Как стать автором
Поиск
Написать публикацию
Обновить
992.09

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

Сравнение технологий PKI и FIDO для задач аутентификации

Время на прочтение10 мин
Количество просмотров1.5K

Привет, Хабр! Меня зовут Андрей, и в Компании «Актив» я отвечаю за развитие направления многофакторной аутентификации. В 2023 году мы выпустили линейку первых и (пока) единственных отечественных устройств на базе технологии FIDO2 – Рутокен MFA. Хотя FIDO2 в мире существует уже 7 лет и многие отечественные бигтехи (вроде Яндекса и VK) уже внедрили ее в свои сервисы, отечественные потребители слабо знакомы с этой технологией.
Как первопроходцам, нам, как компании, и мне лично пришлось заниматься евангелизмом и просвещением, что же это за такая технология, как она упрощает жизнь пользователям и какие преимущества несет. Самый популярный вопрос, который мне приходил – «А в чем разница с PKI?».

Сравнение двух технологий – читайте ниже во всех подробностях.

Читать далее

Clipjacking: Взлом через копирование текста — тот же Clickjacking, но круче

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров2K

Атака осуществляется через браузер, когда вы используете его для копирования кода со StackOverflow или ChatGPT. Я называю это clipjacking («перехват буфера обмена»), это как clickjacking, но круче. Расскажу о нескольких полезных техниках, которые могут пригодиться при создании Proof‑of‑Concept (PoC) для атак на клиентской стороне.

Читать далее

Идея — Proof-of-Work «почтовая марка» для email: три заголовка против спама

Время на прочтение2 мин
Количество просмотров1.7K

Лёгкий Proof-of-Work для писем: три дополнительных заголовка делают массовый спам дороже, а честные отправители могут «доплатить» CPU-временем и повысить шанс пройти в Inbox.

Читать далее

Автоматизация криптографических операций: Реализация визуализации электронной подписи в PDF на C#

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров2K

Рассмотрим, как дорогостоящие и труднодоступные проприетарные решения для визуализации электронной подписи могут быть заменены собственной разработкой. Я расскажу о пути создания десктопного приложения на C# с использованием КриптоПро SDK, способного не только накладывать визуальную метку на PDF-документы, но и осуществлять их криптографическую подпись сертифицированными средствами.

Читать далее

Тайные битвы на фронтах ИБ: DLP против стеганографии

Уровень сложностиПростой
Время на прочтение14 мин
Количество просмотров2.3K

Привет, Хабр! Меня зовут Эликс Смирнов, я ведущий кейс‑аналитик компании InfoWatch, занимаюсь анализом практики применения DLP‑систем. Много раз на демонстрациях возможностей ПО я сталкивался с мнением, что DLP‑система бессильна против стеганографии. Поэтому и решил написать на эту тему статью, которая покажет, как оно на самом деле. Важно — я ни разу не инженер. И статью написал простым языком, без технических подробностей, почитаемых на Хабре. Надеюсь, что такой подход не сделает текст менее интересным и полезным для офицеров информационной безопасности и их руководителей.

Читать далее

Security Week 2528: две уязвимости в утилите sudo

Время на прочтение3 мин
Количество просмотров1.1K

На прошлой неделе компания Stratascale опубликовала информацию сразу о двух уязвимостях в утилите sudo, повсеместно используемой в дистрибутивах на базе Linux для временного изменения набора привилегий пользователя. С помощью sudo можно выполнять команды от имени суперпользователя либо от имени любого другого пользователя в системе. Обе проблемы в некоторых случаях приводят к возможности выполнения локальным пользователем команд с привилегиями root, даже если у него нет на это прав. Уязвимости также являются следствием ошибок в логике работы sudo, которые оставались незамеченными достаточно долго: в одном случае два года, в другом больше 10 лет.

Читать далее

Как простой скан порта привел к награде в $500 от Google: «Обычные маршруты часто остаются неисследованными.»

