Поздний сентябрьский вечер 2023 года. Вы лениво листаете eBay. Среди обычного барахла попадается странное железо — тяжелые промышленные модули. На платах красуются логотипы Siemens и AREVA. Описание скудное, но профессиональное, цена удивительно доступная.

Перед вами компоненты системы Teleperm XS — цифровой платформы управления ядерными реакторами. Прямо сейчас такое оборудование управляет безопасностью АЭС по всему миру.

Независимый security-исследователь Рубен Сантамарта двадцать лет взламывает всё подряд — от спутниковых терминалов до систем голосования. Увидев эти лоты, он не смог пройти мимо. Купил компоненты и задался вопросом: что будет, если злоумышленник доберется до «мозгов» реактора?

Сегодня мы пройдем его путь и смоделируем реалистичную кибератаку. Сценарий «Кибер Три-Майл-Айленд», который, по расчетам Сантамарты, за 49 минут приводит к расплавлению активной зоны реактора.

Путешествие в сердце ядерного реактора начинается.

Наркоторговец из Южной Австралии Доменико Катанзарати был уверен, что провернул сделку века. Он использовал Anom — свой анонимный защищенный смартфон — для координации поставки кокаина, спрятанного внутри промышленного сварочного аппарата.

Катанзарати был спокоен. Anom считался «Роллс-Ройсом» в мире шифрованной связи, его рекомендовали влиятельные люди из криминального мира. Устройство работало на кастомной операционке, а сообщения шифровались так надежно, что, казалось, никакие спецслужбы не вскроют переписку. «Окей, давай заработаем миллионы», — беспечно писал Катанзарати своему подельнику в защищенном чате.

Когда пришло время забирать «сварочник» из порта, получателей ждал сюрприз: груза не было. Через несколько дней Доменико сообщили: «Ваш груз изъят пограничной службой Австралии». Подельники Катанзарати написали в тот же безопасный чат: «Pigs grabbed him» («Менты его взяли»).

Оказалось, каждое сообщение наркоторговца и его подельников читал специальный агент ФБР Маршалл Мьюз в своем кабинете в Сан-Диего. «Безопасный» Anom был тщательно продуманной ловушкой, которую втайне создало и финансировало Федеральное бюро расследований.

Под катом — подробный разбор операции «Троянский щит», одной из самых изощренных цифровых ловушек в истории, основанный на докладах с DEF CON, внутренних документах и свидетельствах участников по обе стороны закона.

ChatGPT генерирует эксплойты, автосканеры находят уязвимости за минуты, а фреймворки сами пишут отчеты. Неужели профессия пентестера обречена? Спойлер: нет, не обречена. Но кардинально меняется.

Современные инструменты творят чудеса. AMASS за полчаса соберет карту субдоменов компании, Nuclei проверит тысячи уязвимостей по готовым шаблонам, а Metasploit поможет получить доступ к системе парой команд. Скорость впечатляет, но есть нюанс. Автоматизация отлично справляется с рутиной и шаблонными задачами, а вот креативное мышление пока остается прерогативой человека. Найти цепочку нестандартных действий, которая приводит к компрометации системы, или понять, что безобидная на вид уязвимость может обанкротить компанию — такое машинам не под силу.

В этой статье Сергей Зыбнев — наш эксперт, который прошел путь от сисадмина до администратора средств защиты и, наконец, пентестера расскажет, где автоматизация незаменима, а где без человеческого мозга не обойтись. Пройдем по всем этапам пентеста от разведки до написания отчета, и посмотрим, как грамотно сочетать силу машин с интуицией специалиста.

Что нужно, чтобы скомпрометировать данные 27 миллионов абонентов, обрушить акции телеком-гиганта и поставить под угрозу национальную безопасность одной из самых технологически развитых стран мира? Свежий zero-day? Квантовый компьютер? Гениальная социальная инженерия?

Всего лишь веб-шелл, почти три года преступной халатности и один хитрый бэкдор.

Неизвестные злоумышленники с июня 2022 года хозяйничали в критической инфраструктуре крупнейшего корейского сотового оператора. Под катом мы разберем эту громкую историю.

Сегодня поговорим о том, что многие делают, но мало кто делает правильно — о безопасной разработке и DevSecOps. Для этого мы пригласили Романа Гаголушко, руководителя отдела консалтинга безопасной разработки в Бастионе. Передаем ему слово.

