Информационная безопасность *

Вы когда‑нибудь логинились на сайте, используя аккаунт Google или Facebook? Или подключали приложение, требующее доступа к GitHub? Если да, то вы уже сталкивались с OAuth2, зная того или нет.

OAuth2 — наиболее популярный и расширяемый фреймворк авторизации. Он позволяет интегрировать различные системы, делегируя доступ к вашим данным одного сервиса другому. Но фишка в том, что большая часть людей понятия не имеет, как именно OAuth2 на самом деле работает.

Лично мне приходилось реализовывать несколько приложений, использующих OAuth2. Это было настолько прямолинейно, что мне даже не пришлось задумываться о том, как работает сам протокол. И это не случайно. OAuth2 сделан таким образом, чтобы его было легко добавить в приложение, а не воевать со сложными механизмами авторизации.

Но если мы немного остановимся и начнем копать глубже, то найдем для себя много нового с точки зрения дизайна ПО.

В этой статье мы раскроем причины, по которым были приняты те или иные решения в процессе дизайна протокола OAuth2 и разберем наиболее часто встречаемые гранты авторизации.

Привет, Хабр! Я Антон Ерёмин, ведущий инженер дирекции инфраструктурных проектов Positive Technologies. Сегодня на примере харденинга реальных сервисов продолжаем рассказывать о нашей методологии ХардкорИТ — подходе к определению времени атаки и вероятных маршрутов хакеров.

В прошлый раз мы проводили харденинг инфраструктуры Microsoft Exchange, затрудняя возможность ее атаки, разбирались в тонкостях защиты zVirt. Теперь настало время рассказать про харденинг GitLab.

Много копий сломано в обсуждениях, какой язык программирования самый лучший с точки зрения корректности и безопасности (под термином "корректность и безопасность" имеется ввиду отсутствие различных ошибок в программе, которые проявляют себя на стадии её выполнения и приводят к выдаче некорректного результата или неожиданному поведения). А некоторые языки программирования, такие как SPARK или OCaml, даже специально разрабатывались для облегчения доказательства корректности программы.

А возможно ли вообще писать программы без ошибок?

Недавно мы включили в свое портфолио PT Cloud Application Firewall – облачный межсетевой экран для защиты веб-приложений. Расскажем о возможностях сервиса и продемонстрируем его работу на вебинаре 11 марта в 11:00. Приходите!

Каждый отдельно взятый человек – уникальная, самостоятельная личность. Тем не менее, у любого из нас есть набор паттернов поведения – своеобразных уязвимостей и бэкдоров в психике. Умело манипулируя ими, психолог с навыками социальной инженерии (или, например, обыкновенный мошенникус вульгарис, работающий по качественной методичке) может выведать закрытую информацию или заставить человека выполнить некое полезное для себя действие.

За примерами далеко ходить не придется, ими пестрит и отечественный, и западный интернет. По телевидению крутят социальную рекламу против мошенников, выведывающих по телефону пароли или вымогающих деньги от имени якобы попавшего в беду родственника. Девушки с сайтов знакомств водят несчастных юношей по фейковым ресторанам. И это только «бытовой» уровень – на т.н. «корпоративном» и махинации посложнее, и ставки гораздо выше.

Схемы обмана меняются, обрастают новыми ходами и тонкостями, но суть их неизменна. Злоумышленники апеллируют к базовым слабостям человека: жадности, страху, гордыне и похоти. И совершенно неважно, где происходит действо: в реальном мире, по телефону или где-то в сети.

В этой статье мы не будем в очередной раз писать о старых, набивших оскомину любому специалисту по безопасности способах добывать информацию или деньги у населения, а обратимся к достаточно новой теме – социохакингу с применением нейросетей. И даже проведем парочку нехитрых экспериментов.

Я заметил, что многие относятся к бесплатным прокси как к чему-то ненадежному, если не бесполезному. Да, они существуют, ими кто-то пользуется, но воспринимать их всерьез как рабочий инструмент — ну уж точно нет.

Я решил проверить, насколько все действительно плохо (или, наоборот, хорошо), протестировав популярные бесплатные прокси по скорости, стабильности, анонимности и удобству. Цель — понять, можно ли реально пользоваться ими каждый день.

Привет, дорогие хабровчане! Меня зовут Илья Лощаков. Я работаю инженером-автоматизатором процессов безопасной разработки в InfoWatch — то есть, devsecops’ом. Расскажу личную историю о том, как я кардинальным способом справился с процессуальным выгоранием, будучи ручным тестировщиком. Не всем подобный путь может подойти, но может кто-то почерпнет для себя полезное, а может даже вдохновится на перемены. А может и нет. В общем, как говорила Наталья Морская Пехота СТАРТУЕМ!

До момента, когда вдруг ощутил, что теперь мне это в тягость, я проработал ручным тестировщиком 6 лет. Для выполнения даже простых задач, которые раньше делались на раз-два, теперь приходилось себя перебарывать и прикладывать значительные усилия. Разъедало чувство вины за то, что могу делать больше, а делаю все меньше. Вдобавок все интересное из работы тестировщиком исчезло. Осталось только написание тест-кейсов — регресс — актуализация тест-кейсов — цикл «повторить» до появления «синего экрана смерти» в мозгу.

Я пробовал развиваться в разных направлениях — разработка, автоматизация тестирования. Не зашло. Пробовал в нагрузочное тестирование — тоже не заинтересовался. Начал читать книжку для аналитиков, но понял, что работа с документами не мое. Вроде все логичные ветки развития перебрал, а ничего не подходит. И тут встал вопрос, — а чего мне хочется? Я думал, что немного новизны сможет развеять мои упаднические настроения, поэтому написал заявление на увольнение по собственному желанию.

Поскольку за время сидения дома в период ковида я почти разучился говорить, начал бегать на четвереньках и есть сырое мясо прямо с пола, то нужно было очеловечиваться. Стал искать компанию c обязательной работой в офисе. Также смотрел, чтобы тестируемый продукт как можно сильнее отличался от того, с чем я работал раньше. Несмотря на то, что улицы наводнили тестировщики, только прошедшие курсы — подходящее место я нашел быстро. И платили там больше, чем на прошлом.

В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.

Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.

Дополнительный анализ техник, тактик и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook.

Доброго дня. Сегодня бы хотел максимально подробно изложить своё видение того как можно багхантить корпоративные порталы, на что следует обратить внимание что можно найти даже новичкам.

Recon

И начнём с первого. Разведки. Я не буду здесь писать арсенал про инструменты Project Discovery такие как nuclei, naabu, httpx, findomain и проч. Это уже тема избитая и всем понятная. Кто хочет может найти это в одной из статей. Что я хотел бы подсветить. Огромное количество уязвимостей в этом году было найдено за счёт Shodan-а.

Краткая справка

Silver Ticket — не просто атака, а теневая операция в сердце Active Directory.

❓Как злоумышленники подделывают билеты

❓Какие следы они оставляют

❓Какие инструменты они используют

❓Какие артефакты помогут обнаружить данную активность

✅В статье раскроем секреты этой атаки

Привет! Меня зовут Роза, я старший инженер инфраструктурной безопасности в Ozon Tech. В этой статье я расскажу о ключевых подходах к управлению учётными записями и настройке корпоративных устройств в нашей компании при onboarding (от англ. адаптация, далее по тексту — онбординг). Это может быть полезно вам, если вы занимаетесь аналогичной историей в своей организации. Вы узнаете про опыт Ozon, что мы имеем сейчас и как планируем адаптировать процессы онбординга к условиям удалённой работы и отсутствия централизованных инструментов управления ноутбуками, сохраняя при этом прозрачность.

В эпоху «удалёнки» контроль за учётными записями и настройка корпоративных устройств стали настоящим вызовом. Столкнувшись с ограничениями на использование специализированного ПО, многие компании оказались перед задачей: как организовать онбординг новых сотрудников, когда возможности централизованного управления через системы MDM (Mobile Device Management, далее по тексту — MDM) недоступны. Как подготовить ноутбуки и обеспечить безопасность, когда процессы, давно отлаженные для офисных условий, рушатся в реалиях дистанционной работы? В связи с этим компании вынуждены искать креативные и эффективные решения, чтобы обеспечить бесперебойную работу сотрудников, не снижая при этом уровень безопасности данных и защищённости инфраструктуры. Давайте начнём разбираться.

Привет, Хабр!

Мы в «СёрчИнформ» каждый год собираем исследование об уровне информационной безопасности в российских компаниях. Но также нам всегда интересно посмотреть на глобальную статистику: что в ИБ было, что будет, чем сердце успокоится. Под катом делимся подборкой цифр из отчетов со всего мира о киберугрозах, утечках данных, инсайдерах и осведомленности сотрудников об информационной безопасности за период с 2023 по 2025 год. 