Время на прочтение3 мин
Количество просмотров6.7K

Привет!

Меня зовут Джебарсон Иммануэль, мне 19 лет, я исследователь безопасности и охотник за уязвимостями. Мне посчастливилось помочь обеспечить безопасность более 50 организаций, включая такие гиганты, как Oracle, eBay и Bosch.

В этой статье я расскажу, как простое сканирование портов в Google привело к вознаграждению в $500.

Читать далее

Цифровая слежка: ищем человека, зная только его номер

Время на прочтение5 мин
Количество просмотров37K

Всем привет! Сегодня разбираем, как найти человека, зная только его телефонный номер. В этом помогут социнженерия, геолокаторы, OSINT и ADINT и прочие доступные методы.

И главное, объясним, как уберечься от такой слежки самому. А это вопросы приватности в соцсетях, готовность столкнуться с социальной инженерией и регулярная проверка своих устройств на предмет лишних разрешений и сомнительных приложений. В общем, все базовые вещи, которые необходимо знать любому, кто опасается слежки или просто заботится о своей приватности. Подробнее читайте под катом!

Читать далее

Кто ответит за утечку: штрафы, сроки и другие обновления закона о персональных данных

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров1.9K

710 млн записей с персональными данными россиян утекли в сеть в 2024 году. Роскомнадзор официально зафиксировал 135 таких утечек.
Власти отреагировали на рост их числа: оборотные штрафы, усиленные санкции за утечку биометрии и много других новшеств. Рассказываем о рисках, штрафах и даже сроках. А также о действиях, которые помогут этого избежать.

Читать далее

Когда один клик стоит ...: художественные истории о корпоративной безопасности

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров755

В ПравоТех мы создаём решения для юристов, HR, управленцев и других специалистов, чья работа связана с конфиденциальными данными. Наши клиенты неизменно предъявляют высокие требования к информационной безопасности, и это закономерно отражается в договорах — целыми разделами об обработке данных, сроках обновления информации и многом другом.

Работая в такой среде, мы постоянно размышляем о культуре ИБ. Разработчики, тестировщики, DevOps и сисадмины, как правило, хорошо осведомлены об угрозах и осторожны. Но безопасность компании — это общее дело. Злоумышленники часто ищут лазейки там, где их меньше всего ждут, целенаправленно атакуя сотрудников, чья повседневная работа не связана напрямую с техническими деталями. Именно такие коллеги, в силу специфики своих задач и доверия к другим внутри компании, могут невольно стать мишенью для изощрённых атак.

Как же эффективно донести до всех сотрудников суть современных киберугроз? Как сформировать не просто список "что нельзя делать", а глубокое понимание тактик злоумышленников, их уловок и масок?

Вместе с нашей командой обучения (Tutors) мы нашли формат — короткие художественные истории. Они показывают, как обычные рабочие (и не только) ситуации могут обернуться серьёзными инцидентами безопасности. Сегодня публикуем первую историю из серии — «Антибонус». Это история о том, как мечта о заслуженной премии обернулась кошмаром из-за пары сообщений и одного неверного решения.

Знакомьтесь с героями:

Менеджер: Макс - типичный сотрудник, занятый своими задачами. Он не параноик, доверяет коллегам и системам, иногда может пойти навстречу или проявить неосторожность в спешке. Его цель — просто хорошо делать свою работу.

QA-инженер: Лена - коллега с техническим бэкграундом. Она знает "кухню" цифровых угроз и пытается предупредить ошибки, но не всегда её вовремя слышат.

Читать далее

ABAC в микросервисах: сложная матрешка прав, простой API и никакой потери производительности

Уровень сложностиСложный
Время на прочтение5 мин
Количество просмотров898

Внедрение атрибутивной модели доступа (ABAC) в крупной корпоративной системе на микросервисах — это всегда испытание для архитекторов, разработчиков и бизнес-аналитиков. ABAC — одна из самых сложных областей IAM (Identity and Access Management) в корпоративных платформах, и даже простая модель может сломать мозг и пользователям, и инженерам. Рассказываю, как я реализовал масштабируемую систему с миллионами сущностей без потери производительности и сохранили простоту API для конечного разработчика.

