Hashicorp Vault - прекрасный продукт для централизованного хранения всех паролей и других секретов компании. При этом, многие знают, что удобная ключница - это идеальный способ потерять все ключи одновременно. Когда я работал в крупном телекоме, то DRP-протоколы с восстановлением данных учитывали даже запрет на сбор более двух Хранителей Ключей в одном месте. Чисто на случай очень неудачного корпоратива с совместным полетом на воздушном шаре, дегустацией домашних грибов или другими подобными факторами. Короче, если вы внедряете подобную систему, то вам надо очень внимательно подходить не только к вопросам эксплуатации, но и резервного копирования и восстановления.

Сегодня я не буду глубоко касаться темы организации правильного хранения фрагментов ключей Шамира. Вместо этого, я попробую рассказать о том, как развернуть с нуля отказоустойчивый кластер Hashicorp Vault в community edition. Для этого поднимем основной и тестовый кластер Vault в нескольких регионах и датацентрах. Тестовый кластер у нас одновременно будет служить и резервным в рамках процедуры DRP.

Чтобы было совсем интересно, настроим процесс таким образом, чтобы тестовый кластер был односторонней репликой продуктивного с отставанием в несколько суток. Разумеется, все развертывание мы будем проводить в парадигме Infrastructure-as-a-code с Terraform и Ansible в качестве основных инструментов.

Сейчас расскажу, когда это может пригодиться и какими ansible-модулями можно для этого воспользоваться. Сразу предупреждаю - это будет лонгрид, так как я не люблю разбивать на кучу мелких постов единый туториал.

Дэвид Копперфильд мог заставить исчезнуть самолет или статую Свободы. Наш герой тоже мастер исчезновений. Ему удалось обмануть 300 тысяч американских студентов во время вступительного теста. Хотите поучаствовать в его представлении?

Всем привет! Сегодня у нас большая обзорная статья о различных способах проверки контактов. Кратко пройдемся по всевозможным методам для сбора информации, составим список полезных в каждом случае сервисов и затронем ограничения того или иного способа. Начнем с самых азов для начинающих любителей OSINT и дойдем до неочевидных вариантов проверки потенциальных контактов. За подробностями добро пожаловать под кат!

Лучшая инвестиция десятилетия!

Наглядная иллюстрация того, насколько сильно за последние два года упал рынок NFT. Знаменитый невзаимозаменяемый токен, показывающий первый в истории твит от тогдашнего гендиректора Twitter Джека Дорси, который в 2021 году стоил 2,9 миллиона долларов, выставлен на аукцион. Текущая самая высокая ставка составляет 1850 долларов.

Всем привет! Меня зовут Максим Смирнов, я руковожу командой, которая работает над производительностью Яндекс Браузера и отвечает за его графическую подсистему. В этой статье я расскажу об одном неочевидном улучшении, которое наша команда внедрила в Браузер для Windows. Если описать его в двух словах, то нам удалось улучшить стабильность и производительность браузера, убедив драйверы видеокарт, что наше приложение — это Google Chrome.

Команда парней KTS нарастила ногти и посоревновалась с девушками в скоростной печати, открывании жестяных банок и других повседневных задачах.

В среднем 247 рабочих дней в году мы в KTS проводим за разработкой цифровых продуктов в HRTech, EduTech, мобильной разработкой и DevOps. Месяц назад мы поспорили: правда ли, что с нарощенными длинными ногтями сложнее выполнять повседневные действия. Девушки согласились, парни — нет. Выяснить правду решили честным экспериментом.

Дисклеймер: цель нашей статьи — поздравить девушек с 8 марта и напомнить всем мужчинам, насколько прекрасны и изобретательны девушки.

2 марта крупнейший американский крипто банк Silvergate сообщил о задержке с публикацией годового финансового отчета, а затем и вовсе заявил о своей “возможной несостоятельности” по причине резкого снижения уровня капитализации. После этого, как и следовало ожидать, все партнеры стали поочередно отказываться от работы с банком, что сразу же создало дополнительное давление на капиталлизацию Silvergate. За сутки цена на акции банка упала на 57% на Нью-Йоркской фондовой бирже (NYSE), а на Лондонской фондовой бирже (LSE) — на 54%.

