Рубрика «информационная безопасность» - 48
Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ
2021-02-11 в 6:00, admin, рубрики: vpn, информационная безопасность, скзи, учет, шифрованиеХостим Bitwarden — open-source менеджер паролей
2021-02-10 в 7:47, admin, рубрики: Bitwarden, open source, Блог компании VDSina.ru, информационная безопасность, менеджер паролей, системное администрирование, Софт
Менеджеры паролей действительно полезны и важны как для отдельных пользователей, так и для организаций, и они пригодятся, когда у вас много разных учетных записей и паролей. Обычно люди не любят пользоваться сторонними менеджерами паролей с сервисной архитектурой — неизвестно, что происходит с данными на чужом сервере, и не будет ли он скомпрометирован. Самое безопасное решение это разместить менеджер на своём собственном (как следует защищенном) сервере. Разумеется, к такому self-hosted варианту возникает много требований, и большой список решений с открытым исходным кодом довольно быстро сужается до нескольких известных, проверенных продуктов. Среди них мне больше всего нравится Bitwarden, и сейчас я объясню почему.Читать полностью »
OSCP: как я сдавал самый известный экзамен по информационной безопасности
2021-02-10 в 6:51, admin, рубрики: oscp, информационная безопасность, Учебный процесс в IT, экзаменOffensive Security Certified Professional отличается от других сертификаций по информационной безопасности адски сложным экзаменом. Ребята из Offensive Security бегают по интернету и пристально следят за тем, чтобы никакие подсказки или готовые решения не были доступны публично. И, похоже, им успешно удаётся это делать более 10 лет подряд.
Сдавая экзамен, люди не спят по двое суток, тестируя инфраструктуру на проникновение с постоянно включенной видеокамерой и спрашивают в специальном чате разрешения отойти в туалет. Я прошёл этот путь и сейчас расскажу, как всё устроено.
Простая настройка взаимной проверки подлинности клиента и сервера с использованием TLS
2021-02-09 в 13:21, admin, рубрики: безопасность, Блог компании RUVDS.com, информационная безопасность, Серверное администрирование, Сетевые технологииЭто руководство посвящено настройке защиты приложений с помощью TLS-аутентификации. При таком подходе возможность работы пользователей с приложением зависит от имеющихся у них сертификатов. То есть — разработчик может самостоятельно принимать решения о том, каким пользователям разрешено обращаться к приложению.
В учебном проекте, который будет здесь разобран, показаны основные настройки сервера и клиента. Их взаимодействие изначально осуществляется посредством HTTP. А это значит, что данные между ними передаются в незашифрованном виде. Наша задача заключается в том, чтобы обеспечить шифрование всего того, чем обмениваются клиент и сервер.
Мы рассмотрим следующие вопросы:
- Запуск сервера
- Отправка приветствия серверу (без шифрования)
- Включение HTTPS на сервере (односторонний TLS)
- Аутентификация клиента (двусторонний TLS)
- Установление двустороннего TLS-соединения с использованием доверенного удостоверяющего центра.
- Автоматизация различных подходов к аутентификации
Как root-права и альтернативные прошивки делают ваш android смартфон уязвимым
2021-02-06 в 21:58, admin, рубрики: android, android internals, custom rom, lineageos, magisk, root, бэкдор, информационная безопасность, разблокировка загрузчика, Разработка под android, рутовый доступЕсли вы являетесь регулярным читателем Хабра, то должно быть заметили что за последние несколько лет вышло немало статей о сборе персональных данных с мобильных устройств, и о попытках противодействия этому, было несколько отличных статей с детальными инструкциями по превращению своего смартфона на базе ОС Android в настоящую цитадель приватности и безопасности.
Как молодой девушке уехать на Яндекс.Такси в лес и пропасть без вести
2021-02-05 в 11:48, admin, рубрики: gps, агрегатор, безопасность, водители, информационная безопасность, мобильные приложения, приложение, сервисы такси, такси, Тестирование мобильных приложений, транспорт, Урбанизм, яндексЛюбой человек может оказаться в неприятной ситуации когда он едет ночью, в лес, в багажнике... Предусмотрительные граждане пытаются избежать подобных инцидентов выбирая сервисы такси известных брендов, которые декларируют безопасность поездки, контроль за водителями и даже вешают в приложении огромную кнопку "БЕЗОПАСНОСТЬ" которую надо жать в случае если что-то пошло не так.
Но помогает ли эта кнопка? Давайте проверим на практике.
Ахтунг: «бесплатный» антивирус от RU-CENTER (NIC.RU)
2021-02-05 в 6:51, admin, рубрики: DNS, nic.ru, информационная безопасность, Монетизация IT-системАстрологи объявили очередной сезон развода на деньги клиентов RU-CENTER (nic.ru). Схема развода примитивна, неоднократно описана (в том числе здесь же на Хабре!), но может сработать при вашей невнимательности:
Ваш звонок очень важен: как мошенники пытались навязать мне кредит
2021-02-05 в 6:00, admin, рубрики: банки, ИБ, информационная безопасность, мошенничество, фишинг
Последнее время кажется, что мошенники стали звонить даже чаще, чем друзья и знакомые. К якобы службе безопасности якобы «Сбербанка», которая интересуется, делал ли я перевод Ивану И. из Новосибирска, я как-то даже привык. Но тут позвонили с новым для меня заходом: на этот раз про кредит. Возможно, кто-то из вас даже сталкивался с подобной схемой, но я лично – первый раз.
Чем опасен ТГ-бот, позволяющий подменять Caller-ID
2021-02-04 в 10:36, admin, рубрики: Блог компании SearchInform, информационная безопасность, мошенничество, подмена номеров, социальная инженерия, телеграм-ботСегодня в СМИ ворвалась новость про бот в Telegram для телефонных звонков с функцией подмены обратного номера. На Хабре тоже уже появилась. Ну а так как я и есть Алексей Дрозд, подумал, что вам может быть интересно узнать немного подробностей про функционал бота и про угрозы, которые он несёт.
Старая песня на новый лад
Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ
2021-02-04 в 5:27, admin, рубрики: 152-фз, TLS, Блог компании Информационный центр, Законодательство в IT, информационная безопасность, криптография, персональные данные, ФСБ
Доброго времени суток! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример.