Информационная безопасность *

В быстро меняющемся мире мобильных технологий операционная система Android занимает особое место благодаря своей универсальности и обширному спектру возможностей. Одним из ключевых элементов, обеспечивающих безопасность и неприкосновенность личных данных пользователей Android, является система разрешений. Разрешения Android контролируют взаимодействие приложений с операционной системой и доступ к пользовательским данным, создавая безопасную и контролируемую среду, в которой функциональность и защита находятся в гармонии.

Системы типов помогают разработчикам создавать надежные и безопасные программы. Однако такие термины, как «субструктурные типы» или «владение», нередко кажутся сложными и трудными для понимания, особенно для тех, кто не сталкивался с теорией типов в академической среде.

Новый перевод от команды МойОфис расскажет вам, как субструктурные типы и система владения в Rust помогают создавать безопасные и эффективные программы. Автор разбирает ключевые теоретические аспекты, выясняет, какие преимущества они предоставляют, и показывает, почему их использование становится неотъемлемой частью разработки современных языков. Вы узнаете, как субструктурные типы помогают обеспечивать безопасность и жизнеспособность программ, а также познакомитесь с идеями и проблемами их внедрения на практике.

Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google.

В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.

Несмотря на постоянно растущий спрос на решения для информационной безопасности, число успешных кибератак на организации по всему миру ежегодно увеличивается. По нашим данным, в 2023 году этот показатель вырос на 18%, и, судя по тенденциям 2024 года, этот рост продолжится. Одна из причин – повсеместная цифровизация. Компании автоматизируют процессы и внедряют новые продукты и сервисы, что ведет к увеличению числа цифровых активов, которые могут стать уязвимым местом в инфраструктуре.

В этой статье поговорим про зрелость информационной безопасности в российских компаниях, покажем, хорошо ли они справляются с кибератаками, есть ли у них планы по развитию ИБ на ближайшие пять лет и готовы ли они переходить от ручного тестирования на проникновение (пентеста) к автоматизации этого процесса.

После завершения любого проекта (по пентесту, анализу защищенности, Red Teaming и др.) специалисты приступают к самому душному увлекательному этапу – к написанию отчета. Казалось бы, ничего особенного – нужно всего лишь свести в единый документ все свои достижения. Но правда жизни такова, что именно отчет выступает итоговым результатом работ, который видит заказчик и по которому он будет судить о качестве проделанной работы. То есть, какие бы суперисследования мы ни провели, какие бы крутые баги ни нашли, заказчик никогда не узнает, какие мы молодцы, солнышки, котики профессионалы, если полученные результаты с их экспертной оценкой не будут понятно, структурировано и в полном объеме изложены в отчете. А это далеко не всегда простая задача.

В этом посте поделимся некоторыми нюансами и особенностями, которые мы учитываем при подготовке отчетов.

Привет, Хабр! С вами Максим Коровенков, DevSecOps Lead в Купер.техе. Продолжаем цикл статей про построение DevSecOps с нуля. Это большой гайд from zero to, надеюсь, hero.

Сегодня HTTPS считается де-факто стандартом для безопасного сёрфинга веб-страниц, но знаете ли вы о подводных камнях, на которые мы натыкаемся в самый неудобный момент? Сегодняшняя статья расскажет о самой главной из них, а так же о способе её исправления.

Уже поняли про что речь? Верно, про утечку. Если быть точнее, про утечку персональных данных из компании. Лет 10 назад это понятие не вызывало откровенно негативных чувств. С недавних пор оно неразрывно с тревогой и печалью, а буквально через полтора месяца уже будет навевать гнев и нести опустошение: не только эмоциональное, но и финансовое, ибо новые штрафы за утечку персональных данных вырастут до астрономических значений.

Привет Хабр! Меня зовут Константин Закатов, я работаю в «ПК Аквариус» директором департамента по информационной безопасности. Количество киберугроз растет, поэтому необходимо постоянно модернизировать и адаптировать подходы к защите оборудования на объектах критической информационной инфраструктуры (КИИ). Один из ответов текущие вызовы - внедрение встроенных механизмов безопасности.
В этой статье объясню, что представляют собой эти встроенные механизмы безопасности, и расскажу, в каком направлении они развиваются на примере решений нашей компании.