Читать далее

Автопилот в киберзащите: спасаем аналитиков SOC от рутины

Время на прочтение9 мин
Количество просмотров1.7K

Представьте себе, что вам надо собрать автомобиль. Когда вы решаете построить машину с нуля, вам нужно подобрать множество компонентов. Вы ищете лучший двигатель, самые надежные шины, удобные кресла и качественные материалы для салона. Но даже идеальные детали — это только половина дела.

Главная сложность — собрать все компоненты в работоспособную систему. Без грамотной интеграции можно получить либо сразу Формулу-1, либо кучу дорогущего хлама весом в пару тонн. А иногда возникают неожиданные проблемы — например, когда прекрасное кресло гоночного болида просто не помещается в салон.

Точно такие же вызовы стоят перед нами при развитии софта для автоматического обнаружения атак. Мы должны не просто выбрать лучшие технологии, но и обеспечить их слаженную работу. Под катом вы узнаете все подробности.

Читать

Угнать «телегу» за 60 секунд: лайфхаки по противодействию мошенникам от социального инженера

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров9.5K

Всем привет! На связи снова Яков Филевский, эксперт по социотехническому тестированию Angara Security, поделился опытом общения с мошенниками

Telegram остается одним из наших основных мессенджеров, а аккаунт в нем — рабочим и социальным активом. Уверены, что сможете не потерять его при атаке мошенников? Представим человека, который увереннее среднего пользователя ориентируется в крипте и цифровой безопасности. Пара неверных действий — и даже он теряет доступ к своему аккаунту. Минус активы, минус аккаунт, а с ним — все переписки и половина рабочей/социальной жизни. Яков Филевский, эксперт по социотехническому тестированию Angara Security, рассказывает, как выглядит «угон „телеги“» с точки зрения социальной инженерии.

Как социальный инженер сразу скажу: обмануть можно кого угодно, мошеннику нужно лишь оказаться в нужное время в нужном месте. Зачастую это не так сложно, как кажется. Здесь будет история человека, которая, надеюсь, убедит вас внимательнее относиться к безопасности в Telegram. Особенно если вы решились на эксперименты с криптой.

Читать далее

Ближайшие события

Безопасная разработка как игра в Dungeons & Dragons

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров2.5K

Привет! 👋 Меня зовут Алина. Я маркетолог и давно работаю в ИТ, но с безопасной разработкой познакомилась только когда пришла в продуктовую студию по кибербезопасности Axel PRO. И знаете, эта область заинтересовала меня в процессе работы. А еще у меня есть интересное хобби — я люблю играть в Dungeons&Dragons, иначе говоря — ДНД 🎭. И вот что я заметила: процесс разработки ПО очень похож на эту игру. Сейчас расскажу, почему.

Представьте, что разработка ПО — это ваша игра в Dungeons&Dragons. Вы собрали отряд: разработчиков, тестировщиков, продакт‑менеджеров, выбрали для них роли и отправились в приключение — создавать крутой продукт 🚀.

Но вот загвоздка: пока вы исследуете подземелья (пишете код) 🏰, на каждом шагу вас поджидает разная нечисть — уязвимости‑ловушки 🕳️, баги‑драконы 🐉 и орки‑ошибки конфигурации 🪓. Если вы не взяли с собой защитные свитки с политиками и шаблонами безопасности 📜, зелья исправления уязвимостей 🧪 и доспехи из безопасных практик 🛡️ — ваша команда рискует быстро проиграть.

Собираем команду

Как и в мире ДНД, в безопасной разработке у каждого участника команды есть своя уникальная роль и задачи. Например:

⚔️ Бэкенд‑разработчик — это воин, который создает и защищает код, отражая атаки.

