Как стать автором
Поиск
Написать публикацию
Обновить
1028.11

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

Введение в обслуживание АСУ ТП на примере эффективных предприятий

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров5.6K

Сегодня автоматизированные системы управления технологическими процессами (АСУ ТП) являются неотъемлемой частью любого современного производства. Однако сама установка и пусконаладка системы — лишь половина дела. Настоящее испытание начинается в момент, когда оборудование переходит в эксплуатацию. Именно тогда становится очевидной роль обслуживания АСУ ТП — комплекса действий и организационных мер, позволяющих поддерживать системы в работоспособном состоянии, минимизировать простои и обеспечить надёжную работу всего предприятия.

Опыт эффективных предприятий в этой сфере показывает, что качественное обслуживание АСУ ТП напрямую влияет на экономические показатели компании, а также на гибкость и безопасность производства. В данной статье рассматриваются ключевые аспекты обслуживания АСУ ТП, опираясь на опыт компаний-лидеров отрасли, избегающих кризисных ситуаций и добивающихся устойчивого успеха за счёт выверенных стандартов и технологий.

Читать далее

RainLoop: от шелла через аттач, до кэша в инбоксе

Уровень сложностиСредний
Время на прочтение11 мин
Количество просмотров2.6K

Мы в Beget традиционно делаем ставку на безопасность и стабильность предоставляемых сервисов. Именно поэтому ещё в 2017 году запустили собственную программу поиска уязвимостей, а в прошлом году присоединились к инициативе BI.ZONE Bug Bounty, где продолжаем активно взаимодействовать с исследователями со всего мира.

Около четырёх месяцев назад один из участников программы нашёл критическую уязвимость в архивном, но всё ещё популярном веб-почтовом клиенте RainLoop. Мы оперативно отправили багрепорт в апстрим и, как выяснилось позже, сам багхантер также напрямую уведомил разработчиков проекта.

RainLoop мы долгое время предлагали пользователям как альтернативный почтовый клиент. Однако после обнаружения уязвимости приняли решение полностью отказаться от его использования и перевели всех активных пользователей на основной, поддерживаемый интерфейс.

Согласовав публикацию с автором находки, мы рады представить полный технический разбор атаки без изменений. Получился увлекательный отчёт, в котором нашлось место и для криптографии, и для нестандартных подходов к эксплуатации.

Если вы интересуетесь безопасностью PHP-приложений, работой с legacy-софтом или просто любите хорошие багхантерские истории — этот текст определённо для вас.

Читать далее

Как придумывать и запоминать пароли для разных сервисов

Уровень сложностиПростой
Время на прочтение20 мин
Количество просмотров16K

В этой статье я поделюсь своим опытом в создании паролей для разных сайтов, а также некоторыми методиками, которые я использую, чтобы обезопасить себя и снизить риски подбора/кражи пароля. Сразу говорю, что я не претендую на абсолютную истину и не гарантирую, что мои решения будут действительно хорошими. Это лишь то, что делаю я сам. Возможно какой-нибудь эксперт в области инфобезопасности раскритикует мою статью – и в таком в случае в самом конце статьи я добавлю раздел "Upd.", куда помещу известные проблемы.

Приятного чтения!

Читать далее

Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 1

Уровень сложностиСредний
Время на прочтение12 мин
Количество просмотров6.9K

Привет, Хабр! На связи Антон Дятлов, инженер по защите информации в Selectel. Хранение конфиденциальных данных в PostgreSQL в открытом виде — мина замедленного действия. Неприятности в будущем становятся неизбежными. Достаточно одной успешной SQL‑инъекции, утечки резервной копии или компрометации доступа к серверу, чтобы вся чувствительная информация — от персональных данных пользователей до API-ключей — оказалась в руках злоумышленников.

Даже если все обошлось, то принимать меры защиты все равно придется. Исправлять БД постфактум — задача неблагодарная и крайне рискованная. Шифрование уже существующих данных потребует сложной миграции. Это долго, дорого и не всегда проходит гладко.