Небольшой дисклеймер.

За годы работы в сфере безопасности разработки я насмотрелся:

— на вопиющие случаи игнорирования базовых принципов безопасности (и не только при разработке);

— на неэффективные попытки внедрения Dev «Sec» Ops;

— на откровенную и безрезультатную имитацию бурной деятельности;

— на такую же безрезультатную трату бюджета при закупке неподходящих инструментов анализа кода;

— на безразличие;

— на нежелание видеть очевидные вещи;

— на непонимание ИБ и БР со стороны разработки.

В этой статье я расскажу о типичных ошибках компаний, которые совершают все (от маленьких и не очень стартапов до больших и не очень корпораций), поделюсь практическими советами по организации процессов безопасной разработки. Напоследок расскажу, как обстоят дела с регулированием, и немного поговорю о трендах.

В марте маленькая платка внезапно оказалась в центре глобального технологического скандала. Заголовки пестрили страшилками про «бэкдор» в «миллиардах устройств», и по новостям казалось, что хакеры вот-вот захватят все умные лампочки, термостаты и прочий IoT.

А потом... все как-то поутихло. Что же на самом деле нашли испанские исследователи в популярном микроконтроллере? Почему новость о «бэкдоре» разлетелась со скоростью лесного пожара? И главное — насколько реальна была угроза?

Давайте разберемся в этой запутанной истории, где переплелись технические исследования, PR-ходы, погоня за кликами и, конечно же, всеми любимые низкоуровневые протоколы. Поехали!

Искусственный интеллект в информационной безопасности — такая обширная тема, что можно легко заблудиться в дебрях спекулятивных прогнозов. Понятие ИИ охватывает все — от рекомендательных алгоритмов, подсовывающих видео с котиками, до роботов, которые хотят убить всех человеков. Чтобы не написать вместо статьи сценарий низкобюджетного sci-fi, стоит сузить фокус.

Представим, что мир ИИ застыл. Никаких революций, никаких сверхразумных AGI на горизонте. Сосредоточимся на анализе больших языковых моделей (LLM) и их влиянии на информационную безопасность. Конечно, выпуск новой мощной модели может разнести вдребезги все эти выкладки, но примем этот риск. Ведь с чего-то надо начинать.

В этой статье я рассмотрю, какие новые возможности открываются перед атакующими и защитниками, и что за вызовы стоят перед отраслью. Под катом вас ждет увлекательное путешествие на ИБ-фронтир.

Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ.

Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее подключить команду реагирования. Однако бизнес и штатные сотрудники службы безопасности могут самостоятельно снизить риск атак программ-вымогателей, дополнительно защитить критичные файлы и облегчить расследование, если избежать инцидента все же не удалось. Как именно? Рассказывает Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона.

Персональные данные стали ценным ресурсом, за которым, кажется, охотятся все. От безобидного «‎анонимного» опроса‎ до навязчивых рекламных звонков — путь личных сведений может быть непредсказуемым.

Давайте разберемся в тонкостях обработки персональных данных, научимся читать между строк пользовательских соглашений и узнаем, как противостоять большому брату в лице жадных до информации компаний. Приготовьтесь к погружению в лабиринты закона «О персональных данных» и хитросплетения документов, которые так часто подписывают не глядя. Вашим проводником выступит Анастасия Буренкова — специалист по защите персональных данных Бастион.

«Дельфин-тамагочи» от Flipper Devices Inc. не нуждается в представлении, но хайп вокруг этого хакерского мультитула уже поутих. Теперь пользователи разделились на два лагеря: одни считают Flipper Zero крутым инструментом, другие не понимают, зачем его купили.

Один из наших пентестеров и социальных инженеров согласился поделиться впечатлениями от использования этого устройства. Он честно рассказал, полезен ли Flipper для проведения тестов на проникновение, какие задачи позволяет выполнять на объектах клиентов и стоит ли устройство своих денег. Рассмотрим плюсы и минусы девайса, с которыми приходится сталкиваться в «полевых» условиях. 

