Как стать автором
Обновить
926.8

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

Как провести фаззинг REST API с помощью RESTler. Часть 2

Время на прочтение 7 мин
Количество просмотров 175

Всем привет! На связи Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security. В предыдущей статье мы рассказывали о Stateful REST API-фаззинге с применением инструмента RESTler. Сегодня мы поговорим о продвинутых возможностях RESTler-а и покажем, как настроить фаззер на примере более сложного приложения. Этот материал мы подготовили вместе с Артемом Мурадяном @TOKYOBOY0701, инженером по безопасности.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 0

Новости

Как собрать контейнер и не вооружить хакера

Время на прочтение 15 мин
Количество просмотров 971

Известно, что с контейнерами бывает огромное количество разнообразных проблем, в том числе,  связанных с информационной безопасностью. Как их избежать и не дать взломщику лазеек в ваш сервис — разбираемся в этой статье. 

Привет, Хабр! Это Алексей Федулаев и Антон Жаболенко из Wildberries. Мы работаем в сфере информационной безопасности (ИБ) уже больше 10 лет.

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 1

Как шутят математики. Шифры Фейнмана

Время на прочтение 7 мин
Количество просмотров 1.1K

Ранее я писал о взломе первого и второго шифра, придуманных математиком Полом Оламом ради розыгрыша своего друга Ричарда Фейнмана. Если описать контекст в нескольких словах, то эти шифры были одной из математических шуток, которые были в широком ходу у коллектива учёных, работавших на «продуктовой» базе в Лос-Аламосе над созданием той самой «ядрёной» бомбы. Также я упоминал о трёх других шифрах, авторство которых до сих пор достоверно неизвестно и вряд ли выяснится. Их называют шифрами Фейнмана, и до середины прошлого года два из них оставались нераскрытыми, о чём я также писал ранее. Так вот, в мае прошлого года это всё-таки свершилось и они были вскрыты. В этой статье я расскажу как.

Само собой разумеется, что работал с этими шифрами не я, но и мне здорово пришлось поломать голову, как это всё рассказать. Пришлось пройти весь путь и кое-что допилить, чтобы результат стал доступен как можно большему количеству людей на той части земной поверхности, которую со времён господина Стрельбицкого было принято называть «одной шестой». Автор взлома — Дэйв Вьера (David Vierra).

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Комментарии 3

Неприглядный бизнес монетизации браузерных расширений

Уровень сложности Простой
Время на прочтение 4 мин
Количество просмотров 1.1K

Всегда помните: если вы не платите за товар, то вы и есть товар.

В начале этого года я был в восторге от запуска ChatGPT, и в качестве небольшого проекта выходного дня я запустил ChatGPT Assistant, расширение для браузера, позволяющее легко отправлять подсказки в ChatGPT. Я никогда не планировал заниматься монетизацией; моей целью было просто создать бесплатное программное обеспечение, которое люди сочли бы полезным.

На данный момент в мире насчитывается около 26 000 человек с установленным ChatGPT Assistant. Для небольшого проекта меня такой результат вполне устраивает. Это скромное число по сравнению с другими расширениями Chrome с сотнями тысяч или миллионами пользователей, поэтому я не думал, что оно привлечет много внимания.

Я не ожидал, что будет дальше. В течение последующих недель стали появляться люди с предложениями по монетизации - причем некоторые из них были довольно неприятными.

Читать далее
Всего голосов 6: ↑5.5 и ↓0.5 +5
Комментарии 0

Истории

Настройка SAMLv2 федерации в OpenAM

Уровень сложности Средний
Время на прочтение 4 мин
Количество просмотров 114

В данном руководстве мы настроим федерацию между двумя инстансами OpenAM. Один инстанс будет Identity Provider (IdP), другой - Service Provider (SP). Таким образом вы можете аутентифицироваться в инстансе OpenAM (SP) используя учетные данные другого инстанса - OpenAM (IdP).

Читать далее
Рейтинг 0
Комментарии 0

Исследуем лицензирование Cockroach DB до Enterprise или не случившийся хард-реверс-инжиниринг

Уровень сложности Средний
Время на прочтение 4 мин
Количество просмотров 386

Как известно java компилируется в байт-код, скомпилированные классы также богаты мета-информацией для обеспечения механизма рефлексии что в совокупности позволяет довольно легко декомпилировать java-приложения обратно в java-код. Смотря в окошко рандомного java-приложения, строго требующего ключа активации, невольно ухмыляешься: знаю я, есть заветная строка в твоем коде, до которой добраться на самом деле не особо долго, да, есть обфускация, проверки через подпись с асимметричным шифрованием и т.д., но... ведь это только продлевает агонию и увеличивает трудозатраты вендора на не бизнесовый код, словом особенного смысла не имеет, все равно вскрывается довольно быстро.

Но как обстоят дела с приложениями написанными на языках компилирующихся сразу в машинный бинарь? Ну что ж, волею судеб пациентом был выбран Cockroach DB, а вернее его Enterprise часть, его мы и будем анализировать в этой статье.

Читать далее
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 0

Security Week 2412: атака на ChatGPT по сторонним каналам

Время на прочтение 5 мин
Количество просмотров 483
Исследователи из Университета имени Бен-Гуриона опубликовали работу, в которой показали новый метод атаки, приводящий к частичному раскрытию обмена данными между пользователем и ИИ-чатботом. Анализ зашифрованного трафика от сервисов ChatGPT-4 и Microsoft Copilot в некоторых случаях позволяет определить тему беседы, причем это не является атакой на собственно алгоритм шифрования. Вместо этого используется атака по сторонним каналам: анализ зашифрованных пакетов позволяет определить длину каждого «сообщения». Примечательно, что для расшифровки трафика между большой языковой моделью (LLM) и пользователем используется еще одна, специально подготовленная LLM.


Атака возможна исключительно в потоковом режиме передачи данных, когда ответ от ИИ-чатбота передается в виде серии зашифрованных токенов, каждый из которых содержит одно или несколько слов. Такой способ передачи соответствует методу работы языковой модели, когда каждое предложение разбивается на отдельные слова либо даже фрагменты слов для последующего анализа. Авторы работы считают уязвимыми большинство современных ИИ-чатботов, за исключением Google Bard и Github Copilot (принцип взаимодействия с которым отличается от Microsoft Copilot, несмотря на использование одной и той же модели GPT-4). В большинстве случаев запрос от пользователя передается на сервер одним куском, а вот ответ представляет собой серию токенов, передающихся последовательно и в режиме реального времени. До шифрования данные никаким образом не изменяются, а значит, появляется возможность вычислить длину зашифрованного фрагмента. А уже из этих данных получить представление о теме беседы.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 0

Телефонные мошенники: как банк становится соучастником

Уровень сложности Простой
Время на прочтение 3 мин
Количество просмотров 5.4K

Эта статья частично не соответствует тематикам хабра, но основанная на моем личном опыте и касается важной составляющей информационной безопасности.

Исходя из постоянного новостного фона, про телефонных мошенников, казалось бы что мы уже знаем об этом всё, чтобы на это не вестись, да и в целом сложно найти человека, кому хоть раз бы не поступал звонок из “службы безопасности”.

Но увы все не так просто...

Читать далее
Всего голосов 13: ↑12 и ↓1 +11
Комментарии 43

Как поменялась защищенность российских компаний за год? Делимся результатами исследования

Время на прочтение 3 мин
Количество просмотров 768

Привет, Хабр!

Каждую весну мы традиционно несем в массы результаты нашего глобального исследования. Это исследование мы проводим вот уже седьмой год подряд рамках серии практических конференций Road Show SearchInform. В 2023 году мы опросили 1200 руководителей и сотрудников ИБ‑подразделений российских компаний. Под катом вы найдете самые интересные и показательные цифры, которые мы получили.

Читать далее
Всего голосов 13: ↑11 и ↓2 +9
Комментарии 2

Как запороть фишинг: советы пентестерам

Уровень сложности Простой
Время на прочтение 4 мин
Количество просмотров 2.3K

Добрый день, уважаемые коллеги. Меня зовут Семьянов Дмитрий и я специалист по тестированию на проникновение в группе компаний Innostage. Мы в команде регулярно проводим фишинг в рамках повышения киберустойчивости. За многолетний опыт мы набили много шишек и с радостью дадим вам вредных советов, чтобы вы могли набить такие же. Конечно, это не все неприятности, которые может встретить перед собой специалист при проведении фишинга, но в этой статье мы затронули самые основные и неприятные. Хорошим пентестерам к прочтению запрещено!

