Как стать автором
Обновить
917.44

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

JavaScript: Удобство или Угроза? Размышления о Приватности и Вебе

Уровень сложностиСредний
Время на прочтение11 мин
Количество просмотров140

В кругу людей, которые заботятся о своей приватности и что-то смыслят в технологиях, JavaScript пользуется дурной славой. Как правило, его отключают через специальные браузерные расширения и негодуют на онлайн-ресурсы, которые вынуждают включать JavaScript для их использования.

Сложно переоценить пользу JS, который делает сайты интерактивными, удобными и современными. В то же время опасность, которая в нем таится, обычно ускользает от внимания. Эта статья — попытка заглянуть монстру в глаза.

Читать

Новости

Парольная защита статичной HTML-страницы на JS

Время на прочтение3 мин
Количество просмотров1.4K


Обычно парольная защита производится через веб-сервер, который проверяет пароль и выдаёт контент. Стандартный способ: .htaccess и htpasswd. Но что, если нужно выложить зашифрованную веб-страницу и файлы на публичном хостинге, где у нас нет контроля над сервером? Эту проблему решают инструменты StatiCrypt и Portable Secret.

Для шифрования HTML перед публикацией StatiCrypt использует AES-256 и WebCrypto, а расшифровка происходит с помощью ввода пароля в браузере на стороне клиента, как показано в демо (пароль test).

StatiCrypt генерирует статическую страницу, которую можно безопасно заливать на любой хостинг, в том числе бесплатный сторонний хостинг, такой как GitHub Pages.
Читать дальше →

Подмания: запускаем графические приложения в контейнерах. Часть 2

Уровень сложностиСредний
Время на прочтение12 мин
Количество просмотров1.3K

Привет, Хабр!

Это вторая статья о контейнеризации как стиле повседневного использования графических приложений в ОС Линукс.

Здесь мы научимся безопасно запускать браузер и менеджер паролей, так как это близкие потребности. Здесь не будут повторяться инструкции, данные в первой статье, так как предполагается, что они известны читателю.

Посему, без долгих предисловий, ныряем под кат!

Читать далее

Малварь ниже «уровня радаров»

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров7.8K

Атаки на виртуальную инфраструктуру VMware ESXi в последнее время стали заметно набирать обороты. Сценарий, когда злоумышленник получает доступ к гипервизору, а затем останавливает все виртуальные машины и шифрует их диски, выглядит пугающе реалистично, особенно если компания не подготовлена к таким угрозам. Речь не только о редких случаяx, когда проникают особо изощрённые APT-группы. Всё чаще встречаются относительно простые, но крайне эффективные шифровальщики, которые атакуют хост ESXi, оставляя администраторов и владельцев инфраструктуры с зашифрованными файлами и практически без каких-либо зацепок для быстрого восстановления.

Именно с такой ситуацией я столкнулся в своей деятельности - крупная коммерческая организация скомпрометирована сначала через фишинг и получение доступа во внутреннюю инфраструктуру с использованием VMware Horizon. Следом за этим, используя уязвимость программного обеспечения, VMware злоумышленником получен доступ к ESXI и загружены вредоносные сценарии.

Мое внимание привлек тот факт, что ни одно средство защиты информации не воспринимало эти файлы как вредоносные.

Читать далее

Создание Powershell Shellcode Downloader для обхода Defender (Без обхода Amsi)

Время на прочтение2 мин
Количество просмотров1.3K

Сегодня я покажу, как модифицировать powershell shellcode runner для загрузки и выполнения нагрузки в обход Windows Defender.

Я буду использовать shellcode runner, который применял ранее.

Для демонстрации я использую виртуальную машину Windows с временно отключённым Defender. Я скопирую код и создам на его основе новый файл, используя PowerShell ISE.

Читать далее

PVS-Studio соответствует требованиям ГОСТ Р 71207—2024 (статический анализ программного обеспечения)

Уровень сложностиСложный
Время на прочтение71 мин
Количество просмотров2.1K

ГОСТ Р 71207
Инструментальное средство PVS-Studio разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207–2024, выявляет критические ошибки и может использоваться при разработке безопасного программного обеспечения. Рассмотрим функциональные возможности, реализованные в PVS-Studio на конец 2024 года в отношении анализа исходного кода программного обеспечения, написанного на компилируемых языках программирования C, C++, C#, Java.

