Когда компания только начинает свой рост, информационная безопасность почти неизбежно воспринимается как палки в колеса. Формальные согласования, запреты, новые правила — все это кажется лишним грузом. Но рано или поздно наступает момент, когда становится все сложнее стабильно и предсказуемо развиваться без системного подхода к ИБ. 

Матвей Григорьев, руководитель направления ИБ в Dodo Engineering, заглянул к нам в подкаст «Все по ИБ» и поделился опытом построения ИБ-службы с нуля в компании, которая растет как на дрожжах. Он объяснил, как превратить безопасность из назойливого «контроллера с линейкой» в настоящего партнера бизнеса — и рассказал, как в Dodo внедряли подход Zero Trust. Мы собрали главные тезисы в этом конспекте — дальше слово Матвею.

Привет, Хабр! Меня зовут Иван Глинкин, я занимаюсь инфраструктурным тестированием и аппаратным хакингом в Бастионе. Недавно наткнулся на интересное предложение на российских маркетплейсах — роутеры с предустановленным «пожизненным» VPN. Звучит заманчиво: купил, включил и сразу получаешь безлимитный доступ к виртуальной частной сети, причем без подписки.

Но как говорится, бесплатный сыр бывает только в мышеловке. Я решил разобраться, что на самом деле скрывается за красивыми обещаниями продавцов. Приобрел три роутера из разных ценовых категорий — от бюджетного Cudy за 3000 рублей до топового Xiaomi за 7000. Спойлер: если вы ожидали хеппи-энд, то вы зашли не в тот блог. 

В процессе исследования обнаружил несегментированные сети, где можно получить доступ к устройствам других покупателей, пароли admin:admin, хранящиеся в открытом виде, и SSH-доступ для продавцов. А еще выяснил, что «пожизненные» серверы работают на дешевом хостинге за 2,5 доллара.

В этой статье расскажу, какие угрозы скрываются за яркой рекламой и почему экономия на сетевой безопасности может обойтись слишком дорого.

Сегодня поговорим о том, что многие делают, но мало кто делает правильно — о безопасной разработке и DevSecOps. Для этого мы пригласили Романа Гаголушко, руководителя отдела консалтинга безопасной разработки в Бастионе. Передаем ему слово.

Небольшой дисклеймер.

За годы работы в сфере безопасности разработки я насмотрелся:

— на вопиющие случаи игнорирования базовых принципов безопасности (и не только при разработке);

— на неэффективные попытки внедрения Dev «Sec» Ops;

— на откровенную и безрезультатную имитацию бурной деятельности;

— на такую же безрезультатную трату бюджета при закупке неподходящих инструментов анализа кода;

— на безразличие;

— на нежелание видеть очевидные вещи;

— на непонимание ИБ и БР со стороны разработки.

В этой статье я расскажу о типичных ошибках компаний, которые совершают все (от маленьких и не очень стартапов до больших и не очень корпораций), поделюсь практическими советами по организации процессов безопасной разработки. Напоследок расскажу, как обстоят дела с регулированием, и немного поговорю о трендах.

Помните рекламу МТС начала нулевых «Люди говорят»? По ТВ крутили провокационные ролики из обрывков телефонных разговоров, причем в двух версиях: дневной приличной и ночной с перчинкой.

К тому времени отрасль уже пережила несколько революций — от первых «кирпичей» до ценовой войны конца 90-х. В этой статье расскажем о дальнейшем развитии телекома. Как все дружно скачивали рингтоны за бешеные деньги через WAP-сайты с экранами 128×128 пикселей. Как появился мобильный Интернет — сначала GPRS, который грузился вечность, а затем полноценный 4G, сделавший мобильный трафик дешевле звонков.

Но самое интересное — как все это повлияло на ИT-индустрию в целом. Телеком стал локомотивом, который вытащил технологический сектор из девяностых и превратил инженеров связи в одних из самых высокооплачиваемых специалистов страны. Мобильные операторы превратились в ИT-компании и вырастили собственные цифровые экосистемы.

Под катом — хроника самого яркого телеком-десятилетия России. Это история о том, как сотовые операторы превратили Россию в одного из лидеров по проникновению мобильной связи. Не только о технологиях, но и о том, как индустрия меняла нашу повседневную жизнь.

Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.

В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

Новости о крупных утечках данных больше никого не удивляют. Компании вкладывают миллионы в безопасность, проводят аудиты, но число таких инцидентов продолжает расти. Только в 2024 году Роскомнадзор зафиксировал 135 утечек — это более 710 миллионов записей о россиянах в базах данных. Но что происходит с данными после взлома? Куда они утекают? Кто и как их покупает?

Большинство новостей на тему утечек ограничиваются банальным «взломали, утекло, делайте выводы». Но утечка данных — это не конец истории, а только ее начало. После взлома данные начинают жить своей жизнью: их разбивают на части, объединяют с другими базами, разыгрывают на аукционах. Теневой рынок, построенный вокруг сбыта таких данных, напоминает отдельную экосистему, которая до сих пор слабо изучена даже среди ИБ-специалистов.