Читать далее
Всего голосов 12: ↑11 и ↓1 +10
Комментарии 2

Карьера в кибербезопасности, или Как расти в ИБ

Уровень сложности Простой
Время на прочтение 7 мин
Количество просмотров 5.1K

Ежегодно тысячи выпускников программ по ИБ, начиная свой карьерный путь, задаются вопросами: как развиваться в кибербезопасности и к какой должности стремиться? какие задачи я смогу решать через несколько лет? смогу ли я изменить свой карьерный путь, если пойму, что мне становится скучно? Меня зовут Дмитрий Федоров, я руковожу проектами по взаимодействию с вузами в команде Positive Education. Мы часто слышим эти вопросы, лично работая со студентами и молодыми специалистами, поэтому решили ответить на них, а в итоге у нас получились наглядные схемы развития карьеры в ИБ.

Поизучать схему карьеры в ИБ
Всего голосов 6: ↑4 и ↓2 +2
Комментарии 12

Удаленный доступ с помощью Континент TLS

Уровень сложности Средний
Время на прочтение 7 мин
Количество просмотров 2.6K

По статистике Positive Technologies за 2020 год в 100% компаний выявлены нарушения регламентов информационной безопасности. Среди всех нарушений в 64% компаний используются незащищенные протоколы. Незащищенный протокол означает, что данные передаются без шифрования и не имеют защиты от злоумышленников.

И, если с защитой каналов связи между филиалами (Site-to-Site VPN) все понятно, то с удаленным доступом все не так просто. Многие компании используют ПО для удаленного доступа, нарушая собственные регламенты, а в некоторых случаях и законодательство.

Читать далее
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 3

Без про-v-ода. Поднимаем точку доступа ловушку, тестируем сети на проникновение

Время на прочтение 4 мин
Количество просмотров 6.8K

Снова рад приветствовать всех читателей статьи! Продолжаю рубрику "Без про-v-ода" в которой я рассказываю про беспроводные технологии, сети, устройства, их эксплуатацию и тестирование на безопасность. Сегодня хочу рассмотреть с вами так же некоторые инструменты для тестирования на безопасность, а так же любопытный инструмент против любителей халявы.

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

Читать далее
Всего голосов 8: ↑5 и ↓3 +2
Комментарии 2

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн

Обнаружение SSH-туннелей по размеру пакетов

Уровень сложности Средний
Время на прочтение 8 мин
Количество просмотров 11K

Иллюстрация из книги «Справочник киберсантехника»

Протокол SSH — очень мощный инструмент, который используется для удалённой консоли или передачи файлов (scp, sftp). Есть менее известная функция перенаправления портов. Такие SSH-туннели используются для пробития файрволов и хорошо скрываются от обнаружения стандартными средствами мониторинга типа Trisul, Zeek (ранее был известен как Bro), Suricata и Snort. Поэтому для их обнаружения в корпоративной сети используются другие методы.
Читать дальше →
Всего голосов 64: ↑60 и ↓4 +56
Комментарии 19

Open Canary – приманка для хакера

Уровень сложности Простой
Время на прочтение 6 мин
Количество просмотров 3K

Приманивание является одним из распространенных способов выявления активностей злоумышленников. Решения класса honeypot (горшочек с мёдом) это ресурс, представляющий собой приманку для злоумышленников. На практике это как правило специальное приложение, эмулирующее наличие уязвимых сервисов на открытых портах. Это может быть веб сервер, база данных, файловый ресурс и т.п. Основная задача honeypot это привлечение внимания злоумышленника для того, чтобы, во-первых, заставить его тратить время на взлом не представляющих реальной ценности ресурсов, во-вторых, с помощью приманки нам легче обнаружить хакера и принять защитные меры до того, как он начнет ломать реальные ресурсы, и в-третьих, с помощью honeypot мы может собирать информацию об используемых злоумышленниками методах взлома.

Однако, приманки должны не просто эмулировать уязвимые системы, они должны также сообщать обо всех действиях, выполняемых злоумышленником. Как правило, на практике все сколько-нибудь значимые действия атакующих фиксируются в журналах событий.

При этом фиксируется время, команды, введенные злоумышленником, IP адреса с которых выполнялось подключение, имена пользователей, пароли и другая информация, используемая для взлома. Конечно, лучше всего пересылать все зафиксированные события в SIEM для последующего анализа.

Читать далее
Всего голосов 14: ↑12 и ↓2 +10
Комментарии 1

DLP: предотвращаем утечки

Время на прочтение 8 мин
Количество просмотров 1.8K

Утечки данных являются одной из главных проблем современного мира ИТ. Персональные данные, конфиденциальная информация, коммерческая тайна а иногда и что-то более секретное периодически у кого-нибудь утекает и всплывает на просторах Даркнета, телеграмм каналах для пробива и прочих полезных сомнительных ресурсах.

При этом, уже не одно десятилетие существуют системы предотвращения утечек (DLP). Но прежде, чем идти дальше и говорить о проблемах внедрения DLP, давайте правильно расшифруем данную аббревиатуру. DLP это Data Leak Prevention, предотвращение утечек информации. Можно встретить расшифровку Data Loss Prevention – то есть предотвращение потери информации. Однако, потеря информации и ее утечка - это немного разные вещи. При потере информации она совершенно необязательно становится доступной посторонним, в то время как утечка информации однозначно определяет получение доступа к ней посторонних.

Так шифровальщик может только зашифровать файлы, в результате чего информация может быть потеряна, но не украдена. И наоборот, утечка информации посредством копирования не ведет к ее потере. 

Но это было лишь небольшое лирическое отступление. Вернемся непосредственно к DLP системам.

Читать далее
Всего голосов 11: ↑9 и ↓2 +7
Комментарии 1

Я знаю, каким был твой пароль прошлым летом…

Время на прочтение 9 мин
Количество просмотров 9.3K

Мы провели последние шесть месяцев за изучением взломанных, за последние два года, паролей и создали несколько инструментов позволяющих лучше понять стратегии их создания. И вот, что получилось в результате.

Читать далее
Всего голосов 13: ↑7 и ↓6 +1
Комментарии 3

Пин коды от кредитных карт. Трудно запомнить. Нельзя забыть. Поэтому я их пишу прямо на самих картах

Уровень сложности Простой
Время на прочтение 2 мин
Количество просмотров 18K

Когда у человека одна кредитная/дебитная карта, то думаю, он вполне сможет запомнить ее пин код. И когда две тоже. Когда их три и более, то уже можно и записать на всякий случай. А где лучше записать пин код? Правильно! Прямо на самой карте!

Читать далее
Всего голосов 37: ↑14 и ↓23 -9
Комментарии 101

Хакатон Demhack: успехи проектов и новый анонс

Время на прочтение 8 мин
Количество просмотров 1.9K

В сентябре 2023 года прошёл седьмой хакатон Demhack. Тогда особенно тревожной была ситуация с VPN, которые массово начали блокироваться в России через ТСПУ. И естественно эта тема стала центральной. Вторым значительным направлением разработки внезапно оказались инструменты для выявления пропаганды и манипуляций в СМИ и социальных сетях — и в результате хакатона мы смогли получить несколько отличных проектов.

Расскажем сегодня о том, как развиваются лучшие проекты Demhack 7 (и сделаем небольшой анонс нового хакатона!). Итак, чем же помогают эти инструменты, в чём их ценность именно сейчас и что они планируют развиваться дальше?

Видеть манипуляции насквозь

Одним из победителей прошлого хакатона стал проект Textgericht — решение для проверки текстов на признаки манипуляций, логических ошибок и хейт‑спич. После хакатона проект продолжил работу и взял себе название «Насквозь».

Система «Насквозь», используя искусственный интеллект, анализирует новости из Telegram‑каналов и выявляет манипуляции в них, а затем выдаёт итог в виде процентного соотношения. Получается своеобразный «термометр пропаганды» — инфографика, которая иллюстрирует ситуацию в режиме онлайн:

Читать далее
Всего голосов 29: ↑25 и ↓4 +21
Комментарии 7

Как взломают ваш Postgres

Уровень сложности Простой
Время на прочтение 2 мин
Количество просмотров 13K

Все знают что плохо оставлять дефолтные пароли. Но что произойдет если поднять PostgreSQL позабыв о безопасности? Нас взломают? Как быстро взломают?

Я развернул PostgreSQL, настроил сборку логов и ниже расскажу что будет (спойлер — вас очень быстро похекают).

Что случилось?
Всего голосов 19: ↑15 и ↓4 +11
Комментарии 26