Читать дальше →

Гарантированно безопасный способ передачи технологических данных АСУ ТП в интернет. Возможно?

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров1.2K

Здравствуйте, пользователи сообщества Хабр.

Цель статьи: Описание способа передачи данных из закрытого контура АСУ ТП (промышленная технологическая сеть), в глобальную сеть интернет, 100% защита от взлома.

Читать далее

Харденинг баз данных

Время на прочтение6 мин
Количество просмотров3.5K

Сейчас любое сколько-нибудь серьезное приложение нуждается в базе данных для хранения информации. СУБД позволяет сохранять данные, оперативно находить и извлекать то, что нужно с помощью запросов. Но для того, чтобы наши данные в базе хранились в безопасности необходимо не просто установить и настроить необходимое ПО, но выполнить харденинг – безопасную настройку СУБД.

В рамках данной статьи мы не будем концентрироваться на какой-то конкретной СУБД, а посмотрим те советы, которые подойдут любой базе данных.

Читать далее

Как Blue Team колонизировали Марс: отчет о Кибербитве на SOC Forum 2024

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров590

Кибербитва — это ежегодное соревнование, которое проходит в рамках одного из крупнейших ИБ-мероприятий в России — SOC Forum 2024.

В формате Red vs. Blue приняли участие по 20 команд "красных" и "синих". На стороне атакующих выступили эксперты по кибербезопасности из направлений пентеста, вирусной аналитики и AppSec-инженеры. На стороне защитников были 20 команд ИБ-специалистов из госсектора, финтех-сервисов и банков, IT-команд в составе маркетплейсов, промышленных, логистических, нефтегазовых, энергетических и ИБ-компаний.

Итак, сразу озвучим победителей, а дальше расскажем, как мы готовились к Кибербитве, как болели за участников и почему фавориты неожиданно уступили на последних метрах марсианской дистанции.

Читать далее

Российский рынок ИБ в фокусе: расчеты, просчеты и факторы роста. Итоги 2024 года и прогнозы на 2025

Время на прочтение9 мин
Количество просмотров979

Друзья, мы начинаем подводить итоги уходящего года и понемногу заглядывать в будущее кибербеза и ИТ. В этой статье расскажем, как на российскую ИБ-отрасль повлияли общерыночные тренды. Расскажем, почему отечественный рынок ИБ постигло разочарование, в чем видятся его факторы роста, в каких технологиях нуждается Россия, а каких образовался переизбыток, что происходит на мировой арене информационной безопасности и какое место на ней занимает российский кибербез.

Читать далее

Безопасность и контроль обмена сообщениями в Apache Kafka с помощью Гарда DBF

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров836

Привет, Хабр! Поговорим о DBF. Системы класса DAM/DBF (Database Activity Monitoring/Database Firewall) предназначены для защиты данных, хранящихся в СУБД. Но в контексте этой статьи важно то, что решения позволяют перехватывать трафик обращений не только к базам данных, но и к брокерам сообщений. Сегодня разберем метод обеспечения безопасной работы брокеров сообщений на примере «Гарда DBF» и Apache Kafka.

Читать далее

Загадочное возвращение Телеграм-бота. Странный жест или продолжение развода?

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров2.2K


После публикации первой части истории о потере Telegram-бота на Хабре произошло нечто неожиданное. Со мной связался человек, который ранее участвовал в угоне, с того же аккаунта. В дружелюбном тоне он извинился за длительное отсутствие, рассказал, что нашёл нового владельца моего бота, объяснил ему ситуацию и убедил вернуть его мне.

