Рубрика «безопасность»

Всем привет! В этой статье, на примере машины Insekube с TryHackme, я постараюсь показать каким образом могут быть захвачены кластера Kubernetes реальными злоумышленниками, а также рассмотрю возможные методы защиты от этого. Приятного прочтения!

Ищем точку входа

Расчехляем nmap:

nmap 10.10.221.142

Starting Nmap 7.60 ( https://nmap.org ) at 2022-06-07 17:08 BST
Nmap scan report for ip-10-10-221-142.eu-west-1.compute.internal (10.10.221.142)
Host is up (0.0015s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 02:BF:D5:06:FF:D9 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.59 seconds

Читать полностью »

Отечественный смартфон «Ростеха» AYYA не оказался востребован на массовом рынке даже после резкого сокращения поставок иностранных брендов: за первый квартал продано менее 400 гаджетов. AYYA T1 появился на рынке в октябре 2021 года. Он работает на процессоре MediaTek Helio P70 и операционной системе Android 11. Разработчики позиционировали смартфон как устройство для конфиденциального общения, исключающее сбор личных данных.

Читать полностью »

Здравствуйте. Я работаю в компании CardSec и, в частности, мы занимаемся тем, что помогаем нашим клиентам готовиться к аудитам по информационной безопасности и проводим эти аудиты.

Читать полностью »

Группа депутатов во главе с председателем комитета Госдумы по информполитике Александром Хинштейном и сенатором Андреем Клишасом подготовилаЧитать полностью »

Представители правительства США сразу после начала операции на Украине начали серию встреч с представителями бизнеса, предупреждая их о рисках, связанных с использованием продукции «Лаборатории Касперского». Как говорят источники Reuters в американском истеблишменте, речь идет о защите инфраструктурных компаний, в том числе телеком-компаний, поставщиков воды и других важных объектов.

Читать полностью »

Очень много вопросов по этой теме. Оно и понятно: информации мало, противоречивых интерпретаций много. Для нас, как команды Яндекс Браузера, тема защиты соединений с сайтами близка. Мы пишем на Хабре об этом уже лет восемь. Например, в своё время мы первыми поддержали dnscrypt прямо в браузере, первыми начали предупреждать о неизвестных корневых сертификатах в системе, первыми включили шифрование трафика для незащищенных wifi-сетей.

Поэтому сегодня мы расскажем сообществу о происходящему чуть более подробно. Тем, кто очень спешит и хочет получить короткие ответы, достаточно прочитать начало поста. Поехали.

Коротко о главном

  1. Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
  2. Яндекс Браузер применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить его на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
  3. Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
  4. Мы работаем над поддержкой стандарта Certificate Transparency и планируем создать публичный лог, в который будут вноситься все выпускаемые национальным центром сертификаты. Мы надеемся, что другие представители индустрии поддержат эту инициативу и запустят дополнительные публичные логи. Это позволит добиться прозрачности в работе с национальными сертификатами.

Читать полностью »

Вторая часть, в которой расскажем о практике работы с наследием, этичности управления подобного рода активами, цифровым «кладбищам» и способам использования данных, оставленных умершими людьми. Ссылка на первую часть.

Как решается вопрос с наследованием аккаунтов сейчас

Некоторые крупные интернет-ресурсы/компании давно задумались о вопросе передачи аккаунтов и связанных с ними данных по наследству и сами предлагают выбрать, что станет с вашей учётной записью и личной информацией после вашего ухода. Рассмотрим на нескольких примерах.

Apple

Читать полностью »

В течение своей карьеры мне приходилось работать в командах и компаниях, где в качестве разработчика я помещал код в репозиторий и просто надеялся, что все будет хорошо, когда какой-нибудь мифический сисадмин в конце концов не запустит его в продакшн. Случалось и то, что мне нужно было подготовить «голые» сервера в понедельник, разработать стратегию развертывания во вторник, написать некоторую бизнес-логику в среду, развернуть ее в четверг и разобраться с неполадками в пятницу. И все это, даже не подозревая о существовании таких модных терминов, как DevOps или SRE-инженер.

Но затем люди вокруг меня начали говорить о DevOps и SRE, сравнивать их друг с другом и составлять списки с потрясающими материалами по теме. Открылись новые возможности трудоустройства, и я быстро подсуетился. Итак, далее мой опыт работы в SRE и Platform Engineering с точки зрения бывшего разработчика ПО. И да, я думаю, что эта информация применима в первую очередь для компаний, продукт которых представляет собой некоторый веб-сервис. Именно в такой компании я проработал десять лет. Люди, занимающиеся встраиваемыми системами или разработкой баз данных, вероятно, живут в совершенно других реалиях. Читать полностью »

Всё о Keycloak: зачем нужен, кому подходит и какие преимущества даёт - 1

14 марта в Слёрм стартует курс «Безопасность проекта: аутентификация в Keycloak»Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js