Как стать автором
Обновить
773.12

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

Вы кто такие, я вас не знаю, или Как мы делаем JWT-аутентификацию

Уровень сложности Средний
Время на прочтение 11 мин
Количество просмотров 2.3K
Туториал

Привет! Меня зовут Данил, я backend-разработчик в Doubletapp. Почти во всех наших проектах есть пользователи, которые могут войти в систему. А значит, нам почти всегда нужна авторизация. Мы используем авторизацию, построенную на JSON Web Token. Она отлично сочетает в себе простоту реализации и безопасность для приложений.

В интернете есть много разных материалов с объяснением, что такое JWT и как им пользоваться. Но большинство примеров ограничиваются выдачей токена для пользователя. В этой статье я хочу рассказать не только о том, что такое JWT, но и как можно реализовать работу с access и refresh токенами и решить сопутствующие проблемы. Будет немного теории и много практики. Присаживайтесь поудобнее, мы начинаем.

Путеводитель:

Что такое JSON Web Token?
Использование и реализация
Простая реализация JWT
Access и refresh tokens
Как отозвать токены
Доступ с нескольких устройств
Удаление старых данных
Резюмируем

Читать далее
Всего голосов 14: ↑13 и ↓1 +12
Комментарии 21

Новости

Методы хэширования паролей. Долгий путь после bcrypt

Время на прочтение 5 мин
Количество просмотров 3.3K

Шифровальная машина M-209, на основе которой создана первая в истории функция хэширования crypt в Unix

Прошло 25 лет с момента изобретения алгоритма хэширования bcrypt (1997), но он до сих пор считается одним из самых стойких к брутфорсу хэшей.

Вот уже несколько десятилетий некоторые специалисты прогнозируют, что аутентификация будет производиться ключами/сертификатами. Но этого до сих пор не случилось. Пароли остаются неотъемлемой частью систем информационной безопасности. Вообще, они широко использовались ещё до изобретения компьютеров, так что в таком долгожительстве нет ничего удивительного.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 6

.NET+Safeguard: Реверсинг без ассемблера

Время на прочтение 5 мин
Количество просмотров 838

Сегодняшняя статья будет посвящена реверсингу приложений, написанных с использованием фреймворка .NET. Сначала мы немного поговорим о том, что такое .NET, чем код на нем отличается от других сред разработки и затем разберем один обфусцированный Crackme, попутно рассмотрев ряд полезных инструментов для реверсинга .NET.

Читать далее
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 0

Обзор публикации MITRE «11 стратегий SOC-центра мирового уровня». Часть 3

Уровень сложности Средний
Время на прочтение 53 мин
Количество просмотров 442
Обзор

Коллеги, в двух предыдущих публикациях были рассмотрены стратегии 0-3 и 4-7 документа MITRE «11 стратегий SOC-центра мирового уровня». В сегодняшней публикации завершим рассмотрение данного документа финальным набором стратегий MITRE: Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC», Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией», Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC», Стратегия №11 «Повышайте эффективность путем расширения функционала SOC». Приступим!

Читать далее
Всего голосов 13: ↑13 и ↓0 +13
Комментарии 2

Небезопасная многопоточность или Race Condition

Время на прочтение 13 мин
Количество просмотров 2.9K
FAQ

Как я и люблю - мы начнем с условных основ и будем двигаться постепенно всё глубже и глубже. Ближе к концу разберём, как эксплуатировать. При написании статьи было использовано много разных источников. К чему это? А к тому, что я начну со слов, которые нашел в статье у Бума - про него будет дальше. Что ж, приятного чтения.

Пора познавать дзен
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 0

CyberCamp 2023: итоги, задания и победители

Время на прочтение 6 мин
Количество просмотров 1.3K

Хабр, привет! В сентябре мы провели второй онлайн-кэмп по практической кибербезопасности — CyberCamp 2023. Событие собрало в два раза больше участников в сравнении с прошлым годом — более 10 000 зрителей и 100 команд, сражавшихся в двух лигах: корпоративной и студенческой. 

Онлайн-кэмп объединил в себе несколько форматов: онлайн-конференцию с докладами, соревнования команд киберучений и интерактивы для зрителей. В рамках мероприятия функционировали две независимые платформы. На одной в течение трех дней участники киберучений со всей России боролись за призовые места и оттачивали свои навыки. А на второй зрители проходили викторины, задания и мини-игры, наблюдали за трансляцией и слушали 25 докладов от ИБ-экспертов из «Инфосистемы Джет», Positive Technologies, «Лаборатории Касперского», Yandex Cloud, АО «СОГАЗ», BI.ZONE, Qrator Labs и др.

