Рубрика «безопасность»

в 16:24, , рубрики: Grafana, kubernetes, безопасность, информационная безопасность

Всем привет! В этой статье, на примере машины Insekube с TryHackme, я постараюсь показать каким образом могут быть захвачены кластера Kubernetes реальными злоумышленниками, а также рассмотрю возможные методы защиты от этого. Приятного прочтения!

Ищем точку входа

Расчехляем nmap:

nmap 10.10.221.142

Starting Nmap 7.60 ( https://nmap.org ) at 2022-06-07 17:08 BST
Nmap scan report for ip-10-10-221-142.eu-west-1.compute.internal (10.10.221.142)
Host is up (0.0015s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 02:BF:D5:06:FF:D9 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.59 seconds

Читать полностью »

в 6:53, , рубрики: безопасность, Госвеб, ростех, метки: , ,

Отечественный смартфон «Ростеха» AYYA не оказался востребован на массовом рынке даже после резкого сокращения поставок иностранных брендов: за первый квартал продано менее 400 гаджетов. AYYA T1 появился на рынке в октябре 2021 года. Он работает на процессоре MediaTek Helio P70 и операционной системе Android 11. Разработчики позиционировали смартфон как устройство для конфиденциального общения, исключающее сбор личных данных.

Читать полностью »

в 16:43, , рубрики: pci dss, безопасность, венчурные инвестиции, гост р 57580, законы, защита информации, информационная безопасность, Развитие стартапа, требования

Здравствуйте. Я работаю в компании CardSec и, в частности, мы занимаемся тем, что помогаем нашим клиентам готовиться к аудитам по информационной безопасности и проводим эти аудиты.

Читать полностью »

в 7:27, , рубрики: Александр Хинштейн, безопасность, Госвеб, персональные данные, метки: , , ,

Группа депутатов во главе с председателем комитета Госдумы по информполитике Александром Хинштейном и сенатором Андреем Клишасом подготовилаЧитать полностью »

в 9:22, , рубрики: безопасность, Евгений Касперский, лаборатория касперского, политика, США, Текучка, метки: , , , , ,

Представители правительства США сразу после начала операции на Украине начали серию встреч с представителями бизнеса, предупреждая их о рисках, связанных с использованием продукции «Лаборатории Касперского». Как говорят источники Reuters в американском истеблишменте, речь идет о защите инфраструктурных компаний, в том числе телеком-компаний, поставщиков воды и других важных объектов.

Читать полностью »

в 10:57, , рубрики: SSL, TLS, безопасность, Блог компании Яндекс, браузеры, сертификаты, яндекс
Очень много вопросов по этой теме. Оно и понятно: информации мало, противоречивых интерпретаций много. Для нас, как команды Яндекс Браузера, тема защиты соединений с сайтами близка. Мы пишем на Хабре об этом уже лет восемь. Например, в своё время мы первыми поддержали dnscrypt прямо в браузере, первыми начали предупреждать о неизвестных корневых сертификатах в системе, первыми включили шифрование трафика для незащищенных wifi-сетей.

Поэтому сегодня мы расскажем сообществу о происходящему чуть более подробно. Тем, кто очень спешит и хочет получить короткие ответы, достаточно прочитать начало поста. Поехали.

Коротко о главном

  1. Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
  2. Яндекс Браузер применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить его на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
  3. Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
  4. Мы работаем над поддержкой стандарта Certificate Transparency и планируем создать публичный лог, в который будут вноситься все выпускаемые национальным центром сертификаты. Мы надеемся, что другие представители индустрии поддержат эту инициативу и запустят дополнительные публичные логи. Это позволит добиться прозрачности в работе с национальными сертификатами.

Читать полностью »

в 6:17, , рубрики: безопасность, Блог компании Cloud4Y, завещание, законодательство, Законодательство в IT, социальные сети, хранение данных, цифровой след, Читальный зал

Вторая часть, в которой расскажем о практике работы с наследием, этичности управления подобного рода активами, цифровым «кладбищам» и способам использования данных, оставленных умершими людьми. Ссылка на первую часть.

Как решается вопрос с наследованием аккаунтов сейчас

Некоторые крупные интернет-ресурсы/компании давно задумались о вопросе передачи аккаунтов и связанных с ними данных по наследству и сами предлагают выбрать, что станет с вашей учётной записью и личной информацией после вашего ухода. Рассмотрим на нескольких примерах.

Apple

Читать полностью »

в 17:01, , рубрики: ddos, iaas, waf, антивирус, безопасность, Блог компании CloudMTS, информационная безопасность, облако, облачные сервисы

в 11:40, , рубрики: devops, platform engineering, sre, администрирование, безопасность, Блог компании Timeweb Cloud, разработка, управление разработкой
В течение своей карьеры мне приходилось работать в командах и компаниях, где в качестве разработчика я помещал код в репозиторий и просто надеялся, что все будет хорошо, когда какой-нибудь мифический сисадмин в конце концов не запустит его в продакшн. Случалось и то, что мне нужно было подготовить «голые» сервера в понедельник, разработать стратегию развертывания во вторник, написать некоторую бизнес-логику в среду, развернуть ее в четверг и разобраться с неполадками в пятницу. И все это, даже не подозревая о существовании таких модных терминов, как DevOps или SRE-инженер.

Но затем люди вокруг меня начали говорить о DevOps и SRE, сравнивать их друг с другом и составлять списки с потрясающими материалами по теме. Открылись новые возможности трудоустройства, и я быстро подсуетился. Итак, далее мой опыт работы в SRE и Platform Engineering с точки зрения бывшего разработчика ПО. И да, я думаю, что эта информация применима в первую очередь для компаний, продукт которых представляет собой некоторый веб-сервис. Именно в такой компании я проработал десять лет. Люди, занимающиеся встраиваемыми системами или разработкой баз данных, вероятно, живут в совершенно других реалиях. Читать полностью »

в 10:23, , рубрики: keycloak, OpenID, авторизация, аутентикация, безопасность, Блог компании Southbridge
Всё о Keycloak: зачем нужен, кому подходит и какие преимущества даёт - 1

14 марта в Слёрм стартует курс «Безопасность проекта: аутентификация в Keycloak»Читать полностью »

123...1020...157
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js