К счастью, большинства этих проблем можно избежать, если подойти к безопасности данных осознанно с самого начала. PostgreSQL предлагает для этого мощный встроенный инструмент — расширение pgcrypto. Эта статья — небольшое руководство по его правильному и безопасному использованию

Читать далее

Дайджест ИБ-регулирования. Апрель-июнь 2025

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров836

Продолжаем серию обзоров законов, приказов, постановлений и инициатив регуляторов, касающихся информационной безопасности. В этой серии – о том, что изменилось в ИБ-регулировании во 2 квартале 2025 года.

Читать далее

Цикл вебинаров про разработку безопасного программного обеспечения (ГОСТ Р 56939-2024)

Уровень сложностиСредний
Время на прочтение3 мин
Количество просмотров1.4K

Обычно я пишу про статический анализ, баги и оформление кода. Однако сейчас меня притянуло к тематике РБПО (разработка безопасного программного обеспечения). Это связано с тем, что статический анализ является одним из основополагающих процессов безопасной разработки.

Всё началось с цикла публикаций про ГОСТ Р 56939-2024 в моём Telegram-канале "Бестиарий программирования". Мой внимательный читатель Виталий Пиков из УЦ МАСКОМ, увидев это, пришёл и сказал: "А давай больше!" Он предложил запустить целый цикл совместных вебинаров, где последовательно разобрать все 25 процессов, описываемых в ГОСТ Р 56939-2024. И идея мне понравилась.

Читать далее

От HackerOne к родным берегам: как меняется российский багхантинг

Время на прочтение9 мин
Количество просмотров2.3K

Российский рынок Bug Bounty переживает интересные времена. После ухода таких гигантов, как HackerOne, отечественные площадки начали развиваться гораздо активнее. Интерес к локальным платформам растет и со стороны компаний, и со стороны исследователей. Всё больше багхантеров начинают присматриваться: что вообще происходит на рынке? Какие платформы на слуху? И почему Bug Bounty вдруг стал интересен не только крупным корпорациям, но и среднему бизнесу?

На связи Алексей Гришин, директор по развитию сервисов кибербезопасности в Бастионе. В этой статье — честный разбор того, как устроен российский рынок Bug Bounty с точки зрения исследователя. Я расскажу, какие нюансы стоит учитывать при работе с отечественными платформами, чем наши площадки отличаются от зарубежных аналогов, и каковы перспективы развития этого направления в России. 

Готовы погрузиться в мир белого хакинга по-русски? Тогда начнем!

Читать далее

Локальные прокси — новый двигатель цифровых атак

Уровень сложностиСредний
Время на прочтение11 мин
Количество просмотров3.8K

Резидентный прокси — это прокси-соединение, использующее интернет-устройство конечного пользователя (ПК, смартфон, умный телевизор, роутер и др.) для предоставления сетевого доступа третьим лицам. Такой доступ может быть как с согласия владельца, так и — что чаще — без его ведома. В результате создаётся иллюзия, что интернет-активность исходит от обычного домашнего пользователя, а не от злоумышленника. Это позволяет киберпреступникам маскироваться и обходить системы защиты, расширяя теневой рынок хостингов и прокси.

Читать далее

Сравнение технологий PKI и FIDO для задач аутентификации

Время на прочтение10 мин
Количество просмотров1.5K

Привет, Хабр! Меня зовут Андрей, и в Компании «Актив» я отвечаю за развитие направления многофакторной аутентификации. В 2023 году мы выпустили линейку первых и (пока) единственных отечественных устройств на базе технологии FIDO2 – Рутокен MFA. Хотя FIDO2 в мире существует уже 7 лет и многие отечественные бигтехи (вроде Яндекса и VK) уже внедрили ее в свои сервисы, отечественные потребители слабо знакомы с этой технологией.
Как первопроходцам, нам, как компании, и мне лично пришлось заниматься евангелизмом и просвещением, что же это за такая технология, как она упрощает жизнь пользователям и какие преимущества несет. Самый популярный вопрос, который мне приходил – «А в чем разница с PKI?».

Сравнение двух технологий – читайте ниже во всех подробностях.

