Интересное начало, не так ли? Меня зовут Роман, и я младший инженер информационной безопасности Ozon. В этой статье я расскажу о проблеме отсутствия авторизации доступа к Docker daemon / Docker Engine API / командам Docker при работе с контейнерами в экосистеме Docker и как это можно решить при помощи 11 почти стихотворных строчек bash.
Рубрика «ИБ»
Евгений DockerAuthPlugin’ович Онегин
2024-04-11 в 15:01, admin, рубрики: docker, docker-compose, ozon tech, ИБ, информационная безопасность, разработка, стихиСтажёры рулят или Почему не надо бояться доверять молодым сотрудникам
2024-03-13 в 9:45, admin, рубрики: infosec, ozon tech, security, ИБ, стажер, стажировкаБоитесь стажёров? Не хотите тратить своё время на обучение начинающих специалистов? Задач много, а специалистов по ИБ мало?
Делюсь опытом построения стажёрского конвейера на базе SOC. Может, это решит ваши проблемы.
Многие российские современные IT-компании имеют стажёрские программы. Я знаком с несколькими примерами ИБ-стажировок в таких компаниях, но ничего близкого к описанной далее реализации не нашёл. Мне кажется, что всё просто и очевидно, но почему вы так не делаете? Не найдя ответа на вопрос, решил написать об очевидном, подкрепляя личным опытом.
В Европе предложили сканировать устройства пользователей — кто и почему выступает против
2023-03-25 в 12:25, admin, рубрики: vas experts, Блог компании VAS Experts, ИБ, информационная безопасность, мессенджеры, сканирование устройств, социальные сетиПодают инициативу под соусом борьбы с запрещенным контентом в социальных сетях и мессенджерах. Правозащитники видят в этом серьезную угрозу конфиденциальности и информационной безопасности. Расскажем, что вообще происходит.
Известная дорога
Вопросы, связанные с шифрованием, уже давно Читать полностью »
Байки по кибербезопасности: играем в «Правда или ложь»
2022-11-24 в 7:11, admin, рубрики: аудит, байки, безопасность, Блог компании Инфосистемы Джет, защита, ИБ, инженер, информационная безопасность, процесс, управление проектамиПривет!
Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.
1. «Суперпроводимость»
Сканер уязвимостей на Python или как написать сканер за 6 часов
2022-09-24 в 8:45, admin, рубрики: CVE, NIST, nmap, nmap-сканирование, python, ИБ, информационная безопасность, сканер, сканер уязвимостей, ФСТЭКНедавно мне довелось участвовать в хакатоне по информационной безопасности на научной конференции в прекрасном городе Санкт-Петербург в СПбГУТ. Одно из заданий представляло из себя написание собственного сканера уязвимостей на любом ЯП с условиями, что использование проприетарного ПО и фреймворков запрещено. Можно было пользоваться кодом и фреймворками существующих сканеров уязвимости с открытым кодом. Это задание и мое решение с моим коллегой мы и разберем в этой публикации.
Подготовительный этап
Нас взломали: часть данных билетов автобусов
2022-07-02 в 13:24, admin, рубрики: Блог компании Туту.ру, ИБ, сливЧто мы узнали: вчера в 3 ночи был сформирован файл с, предположительно, дампом данных покупок автобусов, сделанных через наш сайт tutu.ru, там 2,5 миллиона строк технических неочищенных данных (в том числе с повторами). Там номера заказов, имена пассажиров и почты. Платёжных данных и данных о маршрутах в дампе нет.
Похоже, это действительно часть данных наших заказов. Там нет пунктов прибытия-отправления, дат заказа, но есть фамилия и имя плательщика (но не всех пассажиров), телефон и почта для отправки чека.
Произошло следующее: с 24 февраля мы вошли в списки целей для атак в хакерски и краудхакерских группах. Сначала нас банально дидосили, потом небанально дидосили, после чего хакерам удалось на короткий промежуток времени уронить сайт РЖД (фронты, но не АСУ Экспресс), и мы стали целью №1, потому что продолжали выписывать билеты. Положить нас тогда так и не удалось. С тех пор продолжаются и волны DDoS, и атаки на почту и другие типы направленных атак.
Основные версии утечки:
- Сопоставление данных пользователей с утечками крупных сервисов вроде Яндекса, Деливери, Пикабу и взломов почт. Похоже, что нет, в таблице есть технические учётные записи.
- Один из внешних технических контрагентов, связанных с эквайрингом.
- Собственные разработчики или члены инфраструктурной команды. Эту версию нельзя исключать никогда ни на каком проекте ни при каких условиях.
- Направленная атака на неизвестный нам баг.
Теперь детали про расследование.
Читать полностью »
«У нас воруют — мы находим, процент примерно одинаковый». Как устроена система безопасности шеринга самокатов Юрент
2022-06-07 в 9:01, admin, рубрики: AMQP, gps-трекинг, Блог компании Бастион, вандализм, защита инфраструктуры, ИБ, Интернет вещей, информационная безопасность, Кикшеринг, самокаты, транспортКибератаки, воровство и вандализм — сервисы аренды самокатов — кикшеринги кажутся довольно уязвимыми, но так ли это? В одном из недавних проектов команда Бастион Читать полностью »
Как я расширил Time-Based SQL Injection до RCE
2021-12-06 в 6:34, admin, рубрики: Data security, Блог компании М.Видео-Эльдорадо, защита данных, защита информации, ИБ, информационная безопасность, ит, мвидео, Читальный зал, ЭльдорадоТема информационной безопасности и защиты данных крайне актуальна для любого бизнеса, независимо от его размеров и географии. В рамках нашего блога мы решили публиковать заметки зарубежных коллег, основанные на их реальном опыте по теме. Надеемся, что приведенный материал будет вам полезен.Читать полностью »
Ваш звонок очень важен: как мошенники пытались навязать мне кредит
2021-02-05 в 6:00, admin, рубрики: банки, ИБ, информационная безопасность, мошенничество, фишингПоследнее время кажется, что мошенники стали звонить даже чаще, чем друзья и знакомые. К якобы службе безопасности якобы «Сбербанка», которая интересуется, делал ли я перевод Ивану И. из Новосибирска, я как-то даже привык. Но тут позвонили с новым для меня заходом: на этот раз про кредит. Возможно, кто-то из вас даже сталкивался с подобной схемой, но я лично – первый раз.