Я кратко познакомлю с инструментом шифрования age (кратко - потому что он простой в использовании - там просто нечего долго объяснять, при этом шифрует по современным стандартам шифрования). Мы научимся в одну простую команду шифровать как личные бэкапы, так и корпоративные (для нескольких асимметричных ключей, не храня ключ на сервере), а затем поспорим на тему того, почему openssl такой плохой инструмент и не пригоден для практического применения обычными пользователями/админами, чье представление о криптоалгоритмах примерно выражено на КДПВ.

Привет, Хабр! Меня зовут Матвей Мочалов, я — компьютерный инженер и один из авторов корпоративного блога cdnnow! Как-то мы уже обсуждали особенности Docker на разных системах, а сегодня я хочу копнуть глубже — поговорить о том, как наша индустрия поймала саму себя в ловушку Джокера и умудрилась запутать всех, выдавая контейнеризацию за виртуализацию.

Продолжим об этом ниже в посте.

Привет, Хабр! Случаи увольнения людей «не с тем паспортом» или говорящих «не на том языке», или живущих «не там, где надо» сегодня, к сожалению, стали обыденностью. Хотя, строго говоря, всё это проявления дискриминации. В этой статье я на условиях анонимности расскажу историю своего знакомого, которому удалось добиться от работодателя в ЕС компенсации за дискриминационное увольнение. Подробностей и названия компании здесь не будет (таковы условия заключённой сделки), только алгоритм сработавших действий для получения компенсации.

Почему я задался целью обойти время применения политик к локальным компьютерам?

Обычный интерес — как это сделать. Как сказал один комментатор — работа ради работы.

Для чего все это надо — на это вопрос я сам себе не смог ответить. Но охота пуще неволи. Очень хотел найти решение.

Методом серфинга в Инете начал собирать разную информацию по политикам, времени их применения.

В итоге нашел все необходимое. Нужное оставил, ненужное отсеял.

Курсы веб-дизайна для детей – это отличная возможность приблизиться к цифровому творчеству и раскрыть собственный потенциал в востребованном направлении. Соответствующая и смежные профессии связаны с креативностью и самовыражением, при этом характеризуются как высокооплачиваемые, но сегодня не об этом: хотим предложить и рассмотреть видеокурс веб-дизайна для детей, который можно освоить самостоятельно и полностью бесплатно. Если данное направление интересует, рекомендуем ознакомиться с материалом публикации.

Мы строим обучение детей веб-дизайну вокруг использования Figma и Tilda – инструментов, востребованных среди web-разработчиков и специалистов, отвечающих за визуальную составляющую сайтов и подобных интернет-проектов. Поэтому хотим привязать сегодняшний видеокурс к соответствующим средам. 

Сразу подчеркнем, что в роликах конструктор «Тильда» не упоминается, но мы его рассмотрим, а в конце расскажем, где можно обучиться использованию.  

Перед тем как перейти к бесплатным урокам дизайна в веб-среде для детей и подростков, хотим предложить краткий экскурс в направление и отмеченные инструменты. Если эти темы уже знакомы, смело переходите к подборке видеоуроков. 

Теперь о самом интересном.

Создаем GPO-шку. Неважно какую. Я делал для блокировки флешек, чтобы видно было ее применение. Это описано в части 1.

Групповую политику готовим для компьютера.

Не для пользователя. Для пользователя она отработает только после перезагрузки машины.

Привет, меня зовут Александр (aka bytehope). Прежде чем прийти к багхантингу, я пять лет занимался коммерческой разработкой. Однако меня всегда больше интересовал поиск уязвимостей, поэтому сейчас свое свободное время я провожу на площадках багбаунти.

Эту статью я решил посвятить уязвимостям, связанным с недостатками контроля прав (Broken Access Control). Вы узнаете, что это очень распространенный баг, который может проявляться самыми разными способами. Конечно, особый акцент будет сделан на практике: я покажу, как отловить четыре разных вида этой уязвимости в лабах Web Security Academy. Начнем с самых простых примеров, поэтому статья подойдет для начинающих охотников. Смело заглядывайте под кат!

В мире поиска уязвимостей качество вашего отчёта может как помочь, так и навредить вам. Поиск уязвимости — это первый шаг, но написание отчета является самой важной частью охоты за уязвимостями. Хорошо составленный отчет не только помогает команде безопасности понять проблему, но и увеличивает ваши шансы на получение более высокого вознаграждения. Со временем я разработал структуру и подход, которые хорошо сработали для меня. Вот как вы можете написать эффективный отчет об уязвимости.

Недавно меня уволили с испытательного срока из-за личной неприязни руководителя. Такое происходило со мной в первый раз, и сначала я была в замешательстве. Но после консультаций с юристом я выработала план действий, который позволил мне добиться своего. Понадобилось немного валерьянки и железные яйца, чтобы защитить себя. Из конспекта плана и личных наблюдений родилась эта инструкция, делюсь.

Обучение детей программированию, как бы ни строился процесс, нередко сопровождается рядом ошибок. Отсутствие интерактивности, мер мотивации, недостаток практики и скучная, слишком сухо преподнесенная теория – типичные примеры. Может показаться, что это справедливо только для простеньких дешевых курсов, бесплатных онлайн-уроков и самостоятельных занятий по видео и текстовым инструкциям, но даже в некоторых школах обучение детей программированию объективно страдает. Это серьезный минус: нередко выходит, что родители отдают деньги за пустые и бесполезные занятия.

Мы считаем, что курсы обучения ребенка программированию должны быть нескучными и насыщенными практикой, базироваться, помимо прочего, на мерах мотивации, на качественной обратной связи от педагогов и на других важных принципах. Их отсутствие – объективный минус: качество учебного процесса страдает, интерес и вовлеченность в него со стороны учеников – тоже. Но все это справедливо и для домашних занятий без наставника. 