С нашей стороны более 150 человек придумывали задания, готовили платформы, курировали команды, собирали программу и контент, поддерживали трансляцию и справлялись с другими сложными вызовами.

О том, как мы пришли к созданию самых масштабных киберучений в России, уже рассказывали здесь. Под катом — больше деталей о новой концепции, примеры заданий, презентации и доклады спикеров конференции, результаты и впечатления победителей.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 6

«Барби»: какие проблемы инфобеза может показать нам Барбиленд

Уровень сложности Простой
Время на прочтение 14 мин
Количество просмотров 8K
Мнение

Не секрет, что нашумевший в кинотеатрах и на торрентах фильм «Барби» оставил много поводов для раздумий над слоями иронии, а также над политическими и идеологическими посылами, которые там присутствуют.

Но, помимо этого, Барбиленд — ещё и хороший пример того, как не надо выстраивать информационную безопасность. Под катом разберём, какие классические проблемы ИБ можно найти в фильме и что мы можем из этого вынести.

Читать далее
Всего голосов 35: ↑32 и ↓3 +29
Комментарии 12

Рег.ру объяснил обещание дать п***ы технической ошибкой

Уровень сложности Простой
Время на прочтение 2 мин
Количество просмотров 32K
Кейс

В рамках проекта «Монитор госсайтов» мы изучаем сайты, обозначенные как сайты госорганов (кстати, очередной доклад по региональным госсайтам – уже через неделю), и регулярно проверяем, кто на самом деле является администратором соответствующих доменных имен. Например, администратором доменного имени сайта МВД мвд.рф еще в прошлом году было ФКУ «ГЦСиЗИ МВД РФ», а не просто МВД РФ, поэтому с точки зрения закона у Министерства внутренних дел Российской Федерации до недавнего времени просто не было официального сайта.
Читать дальше →
Всего голосов 66: ↑63 и ↓3 +60
Комментарии 69

Переезжаем с DUO Mobile на Мультифактор. Опыт (и грабли) QIWI

Время на прочтение 7 мин
Количество просмотров 792
Кейс

Когда каждый день слышишь о новых утечках учетных данных пользователей, а социальная инженерия и разного рода мошенники активно прокачивают свои скиллы в выманивании паролей у пользователей, многофакторная аутентификация становится must have.

А если мы говорим о работе в больших компаниях, где есть множество разных систем с разным уровнем доступа, то без одного или нескольких дополнительных факторов не обойтись. Мы в QIWI давно используем второй фактор для доступа к большинству систем.

В этой статье я расскажу, как нам пришлось внезапно переезжать с DUO Security, которое многие из вас знают, на российское решение Мультифактор. Возможно, вам будет интересен наш опыт переезда или работы с этим решением (лучше поздно, чем никогда).

Читать далее
Всего голосов 17: ↑16 и ↓1 +15
Комментарии 1

MaxPatrol O2. Как мы пришли к созданию автопилота для кибербезопасности

Время на прочтение 8 мин
Количество просмотров 809

В мае этого года мы запустили в опытно-промышленную эксплуатацию MaxPatrol O2 — наш автопилот для результативной кибербезопасности. В этом материале расскажем, что подтолкнуло нас к созданию этого метапродукта, как он влияет на метрики SOC и какие вызовы мы ставим перед ним в этом и следующем году.

Подробнее
Всего голосов 1: ↑1 и ↓0 +1
Комментарии 0

От упрощённых методов разработки до операций по удалению: как меняются ботнеты и методы борьбы с ними

Время на прочтение 6 мин
Количество просмотров 820
Аналитика

Ранее мы уже рассказывали о том, как эволюционирует поведение злоумышленников, и что им пытаются противопоставить специалисты по информационной безопасности. За прошедшие полгода ситуация с DDoS-угрозами и ботнетами продолжает развитие: угроз стало больше, разработка вредоносов и атак становится проще для злоумышленников.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 0

Keycloak. Standalone-HA в k8s и закрытие админки на ingress-e с переводом на localhost

