Pull to refresh
264
0
Лука Сафонов @LukaSafonov

информационная опасность

Send message

Установка и настройка сервера Matrix Synapse + PostgreSQL + Admin UI + Element WEB. Ubuntu 20 LTS / Ubuntu 22 LTS

Level of difficulty Medium
Reading time 11 min
Views 29K

Всем привет. В данном гайде я постарался пошагово, подробно и доступно описать процесс установки на свой сервер Matrix Synapse + Element WEB + Admin UI на базе Ubuntu 20 LTS / Ubuntu 22 LTS.

Столкнувшись с задачей поднять свой сервер я затратил очень много времени на установку, настройки и отладку некоторых настроек. В сети были разные гайды, но все они так или иначе не работали на все 100.

Разобравшись с данным вопросом и затратив не мало усилий я решил поделиться своими результатами с сообществом habr.

Читать далее
Total votes 28: ↑27 and ↓1 +26
Comments 34

Как бесплатно запустить DAST на базе OWASP ZAP Automation Framework на своем проекте

Level of difficulty Medium
Reading time 5 min
Views 2.3K

Привет, меня зовут Олег Рыбченко, я работаю QA инженером в hh.ru. Количество атак на IT-инфраструктуру сегодня растет в геометрической прогрессии — об этом свидетельствуют многочисленные упоминания во всевозможных СМИ, так что не будем в очередной раз приводить графики и статистику. Разумеется, в таких условиях все больше компаний хотят позаботиться о безопасности своих сайтов и начинают проявлять интерес к современным автоматизированным инструментам по обнаружению уязвимостей.

В статье разберемся, как можно реализовать и получить полноценные отчеты динамического анализа с подробно описанными потенциальными уязвимостями с помощью DAST.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Comments 0

70+ бесплатных приманок для ловли хакеров

Reading time 12 min
Views 21K

Сегодня я хочу поделиться подборкой open source ханипотов, которые можно использовать для защиты своих серверов и локальных сетей от кибератак. Но для начала давайте разберемся, что такое ханипот и зачем он нужен.

Honeypot — это приманка для хакеров, которая имитирует реальную цель атаки. Он может имитировать любой цифровой актив, например, сервер, приложение, устройство или даже отдельный документ. Такие приманки создаются специально, чтобы привлечь внимание злоумышленников и отвлечь их от настоящих целей.

Читать далее
Total votes 49: ↑49 and ↓0 +49
Comments 4

Пишем расширение Chrome, которое ворует вообще всё

Reading time 10 min
Views 23K

Пусть Manifest v3 и ограничил возможности браузерных расширений, но я считаю, что они далеко не исчерпаны. Чтобы доказать это, создадим расширение Chrome, крадущее максимально возможное количество данных.

Мы добьёмся двух целей:

  • Исследуем грани возможного для расширений Chrome
  • Продемонстрируем, что вы подвержены опасности, если не будете аккуратны с тем, что устанавливаете.

Примечание: на самом деле реализация этого расширения — злодейство. Вам не следует использовать в злонамеренных целях полномочия расширений, красть пользовательские данные и создавать зловредные браузерные расширения. Любые реализации, производные расширения или применение этих техник без разрешения Национальной баскетбольной ассоциации не рекомендуются.
Читать дальше →
Total votes 41: ↑39 and ↓2 +37
Comments 12

Пишем GPT в 60 строк NumPy (часть 1 из 2)

Level of difficulty Medium
Reading time 16 min
Views 70K

В этом посте мы начнём реализацию с нуля GPT всего в 60 строках numpy. Во второй части статьи мы загрузим в нашу реализацию опубликованные OpenAI веса обученной модели GPT-2 и сгенерируем текст.
Читать дальше →
Total votes 96: ↑94 and ↓2 +92
Comments 33

CLI инструменты, которые облегчат времяпровождение в терминале и сделают его приятнее

Reading time 6 min
Views 49K

Многие из вас каждый день работают в терминале, так давайте улучшим это времяпровождение вместе. Существует множество полезных инструментов CLI, которые могут сделать вашу жизнь в командной строке проще, быстрее и в целом веселее.