Читать далее

Clipjacking: Взлом через копирование текста — тот же Clickjacking, но круче

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров2K

Атака осуществляется через браузер, когда вы используете его для копирования кода со StackOverflow или ChatGPT. Я называю это clipjacking («перехват буфера обмена»), это как clickjacking, но круче. Расскажу о нескольких полезных техниках, которые могут пригодиться при создании Proof‑of‑Concept (PoC) для атак на клиентской стороне.

Читать далее

Идея — Proof-of-Work «почтовая марка» для email: три заголовка против спама

Время на прочтение2 мин
Количество просмотров1.7K

Лёгкий Proof-of-Work для писем: три дополнительных заголовка делают массовый спам дороже, а честные отправители могут «доплатить» CPU-временем и повысить шанс пройти в Inbox.

Читать далее

Автоматизация криптографических операций: Реализация визуализации электронной подписи в PDF на C#

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров2K

Рассмотрим, как дорогостоящие и труднодоступные проприетарные решения для визуализации электронной подписи могут быть заменены собственной разработкой. Я расскажу о пути создания десктопного приложения на C# с использованием КриптоПро SDK, способного не только накладывать визуальную метку на PDF-документы, но и осуществлять их криптографическую подпись сертифицированными средствами.

Читать далее

Тайные битвы на фронтах ИБ: DLP против стеганографии

Уровень сложностиПростой
Время на прочтение14 мин
Количество просмотров2.3K

Привет, Хабр! Меня зовут Эликс Смирнов, я ведущий кейс‑аналитик компании InfoWatch, занимаюсь анализом практики применения DLP‑систем. Много раз на демонстрациях возможностей ПО я сталкивался с мнением, что DLP‑система бессильна против стеганографии. Поэтому и решил написать на эту тему статью, которая покажет, как оно на самом деле. Важно — я ни разу не инженер. И статью написал простым языком, без технических подробностей, почитаемых на Хабре. Надеюсь, что такой подход не сделает текст менее интересным и полезным для офицеров информационной безопасности и их руководителей.

Читать далее

Ближайшие события

Security Week 2528: две уязвимости в утилите sudo

Время на прочтение3 мин
Количество просмотров1.1K

На прошлой неделе компания Stratascale опубликовала информацию сразу о двух уязвимостях в утилите sudo, повсеместно используемой в дистрибутивах на базе Linux для временного изменения набора привилегий пользователя. С помощью sudo можно выполнять команды от имени суперпользователя либо от имени любого другого пользователя в системе. Обе проблемы в некоторых случаях приводят к возможности выполнения локальным пользователем команд с привилегиями root, даже если у него нет на это прав. Уязвимости также являются следствием ошибок в логике работы sudo, которые оставались незамеченными достаточно долго: в одном случае два года, в другом больше 10 лет.

Читать далее

Как простой скан порта привел к награде в $500 от Google: «Обычные маршруты часто остаются неисследованными.»

Время на прочтение3 мин
Количество просмотров6.8K

Привет!

Меня зовут Джебарсон Иммануэль, мне 19 лет, я исследователь безопасности и охотник за уязвимостями. Мне посчастливилось помочь обеспечить безопасность более 50 организаций, включая такие гиганты, как Oracle, eBay и Bosch.

В этой статье я расскажу, как простое сканирование портов в Google привело к вознаграждению в $500.

Читать далее

Цифровая слежка: ищем человека, зная только его номер

Время на прочтение5 мин
Количество просмотров37K

Всем привет! Сегодня разбираем, как найти человека, зная только его телефонный номер. В этом помогут социнженерия, геолокаторы, OSINT и ADINT и прочие доступные методы.

И главное, объясним, как уберечься от такой слежки самому. А это вопросы приватности в соцсетях, готовность столкнуться с социальной инженерией и регулярная проверка своих устройств на предмет лишних разрешений и сомнительных приложений. В общем, все базовые вещи, которые необходимо знать любому, кто опасается слежки или просто заботится о своей приватности. Подробнее читайте под катом!

