Как стать автором
Обновить
196
Карма
31.1
Рейтинг
Игорь Santry @SantrY

Главный по блогу Бастион, научный журналист

20+ open source утилит для шифрования файлов на (почти) любой случай жизни

Блог компании Бастион Информационная безопасность *Open source *Софт


На самом-самом деле его секреты нафиг никому не нужны. И кстати, такой ключ за 5 баксов ещё надо поискать


Шифропанкам посвящается. Мы собрали тулкит из популярных программ (преимущественно с симметричным шифрованием), которые помогут защитить личные данные от несанкционированного доступа и попросили исследователя криптографии из компании «Криптонит» прокомментировать наш выбор.


Под катом безопасные решения для шифрования файлов при помощи браузера, для быстрой защиты, пересылки, загрузки в облако шифрованных данных, криптографические контейнеры с двойным дном, десяток консольных инструментов для криптографии и комбайн, объединяющий их под единым графическим интерфейсом. А еще ответы на животрепещущие вопросы, например: «Что лучше AES, Кузнечик, Serpent или Twofish»?

Читать дальше →
Всего голосов 35: ↑34 и ↓1 +33
Просмотры 14K
Комментарии 27

Успеть за 30 дней: как мы полностью модернизировали складской комплекс из прошлого

Блог компании Hoff Tech IT-инфраструктура *Сетевые технологии *Сетевое оборудование Инженерные системы *
Кейс

Может ли что-то объединять старую металлическую кастрюлю, пожарную сигнализацию с громким названием, десяток невидимых глазу точек доступа Wi-Fi и подпольную биржу труда? Оказывается, да. Все эти удивительные вещи поддерживали работу склада, который мы рискнули взяться модернизировать.

Ну а что из этого вышло, как мы распутывали кабели, перевозили серверы и обновляли IT-инфраструктуру на складе, работу которого нельзя было остановить даже на час, читайте под катом.

Читать далее
Всего голосов 57: ↑56 и ↓1 +55
Просмотры 8.5K
Комментарии 35

Системы классификации и оценки уязвимостей и угроз информационных систем: какие они бывают и зачем нужны

Блог компании Бастион Информационная безопасность *

В отчете по результатам пентеста каждой уязвимости присваивается определенный класс опасности. Это не субъективная оценка, она основывается на общепринятых методиках. О них сегодня и поговорим. Расскажем, как принято классифицировать и оценивать уязвимости информационных систем и объясним, зачем это нужно.

Читать далее
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 2.9K
Комментарии 8

Как составить и рассчитать бюджет стартапа на кибербезопасность

Блог компании Бастион Информационная безопасность *Развитие стартапа


Бастион не собирает статистику по расходам на ИБ на российском рынке, но мы помогаем заказчикам формировать бюджеты на кибербезопасность, так что нам часто задают вопросы на эту тему. Сразу хочется поделиться ссылкой на толковый ликбез, но вместо грамотных рекомендаций поисковики выдают сотни SEO-оптимизированных заметок. Пришлось писать свою статью.


В этом посте поговорим об общих принципах построения бюджета на ИБ. Расскажем, какие виды затрат выделить и как расставить приоритеты. Покажем простой и быстрый метод расчетов и познакомим с более точной математической моделью для принятия обоснованных решений в условиях неопределенности и посоветуем, куда копать дальше.

Читать дальше →
Всего голосов 21: ↑20 и ↓1 +19
Просмотры 2.6K
Комментарии 1

20+ хакерских операционных систем для атаки и защиты

Блог компании Бастион Настройка Linux *Информационная безопасность *

На этот раз речь о различных десктопных Linux-дистрибутивах, но найдется место и Android, и даже Windows.



Большинство хакерских ОС отчасти похожи на подборки узкоспециализированных утилит, которые я уже выкладывал. Они представляют собой готовые наборы инструментов с некоторыми предустановками для оптимальной работы — ничего эксклюзивного. Простые скрипты, например, katoolin или PFT за пару команд делают из обыкновенной Ubuntu или Debian дистрибутив для тестирования на проникновение, так что многие из сотрудников Бастион работают из-под обычных Linux-дистрибутивов, заточенных под их нужды, а другие преимущественно используют Kali.

Читать дальше →
Всего голосов 21: ↑19 и ↓2 +17
Просмотры 11K
Комментарии 5

Эксплойтинг браузера Chrome, часть 1: введение в V8 и внутреннее устройство JavaScript

Блог компании Бастион Информационная безопасность *JavaScript *Браузеры
Перевод


Cегодня браузеры играют жизненно важную роль в современных организациях, поскольку всё больше программных приложений доставляется пользователям через веб-браузер в виде веб-приложений. Практически всё, что вы делаете в Интернете, включает в себя применение веб-браузера, а потому он является одним из самых используемых потребительских программных продуктов на планете.

Работая дверями в Интернет, браузеры в то же время создают существенные угрозы целостности персональных вычислительных устройств. Почти ежедневно мы слышим новости наподобие "баг Google Chrome активно используется как Zero-Day" или "Google подтвердила четвёртый эксплойт Zero-Day Chrome за 2022 год". На самом деле, эксплойты браузеров не представляют собой ничего нового, их находят уже долгие годы, начиная с первого эксплойта для удалённого исполнения кода, задокументированного как CVE-1999-0280. Первым потенциально публичным раскрытием браузерного эксплойта, используемого в реальных условиях, стал эксплойт Aurora браузера Internet Explorer, который атаковал Google в декабре 2010 года.
Читать дальше →
Всего голосов 29: ↑29 и ↓0 +29
Просмотры 10K
Комментарии 2

От сервера с Авито до мировой экспансии. Что под капотом у российского клауд гейминга

Блог компании Город Иннополис IT-инфраструктура *Облачные сервисы *Игры и игровые консоли

Call of Duty: Modern Warfare 2 на Android — да, это законно

Кажется, облачный гейминг переживает не лучшие времена, но с этим стоит поспорить. Как минимум одна российская компания уверенно чувствует себя на этом рынке.

Мы позвали Сергея Панферова, основателя и генерального директора Loudplay, чтобы он рассказал как создавался их сервис, на каком стеке делали, какие проблемы решали, почему провалилась Google Stadia и как в последний момент выскочить из под санкционного пресса.

Читать далее
Всего голосов 19: ↑15 и ↓4 +11
Просмотры 3.8K
Комментарии 13

A/B тесты, принцип дефицита и летящие цены: как график цен влияет на поведение пользователей

Блог компании СберМегаМаркет Управление e-commerce *Управление продуктом *

График цен на маркетплейсе — напоминает биржевые сводки: если хочешь купить выгодно, мониторишь цену и ждешь подходящего момента. За этим сравнением стоит широко известное в психологии маркетинга когнитивное искажение.

В этом посте расскажем, как благодаря подсказкам пользователей мы изменили дизайн графика цен, при чем здесь психология и как редизайн повлиял на пользователей. А также попытаемся ответить на вопрос, действительно ли график цен так важен для маркетплейса.

Читать далее
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 2.3K
Комментарии 10

Как и чем отвечать на атаки: мнение лида группы реагирования

Блог компании Бастион Информационная безопасность *Управление проектами *


«Если не можете расшифровать наши данные, то зачем вы здесь?», — примерно так порой реагируют на приезд нашей команды. Сейчас все объясню, а заодно:


  • распишу, на какие стадии делится реагирование на инциденты, и как они выглядят на практике;
  • перечислю основные ошибки, которые играют на руку хакерам;
  • дам базовые советы по реагированию, которые сберегут ваши и наши нервы;
  • расскажу, как сыграть в русскую рулетку с шифровальщиком;
  • и приду к спорным выводам.
Читать дальше →
Всего голосов 25: ↑25 и ↓0 +25
Просмотры 4.3K
Комментарии 4

От стартапа до лоббиста: как Hive и Иннополис создают будущее беспилотной авиации

Блог компании Город Иннополис Производство и разработка электроники *Мультикоптеры

Привет, Хабр! Меня зовут Николай Ряшин, я генеральный директор компании Hive. Мы создаем, тестируем и устанавливаем дронопорты — автоматизированные станции для обслуживания беспилотников.

