Digital Security

С Новым годом, друзья! Поздравления вам шлют аудиторы и ресёрчеры, разработчики и маркетологи, руководители и стажёры Digital Security! Мы хотим поблагодарить наших клиентов, партнёров и всё комьюнити за поддержку. Спасибо, что остаётесь с нами! Пускай 2023 год будет лучше, защищённее, технологичнее и удачнее для всех нас!

8 правил для тех, кто не хочет дарить деньги мошенникам🎁 Предпраздничный ажиотаж, спешка с покупками, большие скидки и выгодные предложения — и все, мы потеряли бдительность. Каждый думает, что никогда не попадется в лапы мошенников, но это ощущение всегда обманчиво. В статье расскажем, как отличить поддельный интернет-магазин от оригинального, какие данные и каким образом могут украсть злоумышленники и что нужно держать в голове, совершая покупки онлайн.

Новогодняя встреча SPbCTF × Яндекс ❄️ 18 декабря специалисты Digital Security выступят с докладами в уютном офисе Яндекса. ▫️ “Rust’ерзание краба. Пробуем ревёрсить Rust удобно” — Сибирцев Дмитрий ▫️ “White-Box Cryptography. Что делать, если у вас статический ключ шифрования” — Леевик Антон ▫️“SDR for dummies” — Дрягунов Михаил Начало в 13:37 GMT+3.

Инструменты статистического анализа кода — must have для аналитики больших задач с миллионами строк кода. Да и небольшим проектам будет полезно знать о SAST-решениях для оптимизации работы. 👌 В статье подробно расскажем о нескольких известных и малоизвестных инструментах с открытым кодом, возможностью без ограничений работать с C/C++ и создавать собственные запросы/правила.

Обзор Red, Blue или Purple Teams для оценки кибербезопасности компании 🦸‍♂️ Большинство организаций, независимо от размера и отрасли, регулярно тестируют свои системы и протоколы безопасности. Одним из наиболее эффективных способов предотвращения возможных киберугроз является проведение тестирования на проникновение в формате Red и Purple Team. В статье подробнее разберем, что такое Red, Blue и Purple Team, расскажем про различия команд, как проходят эти мероприятия и каким организациям нужны такие тестирования.

Как выбрать поставщика услуг Red Teaming в условиях глобальных кибератак Проведение тестов по принципу Red Teaming помогает компаниям выстраивать эшелонированную защиту и совершенствовать работу служб ИБ и ИТ. Старший специалист департамента анализа защищённости Вадим Шелест рассказал, как Digital Security подходит к реализации проекта Red Teaming, и отметил, что в последнее время у клиентов растёт интерес к использованию нестандартных сценариев атаки. В материале эксперты обсудили: 🔺инфраструктуру для Red Teaming 🔺этапы реализации проектов 🔺оценку качества и многое другое «У заказчиков уже сформировалось понимание важности данной услуги. Рынок будет развиваться, а востребованность Red Teaming будет восстановлена в ближайшие два-три года». Подробнее об услуге

Специалист Digital Security дал комментарий «Известиям» о новых уязвимостях в банкоматах🏧 После ухода компаний по обеспечению безопасности вскрылись новые проблемы в защите устройств. Каждый четвертый банкомат в России может быть уязвим. Старший специалист департамента анализа защищенности Digital Security Вадим Шелест подчеркивает, что в настоящее время никакая сертификация не сможет гарантировать стопроцентную безопасность подобных устройств. Она не покрывает всю поверхность атаки и не рассматривает каждое конкретное устройство как отдельный компонент финансовой инфраструктуры конкретного банка. «В качестве дополнительных мер по обеспечению безопасности мы рекомендуем регулярное проведение технического аудита или пентеста защищенности банкоматов, именно в контексте интеграции и взаимодействия с другими компонентами финансовой инфраструктуры каждого банка».

Rust’ерзание краба. Пробуем реверсить Rust удобно🦀 Rust как язык программирования только набирает обороты и в этой статье посмотрим на него с «обратной» стороны, а именно: 🔹попробуем пореверсить программу, написанную на Rust, и выяснить, что можно сделать, чтобы сделать ее анализ проще; 🔹рассмотрим утилиты, приложения и плагины, а также напишем свой плагин для IDA Pro, Cutter и rizin, чтобы автоматически создать сигнатуры для исполняемого файла без отладочных символов; 🔹поговорим о FLIRT-сигнатурах, их преимуществах и недостатках и о том, можно ли автоматизировать их создание.

White-Box Cryptography: Расшифровываем эту белую коробку 🗝 В статье вы узнаете о технологии White-Box Cryptography (WBC): 🔹рассмотрите ключевые подходы к реализации WBC; 🔹познакомитесь с основными атаками на WBC; 🔹разберёте методы защиты на уровне приложения. В рамках этой статьи мы рассмотрим только WBC для алгоритмов симметричного шифрования (т.е. AES, DES).

Насколько важна активная оценка защищенности в формате Red Teaming?🛡 19 октября 2022 в 11:00 Вадим Шелест выступит на онлайн-конференции “Red Teaming в условиях глобальных кибератак”. В эфире: 🔹расскажут о методиках, разновидностях и реальной практике проведения Red Teaming; 🔹дадут рекомендации по выбору оптимального поставщика таких услуг; 🔹объяснят, как правильно составить техническое задание и оценить результаты работы. Присоединяйтесь к нам завтра в 11:00!

Полевой набор пентестера 💼 Что специалисты Digital Security берут с собой, выезжая на проведение анализа беспроводных сетей или проектов в формате Red Team? Хорошему пентестеру, как и настоящему рок-н-рольщику, нужно всё и сразу. Так что применение зачастую находится спонтанно, и подходящий инструментарий под рукой никогда не бывает лишним. Заглядываем внутрь гаджет-органайзера пентестера и описываем необходимые для работы устройства.

😱Нажал и все погасло: что будет, если отключат интернет? Насколько разрушительны на самом деле отключения интернета? Ущерб может быть как прямым – в форме экономических и человеческих издержек – так и косвенным. В статье фантазируем что случится с инфраструктурой городов, регионов и даже стран, если отключат интернет. Разбираемся насколько это возможно и какими способами. Рассматриваем статистику и приводим 4 случая крупного отключения интернета в странах за 2022 год.