Читать далее

API-безопасность 2025: Прогноз и стратегии защиты на основе OWASP Top 10

Время на прочтение7 мин
Количество просмотров438

В 2025 году, когда цифровая трансформация приведет к появлению новых высот, безопасность API станет не просто показателем, а важным значимым аспектом. Времена простых уязвимостей прошли, и теперь мы сталкиваемся с эволюционирующими угрозами, которые требуют от нас не только знаний, но и возможности защиты наших приложений. Непрерывный мониторинг, анализ и адаптация к новым вызовам обеспечивают надежную безопасность API.

Акцент на 2025 год: В статье теперь говорится о будущем и новых вызовах.

ИИ в угрозах и защите: Подчеркнуто влияние ИИ как для атакующих, так и для защитников.

Усложнение атаки: Уязвимости теперь описываются в более сложном виде, с учетом развития технологий.

Микросервисы и облако: Уделено внимание облачной инфраструктуре и микросервисам.

Проактивный подход: Акцент на профилактических мерах и обучении.

Читать далее

Ближайшие события

25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань

В тихом омуте… или интересный режим работы смартфона OnePlus 6T

Уровень сложностиСредний
Время на прочтение11 мин
Количество просмотров8.2K

Несколько лет назад один из членов нашей команды заказал себе OnePlus 6T прямо из Китая. Телефон пришел в оригинальной упаковке и типовой комплектации: с зарядным устройством, кабелем и чехлом. Смартфон без проблем проработал год, ничем, на первый взгляд, не отличаясь от тех, что продаются в России.
Но однажды приложения начали предупреждать о наличии root-доступа, а некоторые, особенно банковские, вообще перестали запускаться. При этом прошивка никаким образом не модифицировалась, а обновления устанавливались исключительно из официальных источников, относящихся к ОС. Такое странное поведение смартфона побудило нас провести исследование, результаты которого описаны в этой статье.

Читать далее

Цифровая безопасность: как обучить сотрудников в игровой форме

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров977

В кейсе расскажем, как провели обучение для сотрудников крупной IT-компании с усвояемостью знаний в 93% и позитивным фидбеком от заказчика, не нарушив формат корпоративного выезда.

Что за квест мы устроили

Внедрение своего NGFW на собственной инфраструктуре: как мы ели кактус и что из этого получилось

Уровень сложностиПростой
Время на прочтение10 мин
Количество просмотров1.5K

Если бы всего пару лет назад мы задали вопрос IT- или ИБ-специалисту, какой NGFW лучше выбрать, то все в один голос рекомендовали бы продукты иностранных вендоров. Они созревали десятилетиями, были вне конкуренции по своим характеристикам и, как следствие, доминировали на российском рынке. Сейчас, когда переход на отечественные NGFW должен произойти уже вот-вот, компаниям предстоит не только выбрать оптимальное решение под свои задачи, но и внедрить его на своей инфраструктуре, причем так, чтобы не положить весь корпоративный трафик. На примере опыта внедрения собственного продукта InfoWatch ARMA Стена (NGFW) в ГК InfoWatch рассказываем, как развиваются события, когда компания уже выбрала межсетевой экран и приступает к его пилотированию. Внутри – рекомендации для заказчиков NGFW: какие важные моменты нужно учесть на старте, как сформировать список требований и какие шаги нужно предпринять для доработки, чтобы на выходе получить рабочий корпоративный межсетевик.

Читать далее

После 15 декабря начались массовые сбои в работе VPN и zapret, discord и youtube перестали нормально работать

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров131K

Добрый день всем хабрчанам и не только! После 15 декабря у меня перестало работать абсолютно всё: ни один из рабочих VPN, которыми я пользовался ранее, ни различные утилиты. В связи с этим я начал тестировать массу способов и решил собрать для вас 4 действительно рабочих метода, которые точно вам помогут.

1 способ

Для обхода блокировок можно поднять собственный VPN-сервер (вот легкая инструкция как это сделать), используя разные протоколы вроде Shadowsocks, VLESS, VMess, Trojan и OpenVPN. У каждого из них есть свои фишки и нюансы.

Shadowsocks — это по сути прокси, который шифрует трафик и маскирует его под обычный HTTPS. Работает быстро, не требует больших ресурсов и сложно обнаруживается системами блокировки. Но шифруется только тот трафик, который проходит через него, а не весь интернет-трафик целиком.