Компания «Аквариус» - вендор, который разрабатывает и производит широкий спектр ИТ-оборудования, а также реализует комплексные ИТ-проекты федерального масштаба, включая решения в области кибербезопасности. Мы - его сотрудники - видим, что вопросы безопасности становятся критически важными на каждом этапе жизненного цикла ИТ-систем. Мировой рынок давно использует различные встроенные и неотделимые механизмы, такие как TPM и проприетарные чипы безопасности. Давайте разберёмся, как добиться похожего уровня у нас в стране на практике.

Для построения надёжной и безопасной информационной инфраструктуры требуется соединить компетенции по разработке средств вычислительной техники и экспертизу в области информационной безопасности.

Годами мы жили в мире, где базовые инструменты информационных систем были придуманы и спроектированы вне нашего поля зрения. Мы потребляли только готовый продукт, зачастую не отвечавший требованиям отечественных нормативных документов. Однако, поступательное движение нашей нормативной базы по локализации разработки и производства даёт свои плоды – мы научились создавать гораздо больше сами, а не только пользоваться готовыми технологиями. Тем самым мы движемся в сторону технологического суверенитета.

Аналогию технологическому суверенитету можно найти в области продуктовой безопасности: множество требований регламентируют обязанность любых иностранных производителей локализовывать свою продукцию на территории нашей страны, будь то йогурт или сладости. Так почему же мы не должны в областях промышленности, которые имеют критическое значение для нашей страны, действовать схожим образом? И если лет 10-15 назад мы говорили о встраивании отдельных элементов безопасности в иностранную технику, потому что мы не обладали достаточными компетенциями, то сейчас нам под силу реализовать сложные, но крайне необходимые элементы «по умолчанию» в отдельных элементах инфраструктуры и обеспечить их жизненный цикл в рамках всей системы.

В статье речь пойдет об ALD Pro (Astra Linux Domain Pro).
Один заказчик попросил предоставить инструмент нагрузки LDAP-запросов, да не простой, а с GUI и графиками.

Наша команда в своей работе активно использует open source инструмент нагрузочного тестирования Locust (англ. Саранча). Сам по себе Locust является ядром нагрузки с минимальным функционалом из коробки, но этот функционал расширяется за счет использования Locustfiles, которые пишутся на чистом Python, что позволяет не ограничиваться набором инструкций, как, например, в Dockerfile/Containerfile/Vagrantfile, а писать отдельные Python-модули.
На создании инструмента нагрузки ничего не закончилось, а все только началось.

Мы нагрузили ALD Pro, получили графики и...обнаружили катастрофу.

Вы уже разобрали Silver и Golden Ticket? Это лишь прелюдия. 

Diamond & Sapphire — последние «сокровища» в цепочке уязвимостей с билетами.

В статье рассмотрим:
✅ Эволюция атак: от серебра с золотом — к алмазам и сапфирам.
✅ Хакерский workflow: как создать "драгоценные" билеты.
✅ Противостояние: артефакты и детекторы на Sigma, чтобы ловить даже призрачные следы.

К 2025 году безопасность приложений перестает быть просто технической необходимостью — она становится стратегическим приоритетом для бизнеса. С ростом облачных технологий, искусственного интеллекта и постоянной автоматизации процессов эволюционируют и угрозы, а традиционные методы защиты не всегда эффективны. В этой статье мы обсудим тренды в AppSec, которые будут задавать тон в 2025 году, а также рассмотрим практики, которые утратят свою актуальность.

С началом весны многие компании объявляют о старте набора на их программы стажировок.