К моему удивлению, не так много криптанов вообще слышали название Silvergate. И как следствие, многие и бровью не повели после новостей о возможном банкротстве банка. И это зря. Silvergate был второй по величине банк в США, работающий с криптоактивами и один из основных мостов между криптовалютами и фиатом для институциональных и ритейл инвесторов в стране. В данном материале мы расскажем о Silvergate, подробно разберем историю его краха, проанализируем, как эта ситуация повлияет на криптовалютный рынок и порассуждаем, что дальше ждет криптоиндустрию. Поехали!

Вот уже пару лет, как я рекомендую всем моим знакомым использовать Firefox, как браузер для повседневного серфинга в интернете. Я люблю этот браузер за его гибкость в настройке, скорость и заботу о приватности. Много раз на форумах меня спрашивали про какие-то отдельные случаи по настройке, поэтому я решил написать статью с подробным описанием настроек, как шпаргалку для себя и чтобы делится ею, в случае новых вопросов.

Надеюсь она немножко поможет в популяризации этого чудесного браузера.

В этой статье я хотел бы обсудить возможные долгосрочные последствия вакцинации. Судя по проведенным клиническим испытаниям, в целом вероятность каких-то долгосрочных побочных явлений очень низкая. Однако, несмотря на огромный интерес к данной теме, информации о том, какие именно побочные эффекты могут возникнуть, пусть даже теоретически, крайне мало. Единственное, что встречал - антителозависимое усиление инфекции (ADE эффект), а также некий антигенный импринтинг, но вроде бы в нашем случае с этим проблем нет. Векторная технология вакцины и аденовирусы, на основе которых она сделана, также хорошо изучены и не представляют опасность. В этой статье хотелось бы порассуждать о возможности долгосрочных аутоиммунных реакций на так называемый Spike-белок, выделяющийся после вакцинации.

1. Professional Offensive Operations.
2. XEN.

Сегодня защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. О мощном фреймворке WPScan для пентеста WordPress мы уже писали, но сайты бывают и на других движках. Именно поэтому сегодня разберем более универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).

Что такое OWASP ZAP?

OWASP (Open Web Application Security Project) — всемирная некоммерческая организация, деятельность которой направлена на повышение безопасности ПО.

OWASP ZAP (Zed Attack Proxy) — один из самых популярных в мире инструментов безопасности. Это часть сообщества OWASP, а значит, что этот инструмент абсолютно бесплатный.

Почему многие выбирают OWASP ZAP?

Он предназначен для пользователей с широким спектром опыта в области безопасности, поэтому отлично подходит для разработчиков и функциональных тестировщиков, которые плохо знакомы с пентестами.

ZAP создает прокси-сервер между клиентом и вашим сайтом. Пока вы перемещаетесь по своему веб-сайту, он фиксирует все действия, а затем атакует сайт известными методами.

Открытый исходный код!

Проект был запущен в 2010 году, но до сих пор дорабатывается и регулярно обновляется.

Настройка среды ZAP

ZAP является кроссплатформенным и для своей работы требует только наличия JAVA 8+. Поэтому можно обойтись без Kali Linux или других ОС для белого хакинга.

Drozer – обязательный инструмент в арсенале каждого пентестера. С его помощью можно быстро получить информацию о приложении и его слабых местах.

Drozer предустановлен в Kali Linux и других ОС для белого хакинга.

Возможности Drozer:

1. Получение информации о пакете
2. Определение поверхности атаки
3. Запуск активностей
4. Чтение от поставщиков содержимого
5. Взаимодействие со службами
6. Дополнительные опции

1. Получение информации о пакете

Мы можем получить пакеты, присутствующие на подключенных устройствах, а также информацию о любом установленном пакете.

To get list of all packages present in the device.
dz> run app.package.list

To search for a package name from the above list
dz> run app.package.list -f <your_string>

To get basic info about any selected package
dz> run app.package.info -a <package_name>

2. Определение поверхности атаки

Это та часть, с которой мы начинаем исследовать уязвимости. В первую очередь проверим количество экспортированных:

• Активностей
• Поставщиков содержимого
• Служб

Я думаю, что большинство читателей не имеют проблемы со зрением, но задумываются, что случится, если зрение откажет. Здесь должна быть картинка, но я её не вижу, поэтому интересующихся, как кодить, не глядя на экран, прошу под кат.

Эпиграф