Автопром сделал первый шаг в цифровую эпоху еще в 1967 году, когда в Германии выпустили Volkswagen Typ 3 с электронной системой впрыска D-Jetronic от Bosch. Сегодня же компьютерные системы управляют почти всеми функциями большинства авто — от режимов работы двигателя до стеклоочистителей.

Как всегда, технический прогресс имеет свою оборотную сторону: чем больше роль ПО в работе техники, тем серьезнее угрозы информационной безопасности. Риски стали выше с появлением так называемых подключенных автомобилей — connected cars. Дошло до того, что хакеры могут дистанционно перехватить контроль над машиной в реальности: теперь это не просто фантазии сценаристов «Форсажа».

В статье рассмотрим основные виды автомобильных кибератак и связанные с ними риски. Также поговорим о том, как в мире и в России пытаются бороться с такими угрозами и какие это приносит результаты.

Наблюдение за тем, какие изменения происходят на планете в масштабах стран и континентов — настоящий источник вдохновения для OSINT-аналитиков. Специалисты Бастион поделились актуальным списком интерактивных дашбордов, которые они держат в закладках, плюс я добавил парочку от себя.

Даже если вы никак не связаны с ИБ, зато часами залипали в контурные карты глобальных стратегий или восхищались глобусом в центре управления X-COM, эта подборка инструментов наверняка вам понравится.

Лучшая защита – это нападение, причем на себя любимого. Все чаще бизнес выстраивает информационную безопасность именно по такому принципу. Своевременный пентест или Read Teaming, когда привлеченные подрядчики пытаются взломать корпоративную IT-инфраструктуру, помогает команде ИБ заранее обнаружить и закрыть бреши и сделать организацию по-настоящему неприступной для реальных злоумышленников. Однако Offensive Security не лишен нюансов и подводных камней.

Из чего складывается наступательная кибербезопасность, как правильно ее реализовать и выбрать компетентных подрядчиков, на что обратить особое внимание? Обо всем этом и не только шла речь на круглом столе, в котором принял участие один из наших ведущих специалистов по пентестам.

В 2015 году я прочитал статью @AlexeyStn про открытку-лабиринт — подарок, который невозможно открыть, не разгадав головоломку. Восемь лет спустя я повторил этот DIY-проект на новом технологическом уровне. Получилась 3D-печатная фоторамка с секретным отделением для подарка и длинной историей создания.

В процессе я сломал 3D-принтер, столкнулся с загадочными багами Cura, чуть не поругался с косплеерами и, кажется, наступил на все возможные грабли, но успел до Нового года. А теперь вот написал эту статью.

Неприступных крепостей не бывает. Опасную брешь, то есть бэкдор, недавно обнаружили в шифрованном стандарте радиосвязи TETRA. А ведь он вот уже 25 лет используется военными, экстренными службами и объектами критической инфраструктуры по всему миру. Самое интересное, что на технические детали и контекст этой истории почти никто не обратил внимания.

Мы изучили статьи и доклады исследователей и собрали всю суть. Перед вами — подробная история взлома TETRA.

Дата-центр — заманчивая цель для кибератак и непростой объект для защиты. Мы решили выяснить, как обеспечивается бесперебойная работа ЦОДов руководителя отдела информационной безопасности 3data Павла Черных, и публикуем его рассказ.

Из него вы узнаете, как выглядят три кита безопасности ЦОД, к каким специфическим инцидентам постоянно готовятся на этих объектах и почему дата-центры привлекают бездомных. А напоследок вы получите несколько практических советов по выбору надежной площадки для размещения своей инфраструктуры.

Этот парень открыл все турникеты на станции. Вы до сих пор считаете, что все хакеры вредны?

Начну с простого вопроса: кто из вас пользуется общественным транспортом? А кому нравится за него платить? Если такие все же найдутся, то могут смело переставать читать статью. Для остальных у меня есть рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему.

Жителям Бостона статья поможет получить бесплатные поездки, а для всех остальных этот материал будет неплохим уроком по реверс-инжинирингу. Ну или, по крайней мере, вы узнаете любопытную историю.

Подход Apple к информационной безопасности приводит к тому, что некоторые пользователи Mac не обращают внимание на то, что происходит с их компьютерами. В этом посте я старался разобраться в основных механизмах защиты macOS от вредоносных программ и выделить их недостатки, но в результате выяснилось, что «проблема» — это сама репутация macOS.