Рубрика «информационная безопасность» - 27

в 7:15, , рубрики: агрегатор, Блог компании Timeweb Cloud, будущее здесь, защита информации, информационная безопасность, кибербезопасность, площадка, услуги по безопасности
Манифест информационной безопасности - 1

Когда в какой-либо индустрии происходит технологический скачок, мы быстро к этому привыкаем и уже с удивлением и легким ужасом вспоминаем “как оно было раньше”.
Рынки развиваются в сторону максимального упрощения бизнес-процессов и автоматизации.

Еще буквально 10-15 лет назад рутинные действия, выглядели совсем иначе:

  • Заказ еды домой. Необычная задача, найти работающий на доставку ресторан, позвонить им по телефону, продиктовать заказ, обязательно приготовить наличные без сдачи.
  • Оплатить коммунальные услуги, придется идти на почту или в банк, а как иначе?
  • Открыть в банке счет. Простоять очередь в отделении в рабочие часы, без этого никак!
  • Получить государственную услугу? По этому писались целые гайды, где и какую бумагу надо получить, куда и когда нужно идти.

Примеров может быть множество.

IT кардинально меняло правила игры на рынках, двигало и двигает отрасли вперед. Но за этот период, один из самых близких к IT рынков не изменился! Услуги по информационной безопасности — самый консервативный/отсталый рынок связанный с IT.

  • Как безопасность может поспевать за отраслями, если не меняется сама?
  • Причем тут кадровый голод и в нем ли дело?
  • Что с этим нужно делать и причем тут такси?

Это Манифест нового рынка информационной безопасности.
Если вам важна безопасность, добро пожаловать под кат!
Читать полностью »

в 9:54, , рубрики: vulnerability, xss, информационная безопасность, ненормальное программирование, Программирование, Разработка веб-сайтов, уязвимость, хабра-папа
Как я опять Хабр сломал - 1

Всегда хотел взломать Хабр. Мечта такая, но как-то руки не доходили. И вот, вдохновившись статьей о праведном взломе через iframe src , я, как и автор поста @Maxchagin, решил исследовать функционал Хабра на предмет уязвимостей.

Начать решил с нового редактора, рассуждая следующим образом: раз он новый, то и уязвимости там точно должны быть.

ФормулыЧитать полностью »

в 17:27, , рубрики: bugbounty, Bugcrowd, hackerone, информационная безопасность

На волне постов про уход компаний из РФ на волне санкций практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов.

Это такая биржа, на которой компании размещали свои программы, а багхантеры искали баги и все были довольны. Обычно такие профессиональные синергии остаются аполитичны, но не в этот раз, руководство h1 сделало ход конём:

Читать полностью »

в 7:29, , рубрики: браузеры, информационная безопасность, обработка изображений, пикселизация, растеризация шрифтов, рендеринг шрифтов, сокрытие информации
image

Наша компания пишем много отчётов (такое бывает, когда вы занимаетесь хакингом). При этом часто требуется скрывать часть текста. У нас уже давно действует политика, по которой при сокрытии текста для надёжности следует использовать только чёрные полосы. Иногда люди хотят проявить себя используют такие методики удаления данных, как размытие, искажение или пикселизация. Но это ошибка.

Сегодня мы рассмотрим одну из таких методик — пикселизацию, и покажем, почему это плохой, небезопасный, гарантированный способ обеспечения утечки данных. Чтобы продемонстрировать, как это происходит, я написал инструмент под названием Unredacter. Он получает отредактированный пикселизированный текст и возвращает его в исходный вид. В реальном мире люди часто используют пикселизацию, но тыкать пальцем мы сейчас ни в кого не будем.
Читать полностью »

в 18:53, , рубрики: CSAM, DES, EARN-IT, philips, PhotoDNA, PX-1000, smt, SMT-решатель, Text Lite, z3, анб, Блог компании GlobalSign, Законодательство в IT, информационная безопасность, криптография, шифрование
Бэкдор АНБ в карманном телексе 1984 года — история повторяется - 1

В музее криптографии Нидерландов представлен интересный экспонат: карманный телекс PX-1000. Он разработан амстердамской фирмой Text Lite, с 1983 года продавался под брендами Philips и др.

PX-1000 был рассчитан на журналистов, бизнесменов. Использовался сотрудниками правительстве Нидерландов. Его уникальная особенность — надёжное шифрование по алгоритму DES. Судя по всему, это первый в мире коммуникатор со встроенным шифрованием, выпущенный для массового рынка. Целевая аудитория Text Lite примерно совпадает с сегодняшней аудиторией защищённых криптографических мессенджеров вроде Signal.

Так вот, интересный факт. В 1984 году разработчики заменили DES на альтернативный алгоритм шифрования, разработанный в АНБ. Появились подозрения, что там есть какая-то лазейка для расшифровки сообщений заинтересованными лицами. Иначе зачем было менять алгоритм?
Читать полностью »

в 9:39, , рубрики: ssl сертификаты, информационная безопасность, санкции
Ложь из солидарности: как Thawte убила «систему доверия» в Интернете - 1

Отзыв TLS-сертификатов у российских подсанкционных банков – это конец «системы доверия» в Интернете в том виде, как мы ее знаем. Ящик Пандоры открыт.
Читать полностью »

в 17:01, , рубрики: ddos, iaas, waf, антивирус, безопасность, Блог компании CloudMTS, информационная безопасность, облако, облачные сервисы

в 6:06, , рубрики: Блог компании Cloud4Y, законодательство, Законодательство в IT, информационная безопасность, наследие, хранение данных, Читальный зал

Интернет — часть повседневной жизни, и наши онлайн и оффлайн-миры тесно связаны. Но по мере всё большей цифровизации жизни возникает вопрос о том, что делать с цифровым наследием людей. Представьте, что у некоего Васи была многолетняя подписка на Pornhub музыкальный сервис, прокачанный игровой аккаунт, большая коллекция фотографий и пара биткойнов в кошельке. Что с ними будет, если Васи не станет? 

Читать полностью »

в 16:28, , рубрики: api, api security, devops, Nemesida WAF, nginx, web application firewall, web security, информационная безопасность

За прошедшие выходные мы зафиксировали всплеск атак на веб-ресурсы, уверен, с этим столкнулись и вы. И пока зарубежные вендоры решают, кто из них уходит, кто - нет, мы продолжаем работать на отечественном рынке, улучшать механизмы работы Nemesida WAF и делиться своими результатами.

С атаками сталкиваются все владельцы публичных веб-ресурсов — некоторые узнают об этом сразу, другие — потом. По своей сути атаки можно разделить на 3 типа — попытки компрометации данных (Injection, XSS, CSRF, LFI/RFI и т.д.), DDoS L7 и атаки на $$$ (например, злоупотребление функционалом восстановления пароля по СМС).

Выявление атак

Читать полностью »

в 11:16, , рубрики: OSINT, анализ данных, Блог компании T.Hunter, защита информации, информационная безопасность, поиск информации в сети, социальные сети
10 лучших бесплатных OSINT-инструментов по версии компании T.Hunter - 1

Приветствую Хабр. На связи T.Hunter. Недавно у нас в офисе разгорелся спор – наберется ли хотя бы 10 сносных и, самое главное, БЕСПЛАТНЫХ инструментов для проведения OSINT?

Читать полностью »

1...1020...262728...3040...932
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js