шагом, и почему это так важно...

Находка: API с секретом

Все началось с веб-сайта, на котором хранятся пользовательские полисы — думайте о нем как о цифровом сейфе для страховых планов. Во время исследования я обнаружил обращение к API: /api/claims/encrypt?text=EUSP2386411060 с моим страховым полисом (EUSP2386411060). Ответом было зашифрованное значение идентификатора моего полиса, знание которого дает доступ к моему полису. Короче говоря, если ваш страховой полис EUSP2386411061, я могу зашифровать его и получить доступ к вашим данным, поскольку зашифрованное значение используется для доступа к PDF-файлу, содержащему информацию о вашем полисе.

Читать далее

Проникновение в Jenkins или история одного взлома

Уровень сложностиСложный
Время на прочтение17 мин
Количество просмотров1.3K

Временами получается поучаствовать в разгребании последствий «взломов с проникновением» в чужие ИТ-системы, по итогам одного такого расследования и была написана эта статья. Восстановил для вас полную картину.

Читать далее

Как DNS работает через TLS: DNS-over-TLS на практике

Уровень сложностиСложный
Время на прочтение12 мин
Количество просмотров8.5K

Защита DNS при помощи TLS позволяет скрыть состав DNS-трафика, который обычно передаётся в открытом виде. Соединения DNS-over-TLS не так распространены, как DNS-over-HTTPS, но зато могут прозрачно применяться не только для доступа к резолверам, но и на авторитативных серверах. Посмотрим, вооружившись консольными утилитами, как всё это работает на практике.

Читать далее

Как повысить безопасность удалённого доступа, путем ограничения разрешенных IP адресов

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров1.7K

Если в компании есть сотрудники, работающие из дома через удалённый доступ, можно усилить безопасность, ограничивая разрешенные IP адреса.

На первый взгляд, можно разрешить только адреса из одной страны если все сотрудники в одной стране. И такие решения есть.

Второй вариант, ограничить доступ только адресами провайдеров через которых сотрудники подключаются.

Эта задача разбивается на две. Во первых, нужен список всех провайдеров. Во вторых, нужны все IP префиксы этих провайдеров.

Выполнение всех этих шагов вручную может оказаться сложной и трудоёмкой задачей. Однако с помощью автоматизации и Python-программы весь процесс можно упростить и ускорить, сведя рутинную работу к минимуму.

Читать далее

Установка+базовая настройка файерволла ufw. Базовая настройка и использование proxychains4 на Kali Linux

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров2.8K

1 Proxychains4

В сегодняшней статье я покажу простейшие примеры использования файерволла на примере ufw а также настрою соединение с конечным сервером через прокси.

И вновь повторюсь, что я пишу статью лишь для тех, кто только начал изучение Линукс, а не для тех кто уже гуру. Мои статьи скорее шпаргалка по базовым примерам использования программ. В конце статьи будет небольшой бонус.

Итак начнем с утилиты proxychains4. В Кали Линукс установка ее предельно проста:

sudo apt update; sudo apt install proxychains4

Читать далее
1
23 ...