Уровень сложности Сложный
Время на прочтение 8 мин
Количество просмотров 1.3K
Туториал
Привет, Хаброжители! Продолжаем делиться с вами экспертизой отдела Security services infrastructure (департамент Security Services компании «Лаборатории Касперского»).
Предыдущую статью нашей команды вы можете прочесть вот здесь: Keycloak. Админский фактор и запрет аутентификации

В этой части продолжим настраивать IAM с упором на отказоустойчивость и безопасность. Статья рассчитана на людей, которые ранее были знакомы с IAM и, в частности, с keycloak-ом. Поэтому в этой части не будет «базы» по SAML2, OAuth2/OIDC и в целом по IAM (на Хабре есть хорошие статьи на эту тему). Также для понимания данной статьи необходимы знания базовых абстракций kubernetes и умение читать его манифесты.



Рассмотрим два кейса:
  1. Как в свежей версии keycloak (v.22.0.3) настроить отказоустойчивость при развертывании в k8s в режиме standalone-ha.
  2. Как закрыть ненужные векторы атаки, ограничив пользователям доступ только до нужных путей, но оставив возможность админам заходить на консоль админки keycloak.

Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 6

Airbnb в фокусе правоохранительных служб: как усиливался интерес государств к известному сервису

Уровень сложности Простой
Время на прочтение 4 мин
Количество просмотров 2K
Ретроспектива

Airbnb был основан в 2008 году как стартап Брайана Чески, Нейтана Блечарзика и Джо Геббиа. Первоначальная идея «ночлег и завтрак» постепенно трансформировалась в транснациональный онлайн-сервис, который у всех на слуху.

Чем популярнее становился сервис, тем больше внимания к нему начали проявлять правоохранительные органы. Как и в случае с социальными сетями, Airbnb представлял для них кладезь информации о подозреваемых, террористах, уклонистах от налогов и банкротах, скрывающих свое имущество, доходы или место жительства. Кроме того, сервис все чаще стал использоваться не просто как возможность поделиться своим жильем на время, но и как ширма для нелегального частного отельного бизнеса. О том, как развивалась практика получения данных пользователей правоохранителями - в этой статье (а также щепотка интересной статистики).

Читать далее
Всего голосов 3: ↑2 и ↓1 +1
Комментарии 4

Ближайшие события

Битва пет-проектов
Дата 25 сентября – 30 ноября
Место Онлайн
XIX конференция разработчиков свободных программ «Базальт СПО»
Дата 29 сентября – 1 октября
Время 10:00 – 19:00
Место Переславль-Залесский Онлайн
Kokoc Hackathon
Дата 29 сентября – 1 октября
Время 19:00 – 21:00
Место Онлайн
PG Boot Camp Russia 2023
Дата 5 октября
Время 10:00 – 17:00
Место Москва Онлайн
Joker
Дата 9 – 14 октября
Время 16:00 – 19:30
Место Санкт-Петербург Онлайн
Открытый урок «Kafka Streams»
Дата 16 октября
Время 10:00
Место Онлайн
Питч-сессия pravo (tech) impulse
Дата 19 октября
Время 15:45 – 17:30
Место Москва
Russia Risk Conference 2023 — 19-я конференция по риск-менеджменту
Дата 25 – 26 октября
Время 10:00 – 19:00
Место Москва Онлайн
Онлайн IT HR-конференция HR42
Дата 17 – 18 ноября
Время 10:00 – 14:00
Место Онлайн
HighLoad++ 2023
Дата 27 – 28 ноября
Время 9:00 – 20:00
Место Москва Онлайн

SpyWare своими руками. Часть 2: Функционал

Уровень сложности Средний
Время на прочтение 15 мин
Количество просмотров 1.6K
Туториал

Всем привет, в этой части мы добавим функционала нашему SpyWare, чтоб было поинтереснее отслеживать что творится с нашим компом, пока нас нет рядом. Давайте начинать =)
...
Пару минут чтения спустя, вы узнаете как отследить вашего пушистого хацкера ну или кого-то друго-го не менее любопытного)
...
Данный метод мне предоставляет больше удовольствия чем игры с revers shell (но он тут тоже будет), только представьте, получаете сообщение от бота, что кто-то запустил ваш ПК. Вы делаете снимок с веб-камеры а там ...
Ваш пушистый друг, играет в дотку с вашего компа, пока вы на работе, но это все в лучшем случае) На этой позитивной ноте мы готовы переходить к следующему модулю, хоть он и мал, но открывает безграничные возможности.