Сегодня я хочу рассказать, зачем дроны бороздят просторы Иннополиса, почему в России до сих пор нет беспилотной авиадоставки, и какие шаги мы делаем, чтобы это изменить.

Читать далее
Всего голосов 19: ↑19 и ↓0 +19
Просмотры 3.3K
Комментарии 4

Сравниваем качество русскоязычных SaaS-систем в задаче распознавания интентов

Блог компании Ростелеком Мессенджеры *Машинное обучение *Исследования и прогнозы в IT *

Продуктовый офис B2O Ростелекома предлагает продукты операторам связи, которые помогают решать задачи бизнеса. Один из таких продуктов - чат-бот. Ключевая задача в развитии диалоговых систем связана с улучшением понимания намерений пользователей — увеличением точности распознавания интентов — intent recognition.

Эту задачу решают десятки движков для машинного обучения, но качество их работы меняется в зависимости от языка и размера датасета, на котором обучен алгоритм. Выбор далеко не очевиден, поэтому мы решили внести немного ясности в этот вопрос и провести исследование — сравнить семь русскоязычных SaaS-систем. Что из этого вышло — читайте под катом.

Читать далее
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 1K
Комментарии 0

Инструкция: как открыть программу баг-баунти и не облажаться

Блог компании Бастион Информационная безопасность *

Перед тем как написать этот пост, я расспросил знакомых из разных IT-компаний и столкнулся с полярными мнениями. Одни горячо топили за bug bounty и говорили, что это чуть ли не лучший способ поддерживать безопасность (правда часто оказывалось, что программу открыли еще до их найма), другие уверены, что это слишком рискованно.

Истина, как всегда, где-то посередине. Спешный запуск bug bounty будет опасной авантюрой. Вдумчивый — становится контролируемым мероприятием, которое приносит предсказуемую пользу, но в любом случае такую программу нельзя назвать универсальным ответом на киберугрозы.

Прочитать и положить в закладки
Всего голосов 24: ↑23 и ↓1 +22
Просмотры 1.8K
Комментарии 3

Я загрузил 4000 вирусов в разные облачные хранилища, и вот что из этого вышло

Блог компании Бастион Информационная безопасность *Антивирусная защита *Облачные сервисы *
✏️ Технотекст 2022

Эксперты регулярно объявляют то одно, то другое файловое хранилище новой базой для хакерских атак. Это актуальная проблема, и по идее владельцы этих сервисов должны с ней бороться. Поэтому я решил провести небольшое исследование, завести аккаунты в известных облачных сервисах и проверить эффективность антивирусной защиты.

Читать далее
Всего голосов 106: ↑106 и ↓0 +106
Просмотры 61K
Комментарии 70

TorchOk — представляем open-source пайплайн для обучения нейросетей в компьютерном зрении

Блог компании Город Иннополис Open source *Машинное обучение *

Иннополис — место, где формируются идеи, которые затем вырываются в большой мир, чтобы сделать его немного лучше, удобнее и технологичнее. Так произошло и с разработками компании EORA, которая опубликовала пайплайн для машинного обучения, заточенный под работу с компьютерным зрением.

Все необходимое для работы с ним опубликовано на GitHub под лицензией Apache 2.0, но если хотите подробностей из первых уст — добро пожаловать под кат. Передаем слово руководителю отдела компьютерного зрения EORA Data Lab Владу Виноградову.

Мы много лет разрабатывали TorchOk, и чувствуем, что настало время для презентации: нам есть, что показать и о чем рассказать.

Читать далее
Всего голосов 20: ↑20 и ↓0 +20
Просмотры 6.1K
Комментарии 7

5 способов, как взять домен с помощью PetitPotam

Блог компании Инфосистемы Джет Информационная безопасность *Тестирование IT-систем *

В последнее время почти на каждом проекте по внутреннему пентесту я встречаю уязвимость PetitPotam. И почти всегда она помогает в получении привилегий администратора домена. При наличии доменной учетной записи (в некоторых случаях возможна эксплуатация уязвимости без аутентификации) атакующий может с помощью специально сформированного запроса заставить уязвимый хост выполнить обращение к произвольному хосту с передачей аутентификационных данных.

В этой статье я расскажу, как использую эту уязвимость и как мне удалось получить привилегии администратора домена пятью разными способами в реальных проектах.

