Как Минцифры «забыло», что уже создавало «национальный удостоверяющий центр», как фейковые сертификаты стали «государственными» и почему никто за это до сих пор не вылетел из мягкого кресла.
Рубрика «информационная безопасность» - 16
НУЦ сурка
2023-01-03 в 6:16, admin, рубрики: информационная безопасность, Регулирование, сертификаты x.509Как в BI.ZONE разрабатывают PCB-бейджи для конференции OFFZONE
2022-12-23 в 15:00, admin, рубрики: Bi.Zone, OFFZONE, pcb, бейджи, интервью, информационная безопасность, конференция, печатные платы, платы, программирование микроконтроллеров, схемотехникаВ августе 2022 года Информационная служба Хабра посетила конференцию OFFZONE, организованную компанией BI.ZONE. В одной статье @ancotirи @IgnatChuker уже рассказывали про само мероприятие, а в этом материале команда BI.ZONE расскажет про необычные бейджи, выполненные в виде печатных плат.
Укрепление Nginx с помощью Fail2ban: тестируем и оцениваем «профит»
2022-12-22 в 11:37, admin, рубрики: bruteforce, ddos-атака, fail2ban, nginx, selectel, Блог компании Selectel, информационная безопасность, Разработка веб-сайтов, системное администрирование
«Только запустил Nginx-приложение, а в access.log уже десятки записей с непонятными запросами, переборами паролей и другого» — типичная ситуация для незащищенного сервера. Это следствие работы «ботов» для сканирования белых сетей, поиска открытых портов, сбора информации о версиях запущенных служб и подбора паролей к сервисам.
В статье расскажу, как с помощью open source-инструмента Fail2ban укрепить Nginx и защитить сервисы от взлома. А также продемонстрирую способы блокирования DDoS-атак. Подробности под катом.
Читать полностью »
Кому принадлежит время
2022-12-21 в 8:55, admin, рубрики: IT-стандарты, ntp, TAI, time, tzdata, tzdb, UNIX, UTC, Блог компании CloudMTS, время, информационная безопасность, Программирование, секунда
Знать время нужно всем. Точное время необходимо для криптографии, непрерывного производства, навигации на Земле и в космосе.
Интернет зависит от времени так, что малейшая ошибка ведет к масштабным проблемам: падению серверов, сбоям в DNS, зависанию приложений. Из-за проблем со временем системы зацикливаются и потребляют излишние ресурсы CPU.
Конечно, программисты знают, откуда берется время. UNIX-time, timestamp, datetime, tzdata, NTP и другие решения дают четкое ощущение контроля времени. Однако кому на самом деле время принадлежит, кто несет за него ответственность?
Это история о бесконечном поиске консенсуса, талантливых одиночках, работающих без зарплаты, крушении «Титаника», увлеченном слепом программисте и смелых решениях, ведущих к новым ошибкам. Это история про время.
Как заработать на Bug Bounty
2022-12-13 в 13:37, admin, рубрики: bug bounty, bug bounty program, багхантинг, Блог компании VK, информационная безопасность, отладка, поиск уязвимостей, публичные сайтыМеня зовут Алексей Гришин, я руководитель направления Bug Bounty VK. За 9 лет участия в программе по поиску уязвимостей на различных платформах мы накопили огромный опыт получения, проверки и оплаты самых разношерстных отчётов, поэтому в этой статье я хочу поделиться советами о том, как правильно написать отчёт, чтобы его оплатили, и рассказать, что делать, если ваши ожидания по выплатам не совпали с реальностью. Добро пожаловать под кат.
Датировка звукозаписи по гулу в энергосети
2022-12-06 в 8:45, admin, рубрики: ENF, OSINT, Блог компании GlobalSign, видеозапись, звук, информационная безопасность, метка времени, Научно-популярное, Работа с видео, синхронная сеть, фингерпринтинг, цифровая криминалистика, электрический шум
Сравнение колебания частоты тока в целевом сигнале (target) и референсной базе данных (ref) относительно несущей частоты 50 Гц с помощью программы enf-matching, источник
В современную эпоху очень важно иметь инструменты, которые позволяют точно верифицировать аудио/видеозапись, выявить следы монтажа и поставить точную метку времени.
Рутинная цифровая криминалистика включает изучение метатегов, где указано время записи файла, но эти теги легко подделать. Но есть одна физическая характеристика, которую подделать практически невозможно без предварительных измерений частоты электрического напряжения в сети.
Речь о специфическом гудении энергосети в виде электрического шума, который всегда записывается на аудиодорожку.
Читать полностью »
Безопасность и шифрование. Element-Matrix — достойная альтернатива Slack и Mattermost
2022-11-30 в 9:00, admin, рубрики: Element, matrix, p2p, ruvds, ruvds_статьи, slack, synapse, Блог компании RUVDS.com, децентрализация, информационная безопасность, криптография, мессенджеры, Серверное администрирование
Сегодня многие ищут более удобный, дешёвый и безопасный вариант для корпоративных коммуникаций. К сожалению, Slack, Microsoft Teams и другие проприетарные решения не удовлетворяют требованиям по безопасности, а за коммерческие лицензии нужно платить. В качестве альтернативы часто смотрят в сторону бесплатного опенсорсного Mattermost. Но есть вариант получше.
Читать полностью »
Как школьники МЭШ взломали
2022-11-28 в 15:32, admin, рубрики: python, взлом, информационная безопасность, мэш, сайт, Тестирование веб-сервисов, школа, электронный журналСегодня речь пойдет об уникальном случае, когда ужасно глупая ошибка породила выгодный бизнес и осчастливила сотни школьников в Москве.
О чем речь?
Для начала, проясню что такое МЭШ и почему мы вообще о нем говорим. МЭШ - Московская Электронная Школа. Электронный журнал для всех учеников г. Москвы.
Он очень удобный и приятный в использовании, особенно по сравнению с его собратом из области (в "Школьном портале" М.О. требуется заплатить денег за возможность просматривать домашнее задание и оценки в мобильном приложении).
ЦДЗ 📚
Байки по кибербезопасности: играем в «Правда или ложь»
2022-11-24 в 7:11, admin, рубрики: аудит, байки, безопасность, Блог компании Инфосистемы Джет, защита, ИБ, инженер, информационная безопасность, процесс, управление проектамиПривет!
Правила игры простые: я рассказываю историю про аудит безопасности, а вы оцениваете, правда это или нет. Под спойлером — ответ.
1. «Суперпроводимость»
Что такое Black Box Testing?
2022-11-23 в 13:00, admin, рубрики: black box, ruvds_перевод, software testing, testing, Блог компании RUVDS.com, информационная безопасность, Тестирование IT-систем, Тестирование мобильных приложений, тестирование по
Тестирование — фундаментальная часть жизненного цикла разработки любого ПО, будь то веб-приложение или программа для мобильных.
Тестирование не только подтверждает качество программного продукта, но и позволяет разработчику совершенствовать его.
Почти каждое программное приложение требует хотя бы одной строки кода или последовательности сложных процедур. Поэтому разработчик должен провести множество тестов, чтобы гарантировать правильную работу кода и выполнение его предназначения.
Тестирование по стратегии чёрного и белого ящика — два вида тестирования, часто выполняемых разработчиками на этом этапе.
В статье мы расскажем о тестировании по стратегии чёрного ящика (black box testing), а также о фундаментальных сходствах и отличиях чёрного и белого ящика.
Читать полностью »