Pull to refresh
270
15
Игорь Santry @SantrY

Главный по блогу Бастион, научный журналист

Send message

Строим безопасность, которая работает на бизнес: опыт Dodo Pizza

Reading time10 min
Views3K

Когда компания только начинает свой рост, информационная безопасность почти неизбежно воспринимается как палки в колеса. Формальные согласования, запреты, новые правила — все это кажется лишним грузом. Но рано или поздно наступает момент, когда становится все сложнее стабильно и предсказуемо развиваться без системного подхода к ИБ. 

Матвей Григорьев, руководитель направления ИБ в Dodo Engineering, заглянул к нам в подкаст «Все по ИБ» и поделился опытом построения ИБ-службы с нуля в компании, которая растет как на дрожжах. Он объяснил, как превратить безопасность из назойливого «контроллера с линейкой» в настоящего партнера бизнеса — и рассказал, как в Dodo внедряли подход Zero Trust. Мы собрали главные тезисы в этом конспекте — дальше слово Матвею.

Читать далее

Исследую роутеры с «вечным VPN» с российских маркетплейсов: admin:admin, открытые порты и доступ к соседям

Reading time11 min
Views142K

Привет, Хабр! Меня зовут Иван Глинкин, я занимаюсь инфраструктурным тестированием и аппаратным хакингом в Бастионе. Недавно наткнулся на интересное предложение на российских маркетплейсах — роутеры с предустановленным «пожизненным» VPN. Звучит заманчиво: купил, включил и сразу получаешь безлимитный доступ к виртуальной частной сети, причем без подписки.

Но как говорится, бесплатный сыр бывает только в мышеловке. Я решил разобраться, что на самом деле скрывается за красивыми обещаниями продавцов. Приобрел три роутера из разных ценовых категорий — от бюджетного Cudy за 3000 рублей до топового Xiaomi за 7000. Спойлер: если вы ожидали хеппи-энд, то вы зашли не в тот блог. 

В процессе исследования обнаружил несегментированные сети, где можно получить доступ к устройствам других покупателей, пароли admin:admin, хранящиеся в открытом виде, и SSH-доступ для продавцов. А еще выяснил, что «пожизненные» серверы работают на дешевом хостинге за 2,5 доллара.

В этой статье расскажу, какие угрозы скрываются за яркой рекламой и почему экономия на сетевой безопасности может обойтись слишком дорого.

Читать далее

DevSecOps без иллюзий: строим безопасный цикл разработки на чужих ошибках

Reading time12 min
Views3.3K

Сегодня поговорим о том, что многие делают, но мало кто делает правильно — о безопасной разработке и DevSecOps. Для этого мы пригласили Романа Гаголушко, руководителя отдела консалтинга безопасной разработки в Бастионе. Передаем ему слово.

Небольшой дисклеймер.

За годы работы в сфере безопасности разработки я насмотрелся:

— на вопиющие случаи игнорирования базовых принципов безопасности (и не только при разработке);

— на неэффективные попытки внедрения Dev «Sec» Ops;

— на откровенную и безрезультатную имитацию бурной деятельности;

— на такую же безрезультатную трату бюджета при закупке неподходящих инструментов анализа кода;

— на безразличие;

— на нежелание видеть очевидные вещи;

— на непонимание ИБ и БР со стороны разработки.

В этой статье я расскажу о типичных ошибках компаний, которые совершают все (от маленьких и не очень стартапов до больших и не очень корпораций), поделюсь практическими советами по организации процессов безопасной разработки. Напоследок расскажу, как обстоят дела с регулированием, и немного поговорю о трендах.

Читать далее

От первых GSM до цифровых экосистем: как мобильные операторы покорили Россию

Reading time10 min
Views2.8K

Помните рекламу МТС начала нулевых «Люди говорят»? По ТВ крутили провокационные ролики из обрывков телефонных разговоров, причем в двух версиях: дневной приличной и ночной с перчинкой.

К тому времени отрасль уже пережила несколько революций — от первых «кирпичей» до ценовой войны конца 90-х. В этой статье расскажем о дальнейшем развитии телекома. Как все дружно скачивали рингтоны за бешеные деньги через WAP-сайты с экранами 128×128 пикселей. Как появился мобильный Интернет — сначала GPRS, который грузился вечность, а затем полноценный 4G, сделавший мобильный трафик дешевле звонков.

Но самое интересное — как все это повлияло на ИT-индустрию в целом. Телеком стал локомотивом, который вытащил технологический сектор из девяностых и превратил инженеров связи в одних из самых высокооплачиваемых специалистов страны. Мобильные операторы превратились в ИT-компании и вырастили собственные цифровые экосистемы.

Под катом — хроника самого яркого телеком-десятилетия России. Это история о том, как сотовые операторы превратили Россию в одного из лидеров по проникновению мобильной связи. Не только о технологиях, но и о том, как индустрия меняла нашу повседневную жизнь.

Читать далее

Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git

Reading time12 min
Views42K

Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.

В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

Читать далее

Данные на продажу: что происходит с информацией после утечек

Reading time7 min
Views5.9K

Новости о крупных утечках данных больше никого не удивляют. Компании вкладывают миллионы в безопасность, проводят аудиты, но число таких инцидентов продолжает расти. Только в 2024 году Роскомнадзор зафиксировал 135 утечек — это более 710 миллионов записей о россиянах в базах данных. Но что происходит с данными после взлома? Куда они утекают? Кто и как их покупает?

Большинство новостей на тему утечек ограничиваются банальным «взломали, утекло, делайте выводы». Но утечка данных — это не конец истории, а только ее начало. После взлома данные начинают жить своей жизнью: их разбивают на части, объединяют с другими базами, разыгрывают на аукционах. Теневой рынок, построенный вокруг сбыта таких данных, напоминает отдельную экосистему, которая до сих пор слабо изучена даже среди ИБ-специалистов.

В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...

Читать далее

SelfCoerce для локального повышения привилегий на Windows 10

Level of difficultyMedium
Reading time6 min
Views3.6K

Всем привет! Меня зовут Дмитрий Неверов, я руковожу направлением анализа защищенности внутренней инфраструктуры в Бастионе. Сегодня представлю метод локