ASML, лидер на рынке литографических систем, обеспечивает работой 23 000 сотрудников, около 40% из которых не являются гражданами Нидерландов. Крупнейшая технологическая компания Европы покупает комплектующие из разных стран мира, но собирает своё оборудование в городе Велдховен, Нидерланды. Из-за мирового роста спроса на продукцию компания планирует поступательное расширение. Этим планам мешали действия чиновников, так что ASML решила перенести штаб-квартиру в другое государство. Но, похоже, руководство удалось переубедить. Как именно? Подробности — под катом.
главный редактор медиа Pro космос
Уязвимости на GitHub: в библиотеке Ruby, которую скачали 250 000 раз, модулях для электронных замков и популярных играх
В конце марта в блоге GitHub вышла статья, как защищаться от уязвимостей типа RepoJacking. В первых строчках автор советовал использовать пакетные менеджеры типа NPM и PyPI, чтобы киберугроза этого вида «не угрожала пользователю напрямую». Можно было бы вздохнуть с облегчением, но читатели Хабра уже знают об исследовании команды МТС RED ART, которое позволило найти более 1300 уязвимых для RepoJacking репозиториев.
Меня зовут Андрей Сомсиков, я — руководитель команды МТС RED ART. В этой статье — вторая часть нашего исследования уязвимых репозиториев на GitHub. Мы нашли уязвимости в популярных библиотеках: для разработки на Ruby, для электронных замков и даже для пользователей Reddit и Minecraft. Но не всё так страшно! В конце дам рекомендации от всей нашей команды по борьбе с уязвимостями в популярных хостингах кода.
Новые угрозы в OWASP API Security Top 10
Всем привет! Сегодня мы будем говорить о новых рисках в OWASP API Security Top 10, что плохого они нам обещают и что со всем этим можно сделать.
В 2023 году некоммерческая организация OWSAP обновила свой отчёт и выпустила новую версию 2023. По сравнению с 2023 годом, перечень рисков претерпел довольно сильные изменения, которые мы постарались представить в виде таблицы. Дополнительно, в таблице отмечено, какие из пунктов уже сейчас покрываются продуктами от «Выбмониторэкс», а какие будут закрыты в ближайшем будущем.
Блокирование веб-атак на тестовый сервис: опыт использования SolidWall для защиты позитивной моделью
Когда мы развернули SolidWall для наших клиентов, у нас появилась мысль посмотреть, как будут обнаруживаться и блокироваться атаки на тестовый сервис, например на Juice Shop.
Мы хотели сделать разбор всех простых загадок Juice Shop с одной звездой, но с учетом скриншотов в формат статьи влезла только одна: «Zero Stars Give a devastating zero-star feedback to the store. Improper Input Validation». Она интересна тем, что от нее сложно защититься негативной моделью (сигнатурами), но легко - позитивной моделью, хорошо развитой у SolidWall.
Кибератаки уровня «космос»: зачем хакеры взламывают спутники и к чему это приводит
Есть ли в космосе место для хакеров? Увы, где человек что-то сотворил, найдутся и те, кто захочет созданное разрушить или обратить себе на пользу. Единственного в истории подозреваемого в хакерстве на орбите — астронавта Энн Маклейн — суд оправдал. Зато соседи по планете неоднократно наносили недружественный визит космической инфраструктуре.
Меня зовут Денис Макрушин, я — технический директор компании МТС RED. Специально к Дню космонавтики расскажу, как злоумышленники нарушают киберустойчивость спутниковой инфраструктуры и как им можно противостоять.
Как задеплоить сайт в облако. Инструкция для новичков
Опубликовать сайт можно разными способами. Например, если проект лежит в репозитории на GitHub, можно воспользоваться GitHub Pages. Но если вы не боитесь трудностей, советуем попробовать кое-что поинтересней — разместить сайт на облачном сервере.
Новичкам этот способ может показаться сложным. Но на самом деле он очень удобен, потому что вы сможете легко масштабировать архитектуру проекта и гибко управлять мощностями сервера.
Stable Diffusion: text-to-person
Многие из вас сталкивались со Stable Diffusion
и знают, что с помощью этой нейросети можно генерировать разнообразные изображения. Однако не всем интересно создавать случайные картинки с кошкодевочками, пускай даже и красивыми, и всем прочим. Согласитесь, было бы гораздо интереснее, если бы можно было обучить нейросеть создавать изображения... нас самих? Или наших любимых актёров и музыкантов? Или наших почивших родственников? Конкретных людей, в общем, а не какие-то собирательные образы из того, что было заложено при обучении нейросети. И для достижения этой цели нам потребуется обучить некую модель. Этим мы и займёмся, пытаясь определить наиболее оптимальный воркфлоу и максимально его автоматизировать.
Небольшая компания представила процессор с 900 тыс. ядер. Что это за чудо технологий?
О компании Cerebras на Хабре писали несколько раз, чаще всего с упоминанием того, что она создала самый большой в мире процессор. И сейчас та же ситуация — она повторила свой рекорд, разработав гигант с 900 тыс. вычислительных ядер. Конечно, это чип не для обычных пользователей, а для работы в отрасли искусственного интеллекта. Что это за процессор и на что он способен? Подробности — под катом.
Добычу гелия-3 собираются начать уже в 2028 году. Кому и зачем это нужно?
На днях компания Interlune из Сиэтла сделала интересное заявление: она разрабатывает роботизированный «харвестер» для добычи гелия-3 на Луне. Кроме того, ценный ресурс затем планируется доставить на Землю. В целом, изотоп можно использовать в разных отраслях, но он наиболее ценен для термоядерной энергетики. Которой, к сожалению, ещё нет, и она постоянно «где-то там». Так с какой целью планируется начать реализацию проекта? Об этом — под катом.
Надежный обход блокировок в 2024: протоколы, клиенты и настройка сервера от простого к сложному
Поскольку блокировки интернета в РФ в последние недели и месяцы многократно активизировались, а маразм все крепчает и крепчает, стоит еще раз поднять тему обхода этих самых блокировок (и делаем ставки, через сколько дней на эту статью доброжелатели напишут донос в РКН чтобы ограничить к ней доступ на территории страны).
Вы, наверняка, помните отличный цикл статей на Хабре в прошлом году от пользователя MiraclePtr, который рассказывал о разных методах блокировок, о разных методах обхода блокировок, о разных клиентах и серверах для обходов блокировок, и о разных способах их настройки (раз, два, три, четыре, пять, шесть, семь, восемь, десять, десять, и вроде были еще другие), и можете спросить, а зачем еще одна? Есть две основные причины для этого.
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Под катом мои комментарии на некоторые тезисы.
{/UPD}
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Может рухнуть при первой атаке. Почему компаниям важно прокачивать киберграмотность
Утечка конфиденциальных данных или нарушение работы информационных систем может привести к серьёзным последствиям: финансовым потерям, утрате доверия клиентов, репутационным рискам. Во многих компаниях это понимают. Или нет? И все ли достаточно осведомлены о способах защиты от киберугроз?
Методы защиты, которые недавно были достаточными, сегодня становятся устаревшими и неэффективными. Важно постоянно следить за динамикой и тенденциями в сфере ИБ — как угроз, так и способов противодействия им.
Мы провели опрос, чтобы дать возможность пользователям Хабра высказать своё мнение об уровне защищённости компаний от киберугроз — и оценить важность информационной безопасности.
Триумф и трагедия «Бурана»
Ровно 30 лет назад с космодрома Байконур на ракете-носителе «Энергия» в свой единственный полёт отправился корабль «Буран». В полностью автоматическом режиме он совершил 2 витка вокруг Земли и успешно приземлился спустя 205 минут. Это стало несомненным триумфом советской космонавтики, впервые в мире сумевшей посадить многоразовый космоплан в автоматическом режиме на землю.
Но спустя всего год работы по проекту были приостановлены, а в 1993 году — и вовсе прекращены. В 2002 году единственный летавший в космос «Буран» был навсегда погребён под обломками цеха в котором хранился. Об предпосылках к появлению проекта «Энергия-Буран», его ходе и печальном завершении, пойдёт сегодня речь.
Обзор мультифакторной аутентификации в облаке Microsoft Azure
Linux на ПК получил 4% рынка десктопов. Это новый рекорд, но чем он объясняется?
Доля операционной системы Linux на настольных компьютерах никогда не была большой. Тем не менее она постепенно продолжает увеличиваться. Сейчас, в 2024 г., этот показатель достиг 4% — за три года он вырос на 2%. Что послужило причиной такого активного роста? Об этом — в продолжении.
TOTP (Time-based one-time Password algorithm)
С ростом числа угроз кибербезопасности, для разработчиков становится все более и более необходимым обновлять стандарты безопасности веб-приложений и быть при этом уверенными в том, что аккаунты пользователей в безопасности. Для этого в настоящее время многие онлайн-приложения просят пользователей добавить дополнительный уровень безопасности для своей учетной записи. Они делают это за счет включения двухфакторной аутентификации. Существуют различные методы реализации двухфакторной аутентификации, и аутентификация TOTP (алгоритм одноразового пароля на основе времени) является одним из них.
Чтобы понять, что из себя представляет TOTP и как он используется, необходимо сначала кратко рассмотреть более базовые понятия. Первое из них – двухфакторная аутентификация. Двухфакторная аутентификация (или многофакторная аутентификация) — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. Это означает, что после включения двухфакторной аутентификации пользователь должен пройти еще один шаг для успешного входа в систему. Стандартные шаги для входа в учетную запись – это ввод логина и ввод пароля (рис.1).
Связь в космосе: как это работает
Кадр из фильма “Космическая одиссея 2001 года” (1968)
Представьте, что вам нужно пробросить песчинку через ушко иглы с расстояния 16 000 километров. Примерно тем же самым занимались ученые, отправив в 2004 году к комете Чурюмова-Герасименко межпланетную станцию «Розетта». В 2015 году станция и комета находились на расстоянии около 265,1 млн км от Земли. Однако надёжная связь позволила «Розетте» не только сесть на комету, но и получить ценнейшие научные данные.
Сегодня космическая связь — одно из самых сложных и перспективных направлений развития коммуникационных технологий. Орбитальные спутники уже дали нам GPS, ГЛОНАСС, глобальные точнейшие цифровые карты, интернет и голосовую связь в самых отдаленных районах Земли, но мы смотрим дальше. Как космическая связь работает сейчас и что нас ожидает в будущем?
Технологии будущего: отказ от физических SIM-карт
Кадр из фильма “Kingsman: Секретная служба” (2015)
За годы устройство физических SIM-карт почти не изменилось. Конечно, они уменьшились в размерах: Mini-SIM 25 x 15 мм, Micro-SIM 15 х 12 мм, Nano-SIM 12,3 x 8,8 мм. Однако SIM-карты сохраняли функциональность и совместимость вне зависимости от формата. И вам всё равно нужно вставлять небольшую пластиковую карту в телефон или планшет, чтобы подключиться к мобильной сети.
Когда на рынке впервые появились двухсимочные смартфоны, они вызвали большой интерес у пользователей, которые пытались решить проблемы доступности сети, экономии, роуминга и так далее. В какой-то момент и этот путь эволюции телефонов зашел в тупик — физически невозможно установить количество SIM-карт, достаточное для удовлетворения всех запросов пользователя. Сейчас появляются решения, позволяющие выбирать любую сеть в любой момент времени. При этом не понадобится никаких действий с самой SIM-картой — в новых устройствах ее просто не будет.
John the Ripper и Hashcat. Эволюция брутфорса
Шифровальная машина M-209B стала прообразом первой юниксовой утилиты для шифрования паролей
crypt
Кража баз паролей из взломанных систем — распространённая проблема. Особенно остро она стояла в первые годы развития Unix, когда пароли хранились в открытом виде. Утечка такой базы означала полную компрометацию системы.
Проблему решила первая в мире утилита для хэширования crypt в 70-е гг. С тех пор пароли перестали храниться в открытом виде, в базе хранились хэши. Согласно официальной документации, утилита
crypt(3)
до шестой редакции использовала код из эмулятора шифровальной машины M-209, которую американская армия использовала во время Второй мировой войны. В этой системе пароль использовался не в качестве шифротекста, а в качестве ключа, которым шифровалась константа. Кен Томпсон, Деннис Ритчи и другие создатели Unix думали, что это надёжный подход. Оказалось иначе.Атаки злоумышленников и уязвимости. При чем здесь коммерческий SOC?
Введение
Делая выбор в пользу подключения к SOC (Security Operations Center), компания, зачастую, рассматривает провайдера как «подстраховку» в работе со сложными инцидентами и угрозами, справиться с которыми своими силами для нее потенциально было бы затруднительно. При этом часто бывает, что уже на этапе пилотного тестирования сервиса проявляются узкие места или критичные недоработки в существующей стратегии обеспечения информационной устойчивости цифровых активов. Именно поэтому SOC – это совместный «путь», где компания и провайдер сервиса идут рука об руку, дополняя и помогая друг другу на всей дистанции.
Рис. 1. Распространенные слабые места у компаний
Мы накопили многолетний опыт по обеспечению информационной безопасности: как своей собственной, так и наших клиентов. И хотим им поделиться с читателями. В рамках этой статьи будут приведены несколько кейсов, успешно предотвращенных нашим коммерческим SOC. Из них можно извлечь для себя немало полезного.
Информация
- В рейтинге
- Не участвует
- Откуда
- Москва, Москва и Московская обл., Россия
- Работает в
- Дата рождения
- Зарегистрирован
- Активность