Информационная безопасность

20.10.2017

Защищаем мобильное приложение с помощью «КриптоПро»: пошаговая инструкция

Защищаем мобильное приложение с помощью «КриптоПро»: пошаговая инструкция


Статья описывает работу с одним из крупнейших российских поставщиков средств криптографической защиты информации и электронной цифровой подписи — компанией «КриптоПро», ...

19.10.2017

Расширения Burp Suite для эффективного тестирования веб-приложений

Расширения Burp Suite для эффективного тестирования веб-приложений


  Burp Suite – это платформа для проведения аудита безопасности веб-приложений. Содержит инструменты для составления карты веб-приложения, поиска файлов и папок, модификации ...
Динамический анализ iOS-приложений без Jailbreak

Динамический анализ iOS-приложений без Jailbreak


В рамках данной статьи мы хотим поделиться своим опытом решения некоторых проблем, связанных с анализом безопасности iOS-приложений. Рассмотрение будет осуществляться при ...

18.10.2017

SOC for beginners. Задачи SOC: мониторинг

SOC for beginners. Задачи SOC: мониторинг


Мы продолжаем рассказывать о буднях Security Operations Center – о реагировании на массовые кибератаки, любопытных кейсах у заказчиков и правилах корреляции событий, ...
Пишем Arcsight FlexConnector. Log File

Пишем Arcsight FlexConnector. Log File


В настоящее время решения по сбору и анализу событий информационной безопасности, системы класса SIEM находятся на пике своей популярности, современные компании ставят перед ...
Google сделал Gmail одним из самых защищенных сервисов электронной почты

Google сделал Gmail одним из самых защищенных сервисов электронной почты


Многими сервисами Google пользуются десятки и сотни миллионов человек. Это актуально и для Gmail — почтового сервиса, который почти все его пользователи признают очень ...

17.10.2017

Простыми словами: смарт-контракты, Ethereum, ICO

Простыми словами: смарт-контракты, Ethereum, ICO


Автор статьи — Алексей Маланов, эксперт отдела развития антивирусных технологий «Лаборатории Касперского» Про Биткойн слышали многие, что и не удивительно — эта криптовалюта ...
Wi-Fi is over: вычисляем нарушителей беспроводного эфира

Wi-Fi is over: вычисляем нарушителей беспроводного эфира


  Для выявления атак и аномалий беспроводного эфира можно использовать высокотехнологичные решения (как правило дорогие), которые позволяют контролировать беспроводные сети и ...
Почему нельзя кричать на свой HDD

Почему нельзя кричать на свой HDD


На конференции по компьютерной безопасности Ekoparty 2017 в Буэнос-Айресе аргентинский хакер Альфредо Ортега (Alfredo Ortega) показал очень интересную разработку — систему ...
WAF глазами хакеров

WAF глазами хакеров


Привет! Сегодня мы поговорим об одном из современных механизмов защиты веб-приложений, а именно о WAF, Web Application Firewall. Мы расскажем, на чем основываются и как ...

16.10.2017

Серьезная уязвимость в популярной библиотеке шифрования подрывает безопасность миллионов крипто-ключей

Серьезная уязвимость в популярной библиотеке шифрования подрывает безопасность миллионов крипто-ключей


Изображение: crocs.fi.muni.cz Международная группа исследователей информационной безопасности из Великобритании, Словакии, Чехии и Италии обнаружила критическую уязвимость в ...
Критическая уязвимость в WPA2 — Key Reinstallation Attack

Критическая уязвимость в WPA2 — Key Reinstallation Attack


Критическая уязвимость во ВСЕХ КОРРЕКТНЫХ РЕАЛИЗАЦИЯХ WPA2 Аааа!!! Все пропало!!! Что делать???
Обнаружены критичные уязвимости в протоколе WPA2 — Key Reinstallation Attacks (KRACK)

Обнаружены критичные уязвимости в протоколе WPA2 — Key Reinstallation Attacks (KRACK)


  Группа исследователей обнаружила серьезные недостатки в протоколе WPA2, обеспечивающем защиту всех современных Wi-Fi сететй. Злоумышленник, находящийся в зоне действия ...
Расширяя свои владения: Facebook, Google, Switch

Расширяя свои владения: Facebook, Google, Switch


Объем данных, которые хранятся и обрабатываются в дата-центрах, напоминает бурный поток: он стремительно растет и набирает мощь. Строительство новых серверных ферм — то ...

