Уязвимости: поиск, оценка и устранение

Bug bounty программы: правовые риски и как их избежать

от

Правовое регулирование bug bounty programs Если вы занимаетесь информационной безопасностью или разработкой, вам наверняка встречались объявления о программах bug bounty — публичных приглашениях от компаний для поиска уязвимостей в их продуктах и сервисах с обещанием вознаграждения. Кажется, это отличный способ повысить безопасность и создать позитивную репутацию. Однако попытка поучаствовать в такой программе может обернуться неприятностями. … Читать далее

Кибербезопасность человеческого усиления: когда уязвимость угрожает телу

от

“Кибербезопасность для технологий человеческого усиления, это не просто защита данных, а защита самой человеческой автономии. Когда интерфейс между человеком и машиной становится физическим, уязвимость превращается в угрозу для тела и воли. Мы говорим не о будущем, а о настоящем, где регуляторика ФСТЭК и 152-ФЗ сталкивается с проблемами, для которых они не были созданы.” Что такое … Читать далее

Реальные bug bounty в России: где и как платят за уязвимости

от

«Мысли о bug bounty в России часто упираются в две крайности: либо это якобы лёгкие деньги на пару найденных багов, либо полное отсутствие возможностей по сравнению с западными платформами. Реальность лежит между ними. Это не работа и не лотерея, а специфический рынок со своими правилами, где платят только за уязвимости, которые невозможно проигнорировать.» Почему большинство … Читать далее

Теория сложных сетей: почему уязвимость интернета — это вопрос структуры

от

«Если посмотреть на интернет как на сеть, а не как на набор сервисов, становится понятно, почему одни атаки работают, а другие — нет. Теория сложных сетей объясняет, что уязвимость всей системы зависит не от среднего узла, а от нескольких ключевых. Это меняет подход к защите.» Что такое теория сложных сетей и зачем она нужна Теория … Читать далее

Рекурсивная защита: почему безопасность — это цепь уязвимостей

от

«Любая система защиты, это компромисс между безопасностью и сложностью. Защищая одну систему другой, мы вкладываем в её безопасность, но одновременно создаём новые уязвимости. Это не парадокс, это реальность, с которой сталкивается каждый, кто выстраивает безопасность. И если мы не понимаем эту рекурсию, мы строим башню из песка.» Безопасность как цепь уязвимостей Традиционный подход к безопасности … Читать далее

Защита данных: как карта вашей квартиры от пылесоса становится уязвимостью

от

«Устройства, которые мы подключаем к сети, не просто выполняют задачи — они собирают данные о нашем пространстве и быте. Производители часто не задумываются о последствиях, а пользователи не подозревают, насколько ценны эти данные для третьих лиц. Простое бытовое устройство становится точкой сбора информации, которую можно монетизировать или использовать во вред.» Что видит твой робот-пылесос Современные … Читать далее

Уязвимости, которые заставляют усомниться в здравомыслии кода

от

«Чаще всего дверь в систему открывают не блестящие атаки на нулевые дни, а банальная человеческая забывчивость — пароли в репозитории, демо1-демо1 в продакшене. Но иногда встречаются такие уязвимости, что после их обнаружения хочется спросить: ‘а вы точно проверяли, как это работает?’». 1. Уязвимость, которая была в самом названии Одна из первых уязвимостей, которую я находил, … Читать далее

Как сервисы доставки формируют наш цифровой профиль уязвимости

от

«Цифровая безопасность всегда была не только про технологии, но и про модели поведения. Сегодня самые точные модели нашего поведения формируют сервисы, с которыми мы взаимодействуем ежедневно — от доставки еды до такси. Эти системы непрерывного A/B-тестирования выявляют наши паттерны принятия решений под давлением, усталостью или в рутине, чтобы продать нам чуть больше. Парадокс в том, … Читать далее

Нейрофаззинг: как нейросеть находит неочевидные уязвимости

от

“Нейрофаззинг, это не про замену инструмента, а про смену вектора атаки. Вместо того, чтобы тыкать вслепую в миллиард мест, модель учится делать один осмысленный, но неправильный ход. Этого часто достаточно, чтобы система, отточенная годами, споткнулась.” Слова «нейрофаззинг» нет в глоссарии ФСТЭК. В российском регулировании это — разновидность динамического анализа. Но на практике между стандартными методами … Читать далее

Скрытые уязвимости модели: от обучения к инференсу

от

“В машинном обучении принято говорить о защите данных на этапе обучения, но на практике риски переносятся на этап инференса, и уязвимости моделей часто являются производными от уязвимостей в данных. Без понимания, как разные векторы атак пересекаются на протяжении всего жизненногоного цикла модели, любая защита становится частичной и неэффективной.” От данных к модели: где прячутся уязвимости … Читать далее