Всем привет! Зовут меня Владимир, я работаю специалистом информационной безопасности в бизнес‑юните Mail.ru компании VK. Запустить сканер внешнего периметра было одной из моих важных задач. Сделать это можно было двумя способами разобрать и использовать то, что было сделано раньше или создать что‑то новое. Я пошел по второму пути и... мы развернули инструмент на всю компанию.

Сегодня мы узнаем, как найти открытые API токены в JS файлах. Они представляют риск, поскольку могут предоставить возможность несанкционированного доступа к базе данных компании или платным услугам. Это также распространенная уязвимость в системе безопасности, возникающая из-за неопытности и невнимательности команды разработчиков.

Торчащий API токен — это как пропуск для злоумышленников. Они могут использовать его для получения несанкционированного доступа. Если API токен предоставляет доступ к какому-либо сервису, например AWS или GitHub, злоумышленники могут воспользоваться им, что приведет к финансовым потерям компании, утрате репутации и доверия клиентов.

Если токен используется для доступа к какой-либо базе данных, то это большая проблема для компании.

Теперь давайте начнем с некоторых методов поиска открытых API токенов:

Одна из самых важных улик после авиакатастрофы — это так называемый «чёрный ящик».

На самом деле этих удивительно прочных устройств два: речевой самописец кабины пилотов и регистратор полётных данных. И обычно они оранжевого, а не чёрного цвета.

В пятницу федеральные следователи извлекли «чёрные ящики» из пассажирского самолёта, упавшего в январе в реку Потомак недалеко от Вашингтона, а аналогичные устройства от военного вертолёта, который также упал, на момент написания оригинала статьи (31 января) ещё не были найдены. В результате столкновения погибли 67 человек, что стало самой смертоносной авиационной катастрофой в США с 2001 года.

Вот объяснение того, что такое чёрные ящики и что они могут делать.

Почему я вообще решил написать эту статью. Какого права имею...и вообще столько уже сказано на эту тему. Я бы хотел изложить исключительно свой (чей же ещё) опыт на данную тему т.к. у автора уже в районе 100 собеседований за спиной или в районе этого. Я трудоустраивался со сроком с момента подачи резюме от нескольких месяцев до нескольких дней без откликов отвечая просто на входящие запросы.

И начнем. Почему тебе стоит начать проходить собеседования ПРЯМО сейчас?

1) Собеседования - это не просто навык. Это Random. Считайте что это roguelike где вы встречаете разных боссов. Боссы как правило встречаются на технических интервью. Сначала вам конечно нужно пройти "привратников" - HR. Их задача просто проверить что вы не долбоящер человек лёгкого поведения который просто хочет потратить чьё то время впустую или просто анализирует рынок. В самом страшном случае они могут ретранслировать вам пару простых вопрос от команд которые если вы не полный банан в этой теме — то пройдете.

То есть:

Привет, Хабр! Я – Петр, эксперт по ML/AI (и не только) в Skillbox (и не только), а ещё – CEO межбанковской скоринговой платформы Bloomtech. Так уж вышло, что я неплохо разбираюсь в разных PET (Privacy-Enhancing Technologies) и уже писал на хабре про совместные конфиденциальные вычисления. Сегодня повышаю градус и рассказываю про магию следующего порядка: слепую (забывчивую) передачу или oblivious transfer. Как обычно, на примере.    

Вообразите, что уже знакомая нам Алиса поддерживает большой, более или менее регулярно обновляемый телефонный справочник и решает это дело монетизировать. Например, сделать сервис-определитель номеров.  Архитектура напрашивается такая:

Привет! Меня зовут Анастасия Соколенко, я отвечаю за безопасную разработку в Битрикс24. Вместе с коллегами мы не только проверяем код, который пишут наши разработчики, но и учим их делать его максимально безопасным.

Конечно, большинство разработчиков знакомы с разными уязвимостями веб-приложений, однако не все и не всегда применяют надлежащие методы защиты при написании кода.

Существует очень много типов уязвимостей, но я разберу несколько самых распространённых, которые обязательно нужно учитывать при разработке. Сегодня расскажу вам о двух, а еще несколько рассмотрим в следующих частях этой статьи. 

SQL-инъекции и XSS-атаки входят в топ уязвимостей по мнению экспертов в области ИБ. Лаборатория Касперского ставит их на 4 и 5 места в своем рейтинге. С них мы и начнём.