Заинтересовало? Тогда нажимай.
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 0

Команда «Kcell» путь к победе на KazHackStan 2023

Уровень сложности Средний
Время на прочтение 15 мин
Количество просмотров 2K

Привет, Username, в данной статье я хочу рассказать тебе о конференции KazHackStan, которая прошла 13-15 сентября 2023 года. Также, поделиться информацией о некоторых векторах атак на полигоне и подготовке, которая позволила нам - команде "Kcell" - завоевать почетное первое место в кибербитве за владение виртуальным городом.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 2

Искусный MataDoor: как устроен и как действует новый опасный бэкдор, атакующий российскую оборонку

Время на прочтение 7 мин
Количество просмотров 3.1K

В 2022 году одна промышленная компания пригласила нас, специалистов PT Expert Security Center, расследовать киберинцидент. В ее скомпрометированной инфраструктуре мы обнаружили образцы не встречавшегося ранее вредоносного ПО. Дальнейший анализ показал, что это сложный модульный бэкдор с хорошо проработанными архитектурой и транспортной системой. В его имени компиляции есть строка «MATA», а еще он может долго и незаметно работать в захваченных системах, поэтому мы дали ему имя MataDoor.

Стоящая за его созданием новая киберпреступная группировка, которую мы назвали Dark River, целенаправленно атакует промышленные предприятия. На данный момент известно всего четыре случая применения MataDoor в атаках, причем все жертвы этого опасного вредоноса связаны с оборонкой. По нашим данным, бэкдор нацелен на шпионаж и хищение секретов российского ОПК.

Подробнее о способах его доставки и устройстве, а также о том, как MataDoor внедряется в инфосистемы и действует, рассказываем в этом посте.

Читать
Всего голосов 8: ↑8 и ↓0 +8
Комментарии 14

«Импортозамещение» в видеонаблюдении. Часть первая: Si-Cam

Уровень сложности Простой
Время на прочтение 5 мин
Количество просмотров 28K

Недавно нашумевшее видео Максима Горшенина о азиатских OEM‑мониторах, прошедших в реестр Минпромторга, сподвигло меня написать эту статью.

Герои этой статьи ставят под сомнение саму целесообразность реестра радиоэлектронной продукции — раз уж даже они сумели туда попасть, то пройдет кто угодно!

Читать далее
Всего голосов 228: ↑227 и ↓1 +226
Комментарии 139

Построение AppSec в огромном Enterprise и опыт его применения в бирюзовой компании

Время на прочтение 7 мин
Количество просмотров 1.1K

Речь пойдёт о трудностях работы инженеров по безопасности в крупной компании – как команда выстроила AppSec и как выбранный подход помог сделать безопаснее “бирюзовую” команду и огромный Enterprise в целом. Это история о самоорганизации, зрелости и уменьшении количества явных контролей в угоду «безопасных» процессов.

В этом нам поможет директор департамента мониторинга и реагирования на инциденты ИБ VK Дмитрий Куколев. У него 12-летний опыт построения процессов безопасного производства. Сейчас он директор департамента мониторинга и реагирования на инциденты ИБ VK.

Читать далее
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 0

Полная неуязвимость? Как устроены защитные механизмы macOS (и при чем тут маркетинг)

Уровень сложности Простой
Время на прочтение 13 мин
Количество просмотров 8.1K
Обзор

Подход Apple к информационной безопасности приводит к тому, что некоторые пользователи Mac не обращают внимание на то, что происходит с их компьютерами. В этом посте я старался разобраться в основных механизмах защиты macOS от вредоносных программ и выделить их недостатки, но в результате выяснилось, что «проблема» — это сама репутация macOS.

Читать далее
Всего голосов 39: ↑38 и ↓1 +37
Комментарии 4

Быстрее улитки или Race Conditions в Websocket-ах

Уровень сложности Средний
Время на прочтение 7 мин
Количество просмотров 740
Обзор

Сколько мы уже успели обсудить про эти несчастные Websocket-ы. И разобрали их до основания, и попытались взломать. Но теперь возьмем уровень выше, сегодня - состояние гонки. Да, понимаю, Я ещё не успел написать статью про сам race condition, но это уже в процессе. А пока, вам к ознакомлению мини-статья про race condition в ws.

Приятного чтения ^-^

Погнали читать
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 5