В этом посте описан мой топ-25 обязательных инструментов CLI, на которые я привык полагаться. Если тут нет вашего любимого - дайте мне знать в комментариях :)

Читать далее
Total votes 114: ↑107 and ↓7 +100
Comments 83

Взламываем простой смарт-контракт в блокчейне TON

Reading time 12 min
Views 6.6K

В данной статье мы разберем взлом простейшего смарт-контракта в сети TON. Не переживайте, если вы не знаете, что такое TON или как писать смарт-контракты, в данной статье будет и краткий разбор для "профи блокчейн разработки", так и подробный разбор для новичков.

Читать далее
Total votes 6: ↑6 and ↓0 +6
Comments 3

Пример построения производственной ЛВС для очень простого объекта

Reading time 34 min
Views 13K

На habr достаточно много статей про информационную безопасность АСУТП и объектов критической информационной инфраструктуры. По некоторым статьям идет бурное обсуждение между специалистами по ИБ и инженерами АСУТП, и у сообщества инженеров АСУТП есть свое мнение по вопросам ИБ)). В любом случае, если на производстве есть инженер АСУТП, то вопросы информационной безопасности производственной ЛВС он как-то решает.

Но есть значительный пласт небольших и очень небольших автоматизированных производств, которые в силу своих крохотных размеров не имеют собственных специалистов с какими-либо компетенциями в области информационной безопасности, и создание "производственной ЛВС" зачастую поручается знакомому "продвинутому школьнику" или молодому самоучки-производственнику, обладющему минимальными знаниями по установки Windows, установки антивируса и настройки роутера для доступа в интернет. В таких компаниях потеря всей наработанной производственной информации в результате вирусного заражения или неквалифицированных действий не редкость.

В статье описывается практический пример по реализации минимальной защиты производственного сегмента ЛВС и организации хранения и резервного копирования производственной информации. Статья предназначена для пользователей, не имеющих специальных знаний в области сетевых технологий и информационной безопасности. Профессионалам читать не рекомендуется (или просьба отнестись снисходительно).

Читать далее
Total votes 6: ↑4 and ↓2 +2
Comments 5

Terraform за 15 дней (AWS/Yandex cloud). День 2: Поднимаем сервера

Reading time 5 min
Views 10K

Вчера мы остановились на инициализации terraform. Сегодня мы поднимем одну машину в дефолтной сети с дефолтными настройками. И Яндекс и aws изначально создают вам одну VPC и подсети в ней.

Читать далее
Total votes 22: ↑18 and ↓4 +14
Comments 14

Terraform за 15 дней (AWS/Yandex cloud). День 3: data source и outputs

Reading time 7 min
Views 8.7K

Сегодня мы познакомимся с понятиями data source и output; посмотрим, как применяются изменения в уже существующей инфраструктуре.

Читать далее
Total votes 12: ↑10 and ↓2 +8
Comments 4

Магия ssh

Reading time 12 min
Views 62K

Разве что ленивый не писал про ssh и несмотря на это, данный протокол и его возможности не перестают меня восхищать. Здесь я хочу поделиться исключительно своим опытом использования сего замечательного инструмента в своих задачах (При этом активно применяю его даже при разработке на Windows).

Поскольку я программист, то инструментарий ssh часто нужен мне в разработке и для личных нужд. Самые частые задачи, которые я выполняю с его помощью (по частоте использования):

  • Удалённый доступ — логично, ведь для этого он и предназначался.
  • Монтирование папок по сети — очень удобно для работы с кодом на удалённой машине.
  • Удалённое выполнение команд — нечастая, но используемая мной операция. Удобно получать выхлоп команды в канал другой команды на текущей машине.
  • Запуск графических приложений на удалённой машине.
  • Проксирование трафика — способ перенаправления трафика. Этакий быстрый и простой аналог VPN.
  • Обратный ssh — использую для проброса портов к системам, находящимися за NAT, когда лень настраивать firewall.

