🔐 Безопасность DevOps | Стратегическое планирование.

Путь к внедрению DevSecOps может быть сложным, и хотя в краткосрочной перспективе придётся понести некоторые первоначальные расходы, но в долгосрочной перспективе предприятия могут получить значительную экономию.

Внедрение DevSecOps включает три ключевых этапа:
⏺ 1. Сделать безопасность общей обязанностью с помощью корпоративной программы обучения.
⏺ 2. Внедрить практики безопасности на раннем этапе разработки (подход Shift-Left), а не только постфактум (Shift-Right).
⏺ 3. Интегрировать инструменты безопасности в рабочий процесс DevOps, как показано на КДПВ.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Криптографически стойкие генераторы псевдослучайных чисел.

Статья посвящена обзору криптографически стойких генераторов псевдослучайных чисел (CSPRNG), ключевого элемента в обеспечении безопасности криптографических систем.

Рассматриваются различные виды криптографически стойких генераторов псевдослучайных чисел, проведено их сравнение и анализ их уязвимостей.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Как начать карьеру в инфобезопасности.

В этой статье расскажу о самом сложном этапе в ИБ — старте. Опишу, о чём стоит задуматься, прежде чем идти в эту сферу.

Расскажу о распространённых ошибках новичков и базе: навыках и знаниях.

А ещё поделюсь стартерпаком для самостоятельного погружения в контекст и обучение: от подкастов до книг.

Читать статью - линк.

// Не хакинг, а ИБ

🔐 Security Week 2350 | Подробности атаки LogoFAIL.

Мы запускаем на компьютере код, подменяющий отображаемый при загрузке стандартный логотип производителя ПК на что-то другое.

В демонстрации использован логотип в максимально «хакерском» стиле, но это для красоты.

В реальной атаке логотип производителя компьютера подменялся бы на точно такую же, но «подготовленную» картинку.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ DDoS, китайские ботнеты и клиенты с особыми потребностями. Будни ЦОДов 3data.

Из чего складывается безопасность ЦОД
В теории безопасность любого центра обработки данных стоит на трех китах, это:
⏺ Физическая безопасность — она обеспечивается круглосуточной охраной, видеонаблюдением, системами контроля доступа (СКУД), пожаротушения и резервированием по электричеству и связи;
⏺ Информационная безопасность, которая включает защиту каналов связи, мониторинг оборудования, установку средств защиты информации и информационную гигиену;
⏺ Бумажная безопасность — прохождение аудитов, сертификации, получение лицензий ФСТЭК, введение политик по информационной безопасности.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ V2X | Система безопасности.

V2X расшифровывается как Vehicle-to-Everything. Это когда ваш автомобиль общается с окружающим миром, минуя вас.

Вкратце, PKI представляет из себя иерархию сертификатов, каждый из которых имеет публичный ключ, какие-то поля, и подписан вышестоящим сертификатом.

Поля вносят семантическую информацию, ключ и подпись нужны для валидации.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Как обнаружить хакера на этапе дампа учетных данных в Windows?

В этой статье мы акцентируем внимание на своевременном выявлении подозрительной активности с помощью мониторинга ИБ и расскажем, как на основе событий штатной подсистемы аудита ОС обнаружить, что пытаются сдампить учетные данные в Windows.

Одна из самых часто используемых техник при атаках — получение учетных данных из операционной системы.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Боремся с блокировками с помощью Trojan TCP на слабых устройствах c OpenWRT.

В данной статье рассмотрим как:
⏺ Настроить обход блокировок с помощью Trojan TCP, tun2socks и bird2 (BGP) на устройствах с 8 Мб ПЗУ и 64 ОЗУ (8/64)
⏺ Настроить существующее подключение к OpenVPN серверу, которое могло или может перестать работать, через Trojan TCP туннель (Websocket этой реализацией не поддерживается)
⏺ Собрать прошивку с Trojan, kmod-tun, zram и bird2 на базе OpenWRT 21.02.7 для устройств с 8/64 (более новые версии (>22.03) занимают больше места и этот набор пакетов уже не поместится в 8 Мб)

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Как использовать нейросети, чтобы работать быстрее и проще?

Можно бесконечно обсуждать, заменят ли нейросети программистов, дизайнеров и других специалистов. Но даже если это и произойдет, то не сегодня.

Пока что искусственный интеллект лишь помогает автоматизировать процессы и быстрее решать задачи.

Сомневаетесь? Тогда рассказываем истории сотрудников Selectel — как сисадмины, тестировщики и UX-исследователи используют AI в своей работе.

Читать статью - линк.

// Не хакинг, а ИБ

🤖 «Да не робот я!»: CAPTCHA исчезнет или станет ёщё более раздражающей?

Вместе с ростом числа интернет-пользователей развивались боты для спам-рассылок и создания фейковых учетных записей.

В 2000 году исследователями из Университета Карнеги-Меллона была разработана CAPTCHA, Completely Automated Public Turing Test to tell Computers and Humans Apart.

Капча служит защитным механизмом, генерируя задачи, которые легко решить людям и тяжело — ботам.

Она не давала спамерам и мошенникам обманывать веб-сайты.

Но с годами простые пользователи стали все больше уставать от капчи и воспринимать ее как раздражитель, а не механизм аутентификации.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Что такое Software Bill of Materials и зачем он нужен разработчикам.

Идея SBOM берет начало в промышленной сфере, и на производстве Bill of Materials (BOM) используют достаточно давно.

Это — подробный список сырья и готовых компонентов, необходимых для изготовления той или иной продукции, организованный по иерархическому принципу. 

В контексте разработки программного обеспечения спецификация Software Bill of Materials представляет собой перечень зависимостей, файлов, библиотек и других элементов, имеющих отношение к конкретному сервису или инфраструктуре целиком.

Ее задача — предоставить наиболее полную информацию о программных компонентах, в том числе их версии и типы лицензий. 

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ OSINT-инструменты в помощь: проверяем учетные данные.

В этой статье я не буду рассуждать, почему чужие логины-пароли попадают в руки мошенников.

Поговорим лучше о том, как проверить, не скомпрометированы ли ваши учетки и не пора ли их обновить.

А еще расскажу, как искать аккаунты пользователей по данным для доступа к популярным сайтам.

Делать все это мы будем с помощью OSINT-инструментов.

Читать статью - линк.

// Не хакинг, а ИБ

🔐 HTB | Онлайн лаборатория для пентеста.

Hack The Box или HTB - это онлайн платформа, позволяющая вам проверить свои навыки тестирования на проникновение и обменяться идеями и методологиями с тысячами людей в области безопасности.

Она содержит множество задач (виртуальных машин), которых со временем становится все больше.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Приложение Getcontact светит вашими персональными данными, даже если вы им никогда не пользовались.

Getcontact — мобильное приложение, позиционирующее себя как менеджер звонков и блокировщик спама.

Появилось в конце 2017-го и стремительно взлетело на первые места магазинов приложений: сейчас загрузок в Google Play больше 100 миллионов, а сами создатели сервиса оценивают свою аудиторию в 400+ миллионов пользователей.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Интервью с руководителем отдела анализа защищённости Angara Security Михаилом Суховым о пентесте.

Вопросы я задавал иногда очень простые (они могут даже показаться глупыми), но хотелось понять портрет практикующего пентестера.

Итак, я поговорил с руководителем отдела анализа защищённости Angara Security Михаилом Суховым о работе пентестера и его стандартных инструментах.

В первую очередь пентест — это творческий процесс, в котором пентестер находит интересные, назовём это возможностями, в различных системах, будь то вход в бизнес‑центр, веб‑приложение или инфраструктура.

Читать статью - линк.

// Не хакинг, а ИБ

🥷 Практическое руководство по анонимности в онлайне.

Пожалуй, наиболее полное практическое руководство по анонимности опубликовано на сайте Anonymous Planet.

Люди рискуют свободой и жизнью, не зная базовых вещей.

В первую очередь это касается администраторов телеграм-каналов.
А также и всех обычных пользователей, которые могут совершенно случайно попасть «под раздачу».

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Открытые инструменты для превентивной защиты и ИБ-аудита.

Есть два ключевых подхода к защите ИТ-систем: реактивный и превентивный.

Реактивный — это реагирование на атаки и реализованные ИБ-риски, в том числе восстановление данных, установка патчей и обновлений, прочие активности.

Превентивный подход подразумевает обнаружение и минимизацию возможных угроз. 

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ 150+ поисковых систем и инструментов для белого хакера.

Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям.

В этом им помогают десятки инструментов и хаков.

Статья состоит из 8 объемных разделов:
⏺ метапоисковики и поисковые комбайны;
⏺ инструменты для работы с дорками;
⏺ поиск по электронной почте и логинам;
⏺ поиск по номерам телефонов;
⏺ поиск в сети TOR;
⏺ поиск по интернету вещей, IP, доменам и поддоменам;
⏺ поиск данных об уязвимостях и индикаторов компрометации;
⏺ поиск по исходному коду.

Читать статью - линк.

// Не хакинг, а ИБ

⚠️ Устройство TCP | Реализация SYN-flood атаки.

В данной статье мы кратко поговорим об устройстве протокола TCP, самой популярной атаке на него – SYN-flood, реализуем её на практике, а также узнаем как с ней бороться.

TCP расшифровывается как Transmission Control Protocol – протокол контроля передачи.

Как понятно из названия, он используется для того, чтобы контролировать передаваемые по сети данные: упреждать и исправлять различные казусы, могущие возникнуть при передачи данных по сети.

Читать статью - линк.

// Не хакинг, а ИБ

🎮 Инструмент для взлома Flipper Zero - большой успех.

Flipper Zero — тамагочи для хакеров, который обладает многим количеством модулей для исследования «железа» вокруг нас.

Девайс умеет много что, например читать и воспроизводить Sub‑GHz сигналы (шлагбаумы, ворота, метеостанции и многие другие гаджеты), эмулировать и записывать RFID и много других подобных функций, про которые я расскажу подробнее в следующих модулях.

Читать статью - линк.

// Не хакинг, а ИБ