Компания Positive Technologies со своим решением PT Application Firewall попала в опубликованный на днях магический квадрат Gartner Magic Quadrant for Web Application Firewalls (WAF) 2015, правда сами разработчики позиционируют его без акцента на Web…
Дошли новости, что PT AF попал в MQ Gartner по WAF. Приятно, что мой "дембельский аккорд" отработал и аналитики оценили по достоинству работу команды…
Сегодня я расскажу вам историю об уязвимости, которая существовала в одном интернет-банке много лет. Её эксплуатация была настолько элементарной, а опасность была настолько не очевидна, что ни кто так и не обратил на неё внимание…
Вкратце, существует возможность собрать огромное количество данных о платежах по выставленным счетам, произведённых в системе. Эти данные включают в себя назначение платежа, описание, сумму. И самое главное: номер мобильного телефона плательщика, который, в некоторых случаях, по совместительству, является логином в кошельке…
В каждой организации так или иначе присутствует HR, или «кадровая служба». Где-то она называется «отдел кадров», где-то «дирекция по управлению человеческим капиталом», но суть не меняется - это подразделение призванное помочь внутренним клиентам решить все вопросы связанные с людьми…
13 июля 2015 года был подписан Указ Президента РФ №357, который расширяет перечень сведений конфиденциального характера, утвержденный Указом №188 еще в 1997 году…
Существует не так много факторов, которые заставляют нас задумываться об информационной безопасности. Один из таких факторов — это требования законодательства и регуляторов, которые устанавливают свои правила игры и свои требования к участникам рынка. В России много регуляторов, устанавливающих на уровне своих нормативных документов высокоуровневые или детальные требования к тому, как, кем и чем должна обеспечиваться защита информации…
Буквально пару минут назад закончился вебинар "Майндкарты в жизни специалиста по ИБ", на котором я рассказал про свой опыт использования этого замечательного инструмента…
Чтобы понять, какая DLP-система нужна организации, с «остановкой» или без нее, нужно рассмотреть плюсы и минусы каждого варианта. Для систем с остановкой плюсы такие…
Экзамен окончен, результаты на руках, теперь можно сжечь конспекты, обновить Kali и написать небольшое резюме о прохождении курса Penetration Testing with Kali и сдаче экзамена Offensive Security Certified Professional. Много информации раскрыть не выйдет – запрещено правилами, но ключевые наблюдения и выводы, не углубляясь в детали, я изложу…
Недавно мы писали о причинах масштабных технологических сбоев на биржах. В начале июля 2015 года на Нью-Йоркской фондовой бирже (NYSE) произошла серьезная авария, в результате которой торги были остановлены на несколько часов. Представители торговой площадки объяснили случившееся ошибкой в работе электронной системы биржи. СМИ заявили о причастности к сбою хакеров из Anonymous или Китая…
В конце октября прошлого года Евросоюз принял новые правила ограничения распространения продуктов и технологий для обхода средств защиты. В новых правилах этих продукты и технологии получили название "intrusion software", которое расшифровывалось как: "ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций…
Как известно, раньше (как минимум) была трава зеленее. Но не будем о прекрасном. Что думают о возможностях антивируса современные регуляторы на Хабре обсуждалось не раз (например можно почитать тут). Естественно, что попытки выработать требования к средствам защиты предпринимались наверно с момента появления вирусов — это вполне в интересах как государства, так и частных пользователей…
Недавно мне пришла в голову банальная мысль, что большинство людей кладут на настройку своих роутеров, и на них можно зайти по дефолтным паролям. А много ли таких роутеров вдобавок открыты для входа из интернета, что делает их проходным двором? И как это по-быстрому проверить?...
Доброе время суток хабравчане! Буквально на днях я опубликовал статью по документации Web API и нашлись люди, которые попробовали применить XSS на сервисе, который был на этом же домене. Но особо не получилось это сделать. Точнее получилось, но не на этом сервисе. За подробностями прошу под кат…
KCAPTCHA — это готовое решение, написанное на языке PHP, предлагающее программисту решение с одной стороны весьма защищенное, с другой — максимально малотребовательное к ресурсам и конфигурации хостинга…
О том, что мобильные устройства в корпоративной среде могут быть, мягко говоря, не слишком безопасны, сказано и написано очень много. Тем не менее, не так давно мне на глаза попались интересные обобщения на эту тему, которые я хотел бы сейчас привести в нашем блоге…
Это краткое введение в криптографию под .NET для чайников, как и следует из заголовка. Здесь будут простые вещи и никаких углубленных знаний…
Роскомнадзор не опубликовал обещанных разъяснений норм 242-ФЗ, однако, судя по всему, это сделает в ближайшее время Минкомсвязи как надстоящая организация, уполномоченная давать трактовку положений ФЗ…
После публикации в Facebook вот этого ролика про интеграцию беспилотника с огнестрельным оружием началась дискуссия о том, кто должен отвечать за борьбу с этой напастью, если она вдруг появится над критически важным объектом? Это кстати, не единственный интересный ролик по данному вопросу…
Если вы когда-нибудь заливали полный бак высокооктановой смеси на придорожной АЗС, то, скорее всего, хотя бы раз в жизни, но вы пробовали на вкус гамбургер или пирожок местного производства. Не зависимо от того, на какой заправке было зачато это кулинарное изделие, у них есть одно общее свойство – все они запекались не для того, чтобы быть лучшими в своем классе и брать призовые места на олимпиадах пекарей придорожных АЗС…
На youtube канале Positive Technologies опубликованы видеозаписи выступлений с конференции Positive Hack Days V. Выбрал записи по теме безопасности АСУ ТП. Обо всем что было на конференции по теме писал ранее…
Уже завтра (16.07.2015) начнет действовать Постановление Правительства РФ от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"…
