Кибербезопасность

Самое муторное и нудное в программировании обычно — это перевод даты в человеческую форму представления и обратно. У каждого языка свое хаос. Существуют две основные системы — первая, наиболее удобная, это unix timestamp. Представляет из себя целое число — количество секунд, прошедших с 1 января 1970 года, например, текущая дата — 1763041543. Вторая — это DATETIME, хранится в формате 0000-00-00 00:00:00. Тут, конечно, можно задавать абсолютно любую дату. Увы, этот формат кошмарно неудобен для работы (прибавление дат, вычитание, подключение временных поясов и т...

Посмотрел июньский TIOBE индекс. Python на первом месте с подъемом аж в 10%! Ну это понятно. Количество обучающихся и количество курсов по нему немыслимое. Но решил я приложить этот индекс на российскую действительность и посмотреть просто количество вакансий на hh.ru для каждого из языков. Результат получился вот такой: Немного другие цифры...

Хорошо, что мы все ушли в российские трекинг-системы еще в 2022 году.

Прошел две попытки на сертификацию инженера Yandex Cloud и две попытки на инженера безопасности, во всех случаях не хватает 5-10% до нужных баллов. И я понял, в чем проблема. Во всех зарубежных сертификационных экзаменах (и даже на сдачу на водительские права или на владение оружием) всегда есть подготовительные тесты, по которым гоняешь мозги и потихоньку все запоминается, у Яндекса же нет никаких подготовительных тестов — они дают просто ОГРОМНУЮ базу теории, которую ты должен ВСЮ выучить и на экзамене все это проверяется...

Помню времена, когда ВКонтакте был под управлением Павла Дурова и все летало, это была моя любимая соцсеть. Сейчас же уже просто невозможно ей пользоваться — все кошмарно тормозит. Решил посмотреть исходники и офигел, честно говоря. Итак, картинку в студию! Вот эта страница без какой-то сильно тяжелой графики, с одной версткой и текстами создает 271 (!) запрос, загружает 34 (!) Мб за 14 (!) секунд и содержит 31 (!) ошибку...

В конце октября ФСТЭК России провела большое совещание с представителями компаний-разработчиков СЗИ. Одной из тем обсуждения стали вопросы безопасной разработки программного обеспечения (БРПО) и их сертификации. Эксперт Компании “Актив” Евгений Ларионов поделился некоторыми важными моментами встречи: — Утвержден новый ГОСТ Р 56939-2024 по безопасной разработке, который вступает в силу с 20 декабря 2024 года. — С 1 ноября этого года при подаче во ФСТЭК заявки на сертификацию необходимо предоставить перечень заимствованных компонент...

Пришла пора импортозаместить самых известных персонажей в криптографии — Alice и Bob. Раз мы переходим на российские криптоалгоритмы, то и персонажи, участвующие в них, тоже должны быть русскими ребятами. Петя и Вася — первый и второй участники соединения (по первым буквам). Зоя — злоумышленник (по первой букве) Таня — третий участник соединения (по первой букве) Женя — четвертый участник соединения (по второй букве) Родион — посторонний, обычно злоумышленник (запомнить по фильму "Москва слезам не верит") Паша — подслушивающий пассивный злоумышленник (по первой букве)...

Для чего это нужно? Например, мы хотим проверить, не идет ли у нас общение нашего сервера с каким-нибудь зарубежным сервером? Не передает ли какая-нибудь утилита куда-нибудь зарубеж какие-нибудь данные? В условиях текущих реалий вопросы ИБ встают очень остро. И какое-нибудь обновление какой-нибудь утилиты из-за рубежа может содержать в себе троян, собирающий данные с нашего сервера. Для этого есть очень простая утилита tcpdump. Если ее запустить без ключей, то начнется вывод всего трафика. Это можно посмотреть, но недолго, так как там все несётся со скоростью света...

Это дополнение к статье "Как перенести репозиторий в GitVerse из GitHub?" После переноса репозитория надо поменять email и имя пользователя на те, которые стоят в GitVerse. Иначе ваши коммиты будут приходить с именем с GitHub. Делается это очень просто: git config --global user.name "Ваше имя" git config --global user.username "Ваше имя" git config --global user.email "Ваш email-адрес" Флаг --global означает, что меняется имя пользователя на все проекты, с которыми вы работаете на своей машине. Если же у вас много разных проектов с разными репозиториями, то, чтобы поменять...

Хорошая большая статья по замене зарубежного ПО: https://vc.ru/u/375587-vadim-d/976195-poehali-zarubezhnye-servisy-prevrashayutsya-v-tykvu-a-ya-sobral-luchshie-rossiiskie-resheniya-vybiraite?utm_source=weekly_digest&utm_campaign=170924...

Тест на робота заканчивается потерей конфиденциальных данных. Киберпреступники разработали новую изощрённую схему доставки вредоносного ПО на устройства пользователей. Lumma Stealer использует фейковые «тесты на робота», чтобы заставить пользователя самостоятельно запустить вредоносный код. Выбор злоумышленников всё чаще падает на привычные для пользователей механизмы и инструменты, от которых «не ожидаешь подвоха». По этому принципу CAPTCHA-тесты стали главным распространителем Lumma Stealer...

Как взламываются сайты, серверы, корпоративные аккаунты? Все очень просто — дело в привычке. Вот есть системный администратор в компании, отдельно есть devsecops, который следит за безопасностью инфраструктуры, отдельно есть разработчик-безопасник, который следит за безопасностью приложений. И на каждой встрече они обсуждают детали безопасности контура компании и их сред разработки. И всем всегда кажется, что все безопасно — комар носа не подточит. Но подводит всю эту мощно выстроенную конструкцию привычка...