Далее вкратце разберу каждый пункт, и особенно пути эффективного и простого использования под Windows.
Читать дальше →
Total votes 105: ↑97 and ↓8 +89
Comments 131

Terraform за 15 дней (AWS/Yandex cloud). День 1

Reading time 4 min
Views 22K

Terraform за 15 дней (AWS/Yandex). День 1

Мы от простого к сложному, поднимем небольшую инфраструктуру на aws и Яндекс (актуальность последнего я думаю объяснять не нужно). Так что по итогу вы сможете сказать: “Я изучал terraform от простого к сложному”.

Я постараюсь добавить все необходимые ссылки на документации и доп. источники, так что вы сможете дополнить необходимые знания, но данный курс (если это можно так назвать) скорее рассчитан на тех, кто в общем знаком с облачными технологиями. Это не пособие по terraform. Цель - помочь новичкам в данном вопросе начать изучать IaC и облака в целом. Некий quick start в terraform.

Изучить terraform
Total votes 18: ↑12 and ↓6 +6
Comments 4

Пора обновить ваш монитор

Reading time 16 min
Views 173K

Иллюстрация: Юлия Прокопова

Я программист. Я не занимаюсь цифровой живописью, обработкой фотографий, видеомонтажом. Меня действительно не волнует широкая гамма или даже правильная цветопередача. Я провожу большую часть своих дней в текстовом браузере, текстовом редакторе и текстовом терминале, глядя на едва движущиеся буквы.

Поэтому я оптимизирую настройки, чтобы показывать действительно, действительно хорошие буквы. Для этого необходим хороший монитор. Не просто нужен, а ОБЯЗАТЕЛЕН. А под «хорошим» я имею в виду настолько хороший, насколько это возможно. Это мои мысли, основанные на моём собственном опыте того, какие мониторы лучше подходят для программирования.
Читать дальше →
Total votes 181: ↑148 and ↓33 +115
Comments 991

Квалифицированная электронная подпись под macOS

Reading time 10 min
Views 121K

FYI. Статья написана в далеком 2019 году, делайте поправку на изменения.


Каждый предприниматель и руководитель ООО пользуется электронной подписью. Помимо КЭП для ЕГАИС и облачных КЭП для сдачи отчетности, выдаваемых банками и бухгалтерскими сервисами, особый интерес представляют универсальные УКЭП на защищенных токенах. Такие сертификаты позволяют только логиниться на гос.порталы и подписывать любые документы, делая их юридически значимыми.


Благодаря сертификату КЭП на USB-токене можно удаленно заключить договор с контрагентом или дистанционным сотрудником, направить документы в суд; зарегистрировать онлайн-кассу, урегулировать задолженность по налогам и подать декларацию в личном кабинете на nalog.ru; узнать о задолженностях и предстоящих проверках на Госуслугах.


Представленный ниже мануал поможет работать с КЭП под macOS – без изучения форумов КриптоПро и установки виртуальной машины с Windows.

Читать дальше →
Total votes 26: ↑24 and ↓2 +22
Comments 82

Трекеры от Google встроены в ряд официальных российских электронных ресурсов

Reading time 6 min
Views 18K

image


Google не то, чем кажется
Дж. Ассанж


Предваряю текст цитатой небезызвестного товарища Дж.Ассанжа, издавшего в свое время книгу «When Google Met WikiLeaks» в которой описываются некоторые факты и особенности тесного взаимодействия этой компании с правительством/спецслужбами США.


В статье проведен экспресс-анализ ряда официальных российских ресурсов на наличие сторонних зарубежных трекеров, с учетом того, что в современном мире некоторым ресурсам негоже пользоваться программным обеспечением, способным «выуживать» информацию о россиянах-пользователях и особенностях их поведения и априори передавать их на «заграничные» сервера.

Читать дальше →
Total votes 42: ↑36 and ↓6 +30
Comments 51

Что полезного можно вытащить из логов рабочей станции на базе ОС Windows

Reading time 5 min
Views 67K
Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.