🧙‍♂️ Тестировщик — маг, исследующий систему с помощью «заклинаний» тестов, чтобы найти слабые места.

⛩️ Администратор инфраструктуры — жрец, поддерживающий стабильность и безопасность серверов и окружения

🎶 HR‑менеджеры и менеджеры проекта — подобно бардам, поддерживают коммуникацию и помогают команде достигать общих целей.

Читать далее

HackTheBox Labs (Starting Point) — Exploison

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров881

Всем привет!
Это уже 5-й блок заданий из серии Starting Point. В нем вкратце разберем протокол RDP.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Читать далее

Пилюля против фишинга

Время на прочтение6 мин
Количество просмотров3.2K

Киберпреступники постоянно совершенствуют методы социальной инженерии — и активнее используют для этих целей возможности нейросетей и фишинга (а еще вишинга, квишинга и прочего бейтинга). Мы в beeline cloud решили поговорить об этой угрозе и о том, как защитить сотрудников, не добавляя головной боли ИТ-отделу.

Читать далее

Почему все ломается, или Зачем менеджеру в ИТ софт-скилы

Время на прочтение8 мин
Количество просмотров6K

Мы живём в мире, где очень многое можно автоматизировать: так, разработчики пишут чистый код и разворачивают его нажатием одной кнопки, а следить за метриками можно в real-time. Казалось бы, идеально… Тем не менее иногда проекты рушатся, продукты буксуют, но никто не понимает почему… Или почти никто.

Меня зовут Сергей Синяков, я руковожу продуктом PT Application Inspector. За 15 лет опыта, от стартапов до финтеха, я усвоил главное — часто проблемы возникают не из-за технологий, а из-за человеческого фактора. Именно поэтому чуть ли не основные инструменты менеджера в ИТ — это разговоры, эмпатия и поддержка, а не только технические навыки и трекеры задач. Просто раздавая таски, вы ничем не управляете. 

Чтобы наглядно убедиться, что софт-скилы для лидера — это база, а не дополнение, предлагаю погрузиться в мини-историю на основе реальных событий под названием «Soft Skills: Manager Mode». Вас ждут пять кейсов из моей практики, настоящих, жёстких, иногда неловких, в которых главный персонаж, вооружившись эмпатией и супергеройским замыслом, борется не против людей, но против проблем. 

* В статье фигурирует персонаж по имени Вася. Мы заранее приносим извинения всем Васям, Василисам и Василиям. Мы их любим и ни в коем случае не хотим как-то обидеть. В статье мы не имеем в виду какого-то конкретного Васю. Все Васи прекрасны. Это красивое царское (!) имя носили великие люди – Суриков, Кандинский, Тропинин, Жуковский, Поленов и много других достойных представителей общества.

Читать далее

Прощай, reCAPTCHA! Как я защитил формы входа с помощью бесплатной и невидимой CAPTCHA от Cloudflare

Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров6.7K

Привет, Хабр! На связи разработчик Peakline — аналитической платформы для Strava. Сегодня я хочу поделиться опытом внедрения Cloudflare Turnstile в веб-приложение на FastAPI.

Это решение позволило мне отказаться от назойливых CAPTCHA, улучшить пользовательский опыт и при этом надежно защитить формы регистрации и входа от ботов.

Читать далее

Новости кибербезопасности за неделю с 30 июня по 6 июля 2025

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров1.3K

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

На этой неделе новости про то,  почему теперь свой телефон лучше вообще никому не давать, про критическую уязвимость в sudo, про молодой талант, который работает на Microsoft, про планируемые нововведения в IOS и другие только самые важные и интересные новости из мира информационной безопасности.

Читать далее

Как я почти продал ник за $9500 в Telegram

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров21K

Друзья, сегодня хочу поделиться историей, которая заставила меня на полчаса поверить в чудеса. А заодно разобрать новую схему мошенничества, которая показала мне, что преступники тоже эволюционируют.

Читать далее

Вклад авторов