Подробнее — под катом.

Читать далее
Всего голосов 14: ↑12 и ↓2 +10
Просмотры 6.4K
Комментарии 2

150+ хакерских поисковых систем и инструментов

Блог компании Бастион Информационная безопасность *Поисковые технологии *

Все таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков. Под катом ссылки на некоторые из них.

Пост состоит из 8 объемных разделов:

1. метапоисковики и поисковые комбайны;

2. инструменты для работы с дорками;

3. поиск по электронной почте и логинам;

4. поиск по номерам телефонов;

5. поиск в сети TOR;

6. поиск по интернету вещей, IP, доменам и поддоменам;

7. поиск данных об уязвимостях и индикаторов компрометации;

8. поиск по исходному коду.

В этом списке собраны инструменты, которые члены нашей команды используют в работе. И все же, эта подборка пригодится не только пентестерам, но и разработчикам, журналистам, HR, маркетологам и всем, кто много ищет в интернете. Знания — это сила. Используйте их во благо.

Читать далее
Всего голосов 64: ↑61 и ↓3 +58
Просмотры 36K
Комментарии 6

Как найти и устранить IDOR — ликбез по уязвимости для пентестеров и веб-разработчиков

Блог компании Бастион Информационная безопасность *Разработка веб-сайтов *Разработка мобильных приложений *

99% того, что я делаю — использование ошибок, которых можно избежать. Сегодня я расскажу про IDOR — одну из самых распространенных и простых в использовании веб-уязвимостей. С ее помощью можно посмотреть чужие фотографии в социальной сети или получить скидку в интернет-магазине, а можно заработать тысячи долларов баг-баунти.

На примерах из практики я покажу, как хакеры находят и эксплуатируют ошибки бизнес-логики в приложениях и дам практические советы по их устранению на этапе разработки.

Читать далее
Всего голосов 22: ↑21 и ↓1 +20
Просмотры 6.2K
Комментарии 5

Больше, чем новый логотип: как дизайнили приложение СберМегаМаркет

Блог компании СберМегаМаркет Дизайн мобильных приложений *

Привет, мы — команды мобильной разработки и дизайна СберМегаМаркета. В этой статье мы расскажем, какие сложности скрываются за, казалось бы, относительно простым с технической точки зрения редизайном мобильного приложения.

В процессе мы решили, что не все ошибки стоит немедленно исправлять и провели с десяток бессонных и одну нервную ночь перед самым релизом.

27 апреля 2021 года мы объявили о ребрендинге, в процессе которого маркетплейс получил не только новое имя и логотип, но изменился также фирменный стиль и цветовая гамма, добавились сервисные возможности и новые средства идентификации. Подготовка началась примерно за несколько месяцев до официального релиза, но у нас было несколько крупных итераций, в результате которых фактически процесс приходилось полностью начинать заново. 

Читать далее
Всего голосов 10: ↑6 и ↓4 +2
Просмотры 2.4K
Комментарии 9

Технология обмана. Что такое Deception и как теперь обманывают хакеров

Блог компании Бастион Информационная безопасность *Сетевые технологии *
Из песочницы

Ты наверняка слышал про ханипоты — цели-приманки, по атакам на которые вычисляют хакеров. В последние годы эта технология проапгрейдилась и теперь носит общее название Deception. О том, в чем отличия и как хакеров пытаются водить за нос, мы и поговорим.

Читать далее
Всего голосов 48: ↑46 и ↓2 +44
Просмотры 14K
Комментарии 10

Бесконтрольный доступ и рассеянность: итоги одного пентеста

Блог компании Бастион Информационная безопасность *Тестирование веб-сервисов *Управление персоналом *


В этом проекте нет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за человеческого фактора: простой ошибки веб-разработчиков или неаккуратных сотрудников. Такие случаи напоминают о том, что невозможно предусмотреть все заранее и доказывают важность проведения тестов на проникновение.

Читать дальше →
Всего голосов 36: ↑35 и ↓1 +34
Просмотры 11K
Комментарии 13

Информация

В рейтинге
178-й
Откуда
Москва и Московская обл., Россия
Работает в
Зарегистрирован
Активность