В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...

Всем привет! Меня зовут Дмитрий Неверов, я руковожу направлением анализа защищенности внутренней инфраструктуры в Бастионе. Сегодня представлю метод локального повышения привилегий на Windows 10.

Сам подход не новый и уже после его тестирования я обнаружил статью, в которой описывается нечто похожее, но с использованием C2 и стороннего хоста. В моем случае есть только один хост.

В марте маленькая платка внезапно оказалась в центре глобального технологического скандала. Заголовки пестрили страшилками про «бэкдор» в «миллиардах устройств», и по новостям казалось, что хакеры вот-вот захватят все умные лампочки, термостаты и прочий IoT.

А потом... все как-то поутихло. Что же на самом деле нашли испанские исследователи в популярном микроконтроллере? Почему новость о «бэкдоре» разлетелась со скоростью лесного пожара? И главное — насколько реальна была угроза?

Давайте разберемся в этой запутанной истории, где переплелись технические исследования, PR-ходы, погоня за кликами и, конечно же, всеми любимые низкоуровневые протоколы. Поехали!

Эпоха Ренессанса стала рассветом не только науки и искусства, но также криптографии. Некоторые шифры этого периода для криптографа – все равно что Сикстинская капелла или Мона Лиза для ценителя живописи. При этом именно в эпоху Возрождения шифрование превратилось из магической абракадабры и способа пустить пыль в глаза читателю в полноценный рабочий инструмент для защиты ценных сведений.

В блог Бастиона снова заглянула Анастасия Ашаева – кандидат исторических наук, старший научный сотрудник Московского музея криптографии. Эксперт рассказала о шифровании эпохи Ренессанса. 

Сразу оговоримся, что в этой статье речь идет в основном об историческом контексте, информация по некоторым шифрам дается дозировано. Ведь криптография не существует в отрыве от исторических реалий — ее развитие неразрывно связано с потребностями людей и временем. Зато следующая публикация цикла будет всецело посвящена шифрам и криптографическим разработкам — с подробными описаниями, иллюстрациями и даже таблицами. 

А пока настраиваемся на прекрасное (как-никак, говорим о Возрождении) и поехали!

Пока большие модели соревнуются в увеличении контекстных окон, а их создатели — в маркетинговой находчивости, мы продолжаем следить за наиболее важными событиями в мире ИИ. В апреле OpenAI выкатила сразу несколько GPT — от флагманов до микроскопических версий. Anthropic наконец научила Claude гуглить и разослала его в университеты. Midjourney вернулась в строй, а Google устроила парад апдейтов — от визуального поиска до генерации кино.

В нашем традиционном дайджесте — главные новости, свежие исследования и полезные AI-инструменты: от агентов на любой вкус и цвет до ИИ-тренера по флирту. Ну что, поехали?

В этой статье я расскажу об опыте перехода с UserGate 6.x на 7.x — со всеми подводными камнями, неожиданными сюрпризами и спасительными лайфхаками.

Если вы еще не планировали миграцию — придется. Шестая версия скоро останется без поддержки вендора, а NGFW без актуальных обновлений — как антивирус с просроченной подпиской. Защищает только от того, что уже знает. А новые угрозы? Увы.

Под катом поделюсь инструкцией по миграции, расскажу о ключевых изменениях в архитектуре, разберу типичные ошибки и дам ссылку на GitHub со скриптом, который автоматизирует большую часть рутины. 

Статья будет полезна специалистам по информационной безопасности и всем, кто интересуется обновлением NGFW от UserGate с минимальными потерями.

Сегодня в ИБ-индустрии сертификаты квалификации часто становятся входным билетом в профессию. Особенно это касается пентестов и red-teaming, где заказчики нередко требуют наличие определенных сертификатов для участия в тендерах.

В этой статье я расскажу о своем опыте прохождения СRTP (Certified Red Team Professional), CRTE (Certified Red Team Expert), СRTO (Certified Red Team Operator) без отрыва от производства и вреда для рабочих проектов. Поделюсь подробностями об организации обучения, особенностях лабораторных работ и экзаменов. Также дам практические советы, которые помогут избежать типичных ошибок при подготовке. 

Статья будет полезна как начинающим специалистам по информационной безопасности, так и опытным пентестерам, планирующим получить эти сертификаты. Отмечу сразу: мой путь не был идеальным — были и пересдачи, и бессонные ночи, и «кроличьи норы». Но, как говорится, лучше учиться на чужих ошибках.

Представьте: вы выложили кучу денег на крутые замки и карты доступа, а какой-то парень с крошечной штуковиной в кармане открывает их за пару минут. Похоже на сцену из киберпанк-фильма? Но это наша реальность. В сердце множества СКУД скрывается протокол, разработанный в 70-х годах прошлого века без шифрования и защиты от перехвата данных.