15.10.2017

Пять простых шагов для понимания JSON Web Tokens (JWT)

Пять простых шагов для понимания JSON Web Tokens (JWT)


Представляю вам мой довольно вольный перевод статьи 5 Easy Steps to Understanding JSON Web Tokens (JWT). В этой статье будет рассказано о том, что из себя представляют JSON ...

13.10.2017

Как взломать более 17 000 сайтов за одну ночь

Как взломать более 17 000 сайтов за одну ночь


Эта история о том, как я нашел уязвимость в фреймворке Webasyst и, в частности, в ecommerce-движке Shop-Script 7.
Security Week 41: Accenture выложила на Amazon все, год малвертайзинга на Pornhub, свежая атака на Office

Security Week 41: Accenture выложила на Amazon все, год малвертайзинга на Pornhub, свежая атака на Office


Жить без облачных технологий мы уже не умеем, а жить с ними еще не умеем. То и дело случаются самые нелепые факапы из-за того, что люди не очень понимают, что их облачный ...
Настройка двусторонней RSA и GOST аутентификации в приложении на JBoss EAP 7

Настройка двусторонней RSA и GOST аутентификации в приложении на JBoss EAP 7


Здравствуйте! Безопасности в современной деловой информационной среде отводится одна из первостепенных ролей. Нужно ли говорить, что в Банке, где большая часть продуктов ...
Attify OS — дистрибутив для тестирования на проникновения IoT

Attify OS — дистрибутив для тестирования на проникновения IoT


  Мало кто знает, что буква S в аббревиатуре IoT означает Security. В этой статье я расскажу о дистрибутиве Attify OS, предназначенном для тестирования IoT- устройств.
The Pirate Bay снова включил криптомайнер для пользователей, отключить его нельзя

The Pirate Bay снова включил криптомайнер для пользователей, отключить его нельзя


17 сентября на Geektimes публиковалась новость о том, что The Pirate Bay протестировал майнер в качестве альтернативы рекламным банерам на сайте. Другими словами, ...
Выпущен первый технический комплекс для выполнения «закона Яровой»

Выпущен первый технический комплекс для выполнения «закона Яровой»


Схема установки технических средств «Яхонт-374-Голос» для проведения оперативно-розыскных мероприятий. Система устанавливается в дата-центрах интернет-компаний и операторов ...

12.10.2017

Злой XML с двумя кодировками

Злой XML с двумя кодировками


WAFы видят вместо документа белый шум! 00000000 3C3F 786D 6C20 7665 7273 696F 6E3D 2231 <?xml version="1 00000010 2E30 2220 656E 636F 6469 6E67 3D22 5554 .0" encoding="UT ...
Баг недели. Outlook 2016 вместе с зашифрованным письмом присылает его открытый текст

Баг недели. Outlook 2016 вместе с зашифрованным письмом присылает его открытый текст


Специалисты из компании SEC Consult обнаружили в программе Outlook от компании Microsoft замечательную уязвимость, которую можно считать глупейшим багом недели или месяца, как ...
Ломаем модифицированный AES-256

Ломаем модифицированный AES-256


Недавно в институте я столкнулся с любопытной криптографической задачей, которой хотел бы поделиться с Сообществом. Так как русскоязычных примеров решения таких учебных ...
Результаты летней стажировки 2017 в Digital Security. Отдел исследований

Результаты летней стажировки 2017 в Digital Security. Отдел исследований


В предыдущей статье от коллег из отдела аудита, помимо их опыта, было немного рассказано про общий процесс стажировки 2017 в Digital Security. А сегодня Отдел исследований ...