В рамках создания базы знаний по старту карьеры в информационной безопасности, я какое-то время назад сделал большую подборку компаний, которые за последнее время запускали стажировки по ИБ. Некоторые уже объявили о старте нового потока, некоторые, думаю, сделают это вот-вот. Для тех, кто находится в поиске первой работы, думаю, будет очень полезно, поэтому, ниже выкладываю полный список. Версия с удобными фильтрами по типу компаний, локации и направлению ИБ доступна по ссылке

Современное производство программного обеспечения — сложный процесс, от разработчика требуется не только писать код, но и справляться с целым комплексом сопутствующих задач: отслеживать изменения, проводить тестирование, соблюдать стилистические правила и внутренние стандарты, учитывать безопасность и применять best practices по обеспечению ИБ уже во время написания кода.

Но есть и хорошие новости. Разработчику доступно большое число инструментов, которые упрощают труд: от линтеров до анализаторов и систем автоматизированного тестирования — все они встраиваются в среду разработки и помогают решать сложные задачи, не отвлекаясь от творческой части работы. В этой статье я, Евгений Иляхин, архитектор процессов безопасной разработки в Positive Technologies, как раз расскажу о крайне полезных инструментах, которые автоматизируют рутину и повышают качество кода, позволяя программисту сосредоточиться на разработке новой фичи или поиске оптимального решения.

Представьте себе систему, предназначенную для защиты конфиденциальных данных пользователей (таких как страховые полисы), только такую, что один неверный шаг превратил ее в открытую книгу. Именно на это я и наткнулся, когда копался в одном сервисе защиты регистрации на мероприятия. То, что начиналось как любопытство к API, переросло в находку, которая может предоставить полный доступ к полису любого пользователя. Вот как это происходило, шаг за шагом, и почему это так важно...

Находка: API с секретом

Все началось с веб-сайта, на котором хранятся пользовательские полисы — думайте о нем как о цифровом сейфе для страховых планов. Во время исследования я обнаружил обращение к API: /api/claims/encrypt?text=EUSP2386411060 с моим страховым полисом (EUSP2386411060). Ответом было зашифрованное значение идентификатора моего полиса, знание которого дает доступ к моему полису. Короче говоря, если ваш страховой полис EUSP2386411061, я могу зашифровать его и получить доступ к вашим данным, поскольку зашифрованное значение используется для доступа к PDF-файлу, содержащему информацию о вашем полисе.

Временами получается поучаствовать в разгребании последствий «взломов с проникновением» в чужие ИТ-системы, по итогам одного такого расследования и была написана эта статья. Восстановил для вас полную картину.

Защита DNS при помощи TLS позволяет скрыть состав DNS-трафика, который обычно передаётся в открытом виде. Соединения DNS-over-TLS не так распространены, как DNS-over-HTTPS, но зато могут прозрачно применяться не только для доступа к резолверам, но и на авторитативных серверах. Посмотрим, вооружившись консольными утилитами, как всё это работает на практике.

Если в компании есть сотрудники, работающие из дома через удалённый доступ, можно усилить безопасность, ограничивая разрешенные IP адреса.

На первый взгляд, можно разрешить только адреса из одной страны если все сотрудники в одной стране. И такие решения есть.

Второй вариант, ограничить доступ только адресами провайдеров через которых сотрудники подключаются.

Эта задача разбивается на две. Во первых, нужен список всех провайдеров. Во вторых, нужны все IP префиксы этих провайдеров.

Выполнение всех этих шагов вручную может оказаться сложной и трудоёмкой задачей. Однако с помощью автоматизации и Python-программы весь процесс можно упростить и ускорить, сведя рутинную работу к минимуму.

1 Proxychains4

В сегодняшней статье я покажу простейшие примеры использования файерволла на примере ufw а также настрою соединение с конечным сервером через прокси.

И вновь повторюсь, что я пишу статью лишь для тех, кто только начал изучение Линукс, а не для тех кто уже гуру. Мои статьи скорее шпаргалка по базовым примерам использования программ. В конце статьи будет небольшой бонус.

Итак начнем с утилиты proxychains4. В Кали Линукс установка ее предельно проста:

sudo apt update; sudo apt install proxychains4