Сегодня я расскажу, как мы спаяли крохотную платку, которая наглядно показывает уязвимость Wiegand. Наш имплант легко перехватывает данные из СКУД, копирует карты доступа и эмулирует их, когда вам это нужно.

Мы делимся этим материалом не чтобы научить вас обходить системы безопасности (кто хотел, тот уже давно все нагуглил), а чтобы показать: пора что-то менять. Серьезно, нельзя же в 2025 году полагаться на технологию, которая старше многих безопасников, обслуживающих эти системы.

За последние годы стеганография прошла путь от простых методов сокрытия информации до сложных алгоритмов, использующих особенности человеческого восприятия. В прошлой статье я разобрал основы стеганографии и методы атак на стегосисистемы, а сегодня расскажу о семи ключевых способах встраивания секретных данных в видеопоток.

Мы детально рассмотрим технические особенности каждого метода: от классической замены наименее значащего бита до современного алгоритма Куттера-Джордана-Боссена.

В статье я представлю математический аппарат для оценки эффективности различных методов, включая формулы расчета пропускной способности и критерии оценки стойкости к атакам. Также поговорим о том, как выбрать оптимальный метод под конкретные задачи.

Материал будет полезен разработчикам систем защиты информации, специалистам по обработке цифровых сигналов и всем, кто интересуется современными методами сокрытия данных в мультимедийном контенте.

С каждым месяцем развитие ИИ выходит на новые, ранее неизведанные рубежи. Март не стал исключением и снова повысил планку достижений. OpenAI представила первые инструменты для создания автономных агентов, а Google DeepMind решила, что виртуальным ассистентам пора обзавестись руками физическими манипуляторами. Тем временем Anthropic выяснила, что LLM научились распознавать, когда их тестируют, и подгонять ответ под ожидания проверяющих (немного тревожно, не правда ли?). И это лишь вершина айсберга!

Разбираем главные события марта в ИИ: от моделей с контекстом в миллион токенов до китайских систем, которые достигают уровня GPT-4 по цене чашки кофе. По традиции также поделимся подборкой новых инструментов и исследований. Будет интересно!

В 1993 году в Лас-Вегасе сотня молодых хакеров собралась на «вечеринку для своих». Никто из них не подозревал, что положил начало движению, которое изменит подход к обучению специалистов по информационной безопасности.

За 30 лет формат Capture The Flag прошел путь от неформальных встреч студентов до масштабных шоу с призами и многочисленными спонсорами. Он завоевал мир, но, похоже, скоро снова вернется в аудитории вузов.

Об истории этого движения расскажет директор по развитию Бастиона Алексей Гришин — член оргкомитета VolgaCTF, одного из трех крупнейших российских CTF-соревнований, и организатор более 40 хакерских ивентов.

Представьте, что нужно заменить двигатель самолета прямо в полете. Примерно в такой ситуации мы оказались, когда взялись за локализацию производственных систем одного российского завода. Черный ящик вместо системы управления, запароленный доступ, отсутствие документации и невозможность останавливать производство — весь джентльменский набор подводных камней после 2022 года.

Я Иван Балашов, в интеграторе К2Тех руковожу направлением цифрового производства и внедряю цифровые решения в промышленности. В этом кейсе расскажу, как мы собирали пазл из обрывков информации о настройках систем, внедряли российскую SCADA взамен западной, мигрировали функционал MES, и все это без остановки производства.

Если вы когда-нибудь окажетесь перед задачей импортозамещения критически важных производственных систем, эта история может дать представление о типичных подводных камнях и способах их обхода.

Привет, Хабр! Сегодня лечим боли тех, кто администрирует межсетевые экраны UserGate. Представьте: критическая инфраструктура, трафик льется рекой, а одна из нод в кластере под управлением Management Center решила выйти из строя. Замена уже доставлена, но вы не знаете, как подключить ее без остановки системы.

Нужный вам алгоритм — под катом.

Знаете ли вы, что более 90% строительных проектов выходят за рамки бюджета, а 89% подрядчиков регулярно сдают проекты с задержкой? При этом каждая стройка генерирует терабайты данных, которые чаще всего остаются необработанными, хотя имеют большой потенциал для оптимизации. Неудивительно, что индустрия активно ищет способы повышения эффективности процессов, и машинное обучение становится одним из ключевых инструментов.

От автоматической генерации строительных графиков до роботов-каменщиков с миллиметровой точностью укладки — ML-технологии уже трансформируют отрасль. Системы компьютерного зрения отслеживают безопасность на площадках, алгоритмы предсказывают задержки проектов, а генеративный дизайн оптимизирует архитектурные решения.

В статье покажем на реальных примерах, как работают современные решения ML в строительстве и какие результаты они дают.

Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google.

В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.