Читать дальше →
Total votes 45: ↑44 and ↓1 +43
Comments 13

Книги для системного администратора. Моя книжная полка

Reading time 6 min
Views 477K
Книги.
Я считаю, что важнейшим инструментом получения скилов системного администрирования являются именно они — книги.
Нет специальных факультетов, обучающих «админству» — каждый постигает это самостоятельно. Путем проб, ошибок и боли, потере важных данных различных злоключений.
В начале пути сложно определиться, что же нужно прочесть — ведь массив информации столь огромен!
В данном посте я хочу собрать наиболее важные и значимые труды для системных администраторов.
Уклон будет на *nix админство, но, надеюсь тема окажется небезынтересной и для Windows коллег и в комметариях они заполнят мои пробелы.
Пост субьективен и отражает лишь мой собственный опыт — я раскажу о книгах, которые помогли моему становлению.

Читать дальше →
Total votes 51: ↑46 and ↓5 +41
Comments 45

Бесплатный учебник электроники, архитектуры компьютера и низкоуровневого программирования на русском языке

Reading time 2 min
Views 245K

Господа! Я рад сообщить, что наконец-то все желающие могут загрузить бесплатный учебник на более чем 1600 страниц, над переводом которого работало более полусотни человек из ведущих университетов, институтов и компаний России, Украины, США и Великобритании. Это был реально народный проект и пример международной кооперации.

Учебник Дэвида Харриса и Сары Харрис «Цифровая схемотехника и архитектура компьютера», второе издание, 2012, сводит вместе миры программного обеспечения и аппаратуры, являясь одновременно введением и в разработку микросхем, и в низкоуровневое программирование для студентов младших курсов. Этот учебник превосходит более ранний вводный учебник «Архитектура компьютера и проектирование компьютерных систем» от Дэвида Паттерсона и Джона Хеннесси, причем соавтор предыдущего учебника Дэвид Паттерсон сам рекомендовал учебник от Харрисов как более продвинутый. Следуя новому учебнику, студенты строят реализацию подмножества архитектуры MIPS, используя платы с ПЛИС / FPGA, после чего сравнивают эту реализацию с индустриальными микроконтроллерами Microchip PIC32. Таким образом вводится вместе схемотехника, языки описания аппаратуры Verilog и VHDL, архитектура компьютера, микроархитектура (организация процессорного конвейера) и программирование на ассемблере — в общем все, что находится между физикой и высокоуровневым программированием.

Как загрузить? К сожалению, не одним кликом. Сначало надо зарегистрироваться в пользовательском коммьюнити Imagination Technologies, потом зарегистрироваться в образовательных программах на том же сайте, после чего наконец скачать:
Читать дальше →
Total votes 117: ↑114 and ↓3 +111
Comments 66

Куда и как уходят e-mail? Интерактивное объяснение от Google

Reading time 1 min
Views 1.4K


Корпорация Google не только создает интересные сервисы и продукты, но и старается объяснять принцип работы своих сервисов. На днях было создано интерактивное руководство, показывающее путь обычного электронного сообщения от отправителя к адресату. При этом попутно объясняется, откуда берется дополнительная энергия на нужды дата-центров компании, как ящик пользователя оберегается от вирусов и спама, плюс еще несколько интересных моментов.

Читать дальше →
Total votes 50: ↑41 and ↓9 +32
Comments 23

Основы медиапланирования рекламной кампании и анализа семантического ядра в Яндекс.Директ

Reading time 4 min
Views 6.4K


Недавно к нам пришел очередной рекламодатель. Сфера деятельности — продажа светодиодного оборудования — большие прожекторы и светодиодные ленты для уличного освещения и подсветки зданий и витрин. Соответственно речь идет о B2B, клиенту интересны только крупные заказы в его тематике со стороны строительных организаций, управляющих компаний, сектора ЖКХ и «совсем не интересны те кто хочет купить пару ламп для того чтобы сделать красивое освещение у себя на балконе».

Тематика достаточно узкая, рынок зрелый, среднеконкурентный, с устойчивым и сформированным спросом. Клиент давно и успешно торговал в оффлайне и решил попробовать интернет, благо в деньгах для расширения сфер влияния проблем нет. Стоит задача покрыть всю целевую аудиторию и сконвертировать максимально доступное количество клиентов. С собой принес медиаплан, рассчитанный с помощью прогнозатора Директа его отделом маркетинга.

Читать дальше →
Total votes 74: ↑65 and ↓9 +56
Comments 36

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Works in
Date of birth
Registered
Activity