Если вопросы по поводу записи ребенка на курсы или построения самостоятельного маршрута дополнительного IT-образования актуальны, рекомендуем уделять внимание ряду моментов, рассмотренных в статье. В ней мы представили 5 типичных и достаточно распространенных ошибок, допускаемых педагогами на курсах, частными репетиторами и даже некоторыми родителями, самостоятельно обучающими детей кодингу.

Итак, предлагаем перейти к основной теме.

Для опытного администратора очевидно, что аварии на главном сервере резервного копирования или на серверах хранения при отсутствии стратегии аварийного восстановления комплекса СРК могут привести к серьёзным последствиям, включая потерю ценных данных и простои в работе компании. И пока ИТ в России во многом — удел самоучек, поскольку гособразование строится только на базовых, причём устаревших понятиях, сисадминам приходится учиться на внештатных ситуациях прямо на работе. Сегодня пресейл-инженер Тринити СРК Михаил Старцев решил поделиться примером такой ситуации в учебных целях, а также рассказать о существующих стратегиях аварийного восстановления СРК. Эти стратегии — ключевой инструмент успешного функционирования критических ИТ-инфраструктур, а значит и подспорье в развитии карьеры специалистов ИТ-отделов на таких предприятиях.   

Замечаю, что в некоторых постах люди пишут, что процесс найма сломан, а вопросы на собеседовании кажутся глупыми и бессмысленными. На самом деле, у большинства вопросов есть вполне рациональный смысл. Попробую объяснить, поскольку кто‑то действительно может этого не понимать. Это не попытка защитить рекрутеров, а скорее способ помочь кандидатам более эффективно проходить собеседования.

Для начала определимся с целями работодателя. Чаще всего ему нужен человек, чтобы закрыть конкретную «брешь» в команде. Какие требования обычно ставят в приоритет?

Всем привет! В этой статье на стыке ИБ и юриспруденции мы разберем правовые основы видеонаблюдения. Как организовать его в компании в соответствии с законом, какими статьями и нормами оно регулируется, как собирать биометрию и при каких условиях в дело вступает Единая Биометрическая Система. За подробностями добро пожаловать под кат!

Выявление инцидентов является одной из основных задач специалистов по информационной безопасности. Обнаруживать инциденты можно различными способами. Например, можно вручную анализировать журналы событий в поисках интересующих сообщений о подозрительных активностях. Можно на основе grep и регулярных выражений разработать скрипты, которые будут в более менее автоматизированном режиме искать нужные события. Также сами логи можно хранить локально на той же машине, можно централизованно складывать и анализировать на отдельном сервере. Однако, все эти самопальные инструменты хороши, когда речь идет о нескольких серверах и не слишком большом потоке событий.

В случае, если у нас десятки и сотни серверов, генерирующих события, лучше всего использовать специализированные решения SIEM (Security information and event management), предназначенные для управления событиями безопасности. Помимо централизованного хранения событий ИБ, SIEM также может анализировать приходящие события на соответствие правилам корреляции для выявления инцидентов, и вот об этом мы и будем говорить в данной статье. В качестве примеров логов будут рассматриваться как журналы событий ОС Windows, так и Linux.

Когда духи приходят в наш мир и магия становится не просто мифом, а чем-то реальным, случиться может все что угодно. Например, все сервера внезапно перегреются, задымятся, и у пользователей пропадет доступ к вашим сервисам. Или, что не менее ужасно, хакер зашифрует данные клиентов и будет требовать много-много денег за расшифровку. 

Ни то ни другое в нашем облаке не случается, потому что мы защищаемся ИБ-сервисами.

Но если вы забыли договориться с потусторонними силами, то прочитайте несколько страшных сказок от наших ребят. Они вполне могут стать реальностью, если с киберзащитой не все гладко, а пароли хранятся на стикерах, приклеенных к монитору. 

Привет! Меня зовут Павел Маслов, я архитектор дирекции инфраструктурных проектов Positive Technologies. Не так давно мой коллега Артем Мелехин уже рассказывал на Хабре о сути нашего подхода к харденингу ИТ-инфраструктуры. Сегодня же мы поговорим об укреплении киберустойчивости программных средств на конкретном примере — параметрах почтовой системы Microsoft Exchange (MS Exchange).

Начать хочется с небольшой истории, которая и подтолкнула меня к написанию этой статьи. Недавно к нам за консультацией обратились ИТ-специалисты одной крупной компании с государственным участием, назовем ее N. Вопрос касался работы их корпоративной почты на базе MS Exchange, а точнее конкретного письма. Дело в том, что генеральный директор их контрагента получил e-mail от имени руководителя N с просьбой поделиться конфиденциальной информацией. Как вы уже догадались, никакого сообщения с подобным запросом он не отправлял. Чем закончилась эта история и как не повторить судьбу наших героев, читайте под катом.

Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему? Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно, адекватные методы парольного менеджмента становятся еще более важными.

Ниже собрал список доступных для российских компаний вариантов менеджеров паролей (если что, дополняйте в комментариях) и попробовал сравнить их.

Давно хотел написать про перемещаемые профили, но не было времени. Много в Интернете читал разные отзывы, мнения, комментарии и т. д. Зачастую пишут люди, которые не полностью разобрались в данном вопросе или у них не было практического опыта. Так же много статей и видеороликов, выкладываемых в сеть, были раскрыты не полностью, а в общих чертах. Такое ощущение, что человек сам не до конца понимает сути вопроса (что вряд ли), или считает, что все уже обладают достаточными знаниями и потому многие детали не раскрываются. Пропускались мелочи, на которые стоило бы обратить внимание. Полностью раскрытую тему нигде не нашел, поэтому и решился за написание этой статьи.