Читать далее

Кто ответит за утечку: штрафы, сроки и другие обновления закона о персональных данных

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров1.9K

710 млн записей с персональными данными россиян утекли в сеть в 2024 году. Роскомнадзор официально зафиксировал 135 таких утечек.
Власти отреагировали на рост их числа: оборотные штрафы, усиленные санкции за утечку биометрии и много других новшеств. Рассказываем о рисках, штрафах и даже сроках. А также о действиях, которые помогут этого избежать.

Читать далее

Когда один клик стоит ...: художественные истории о корпоративной безопасности

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров758

В ПравоТех мы создаём решения для юристов, HR, управленцев и других специалистов, чья работа связана с конфиденциальными данными. Наши клиенты неизменно предъявляют высокие требования к информационной безопасности, и это закономерно отражается в договорах — целыми разделами об обработке данных, сроках обновления информации и многом другом.

Работая в такой среде, мы постоянно размышляем о культуре ИБ. Разработчики, тестировщики, DevOps и сисадмины, как правило, хорошо осведомлены об угрозах и осторожны. Но безопасность компании — это общее дело. Злоумышленники часто ищут лазейки там, где их меньше всего ждут, целенаправленно атакуя сотрудников, чья повседневная работа не связана напрямую с техническими деталями. Именно такие коллеги, в силу специфики своих задач и доверия к другим внутри компании, могут невольно стать мишенью для изощрённых атак.

Как же эффективно донести до всех сотрудников суть современных киберугроз? Как сформировать не просто список "что нельзя делать", а глубокое понимание тактик злоумышленников, их уловок и масок?

Вместе с нашей командой обучения (Tutors) мы нашли формат — короткие художественные истории. Они показывают, как обычные рабочие (и не только) ситуации могут обернуться серьёзными инцидентами безопасности. Сегодня публикуем первую историю из серии — «Антибонус». Это история о том, как мечта о заслуженной премии обернулась кошмаром из-за пары сообщений и одного неверного решения.

Знакомьтесь с героями:

Менеджер: Макс - типичный сотрудник, занятый своими задачами. Он не параноик, доверяет коллегам и системам, иногда может пойти навстречу или проявить неосторожность в спешке. Его цель — просто хорошо делать свою работу.

QA-инженер: Лена - коллега с техническим бэкграундом. Она знает "кухню" цифровых угроз и пытается предупредить ошибки, но не всегда её вовремя слышат.

Читать далее

ABAC в микросервисах: сложная матрешка прав, простой API и никакой потери производительности

Уровень сложностиСложный
Время на прочтение5 мин
Количество просмотров900

Внедрение атрибутивной модели доступа (ABAC) в крупной корпоративной системе на микросервисах — это всегда испытание для архитекторов, разработчиков и бизнес-аналитиков. ABAC — одна из самых сложных областей IAM (Identity and Access Management) в корпоративных платформах, и даже простая модель может сломать мозг и пользователям, и инженерам. Рассказываю, как я реализовал масштабируемую систему с миллионами сущностей без потери производительности и сохранили простоту API для конечного разработчика.

Читать далее

Автопилот в киберзащите: спасаем аналитиков SOC от рутины

Время на прочтение9 мин
Количество просмотров1.7K

Представьте себе, что вам надо собрать автомобиль. Когда вы решаете построить машину с нуля, вам нужно подобрать множество компонентов. Вы ищете лучший двигатель, самые надежные шины, удобные кресла и качественные материалы для салона. Но даже идеальные детали — это только половина дела.

Главная сложность — собрать все компоненты в работоспособную систему. Без грамотной интеграции можно получить либо сразу Формулу-1, либо кучу дорогущего хлама весом в пару тонн. А иногда возникают неожиданные проблемы — например, когда прекрасное кресло гоночного болида просто не помещается в салон.

Точно такие же вызовы стоят перед нами при развитии софта для автоматического обнаружения атак. Мы должны не просто выбрать лучшие технологии, но и обеспечить их слаженную работу. Под катом вы узнаете все подробности.

Читать

Вклад авторов