VLESS — более современный и продвинутый протокол для проекта Xray. Он умеет маскировать трафик под обычный HTTPS и поддерживает разные способы передачи данных вроде WebSocket или gRPC. Плюс, его можно использовать через CDN (например, Cloudflare), чтобы ещё сильнее усложнить блокировку. Но настраивать его непросто, нужно разбираться в деталях.

VMess — это основа для V2Ray. Он тоже позволяет шифровать и обфусцировать трафик, чтобы его было сложно отследить. Работает через TLS и поддерживает разные виды транспорта. Крутой инструмент для продвинутых пользователей, но требует времени на настройку.

Trojan хорош тем, что маскирует трафик под обычный HTTPS на порту 443. Выглядит как обычный запрос к веб-сайту, поэтому блокировать его сложнее. Настроить проще, чем VLESS или VMess, но если серверный IP попадёт в чёрный список, всё слетит.

Читать далее

Что такое KNOX по мнению Galaxy AI, как установить сертификат Минцифры и другие впечатления за год

Время на прочтение6 мин
Количество просмотров1.8K

Если бы Samsung дал доступ к KNOX SDK всем и дополнил его всеми возможностями для экспериментов, а не только востребованными бизнесом, то этот блог стал бы, наверное, одним из популярных. Сбылась бы мечта многих, связанных с IT, — отключить все ненужные сервисы на смартфоне и чувствовать себя хорошо.

В принципе, хороший контент для письма Деду Морозу… В этой статье пройдусь по тому, какие функции SDK и облачные сервисы KNOX привлекали разработчиков решений в этом году, а также самые занятные B2B истории и первые впечатления от ведения​ блога.

Читать далее

Атаки на GitHub-разработчика в 2024 году

Время на прочтение8 мин
Количество просмотров1.3K

Тренд «Platform Engineering», предложенный аналитическими агентствами, стал интересен не только компаниям, которые трансформируют свои процессы, команды и инструменты согласно новым подходам. Этот тренд также интересует и злоумышленников, которые используют возможности платформ разработки для проведения атак.

Меня зовут Денис Макрушин, и вместе с командой SourceCraft я создаю технологии безопасной разработки, чтобы кибербезопасность была драйвером для инноваций, а разработчик мог эффективно использовать свои когнитивные способности. В этой статье я собрал коллекцию интересных уязвимостей и методов атак на пользователей крупной платформы разработки, обзор актуальных методов атак, выявленных в 2024 году. Понимание актуальных угроз позволяет лучше разобраться в необходимости улучшения практик безопасности в такой платформе на примере GitHub. Материал будет полезен как разработчикам, так и специалистам по информационной безопасности для защиты своих проектов.

Читать далее

Оптимизация: типичные ошибки программистов и как их можно исправить

Время на прочтение18 мин
Количество просмотров7K

Привет, Хабр. Меня зовут Павел Преблагин, я работаю в команде инжиниринга производительности Positive Technologies. Мы анализируем разные продукты компании и пытаемся так или иначе оптимизировать их изнутри. Как уже можно понять, команда наша мультипроектная: у нас нет постоянной кодовой базы, кроме некоторых инструментов анализа и тестирования. Обычно коллеги из других отделов приносят нам для изучения свою, написанную преимущественно на C++, если у них есть подозрения, что что-то работает не так быстро, как должно было бы. Мы в ответ приносим им результаты замеров, патчи и рекомендации.

Хотя наша команда относительно молодая, мы уже успели пройтись по нескольким таким продуктам и нанести непоправимую пользу. Все эти проекты разные и принадлежат разным командам, но мы заметили, что некоторые проблемы встречались в той или иной комбинации везде, носили общий характер, а решались примерно одинаково и порой без серьезных усилий. Цель этой статьи — показать подборку из таких, часто встречаемых, ситуаций вместе с возможными вариантами их решения. Кейсы могут показаться тривиальными или даже глупыми, но факт остается фактом: подобное мы наблюдаем с определенным постоянством и видели в других компаниях, еще до прихода в Позитив.

Разобраться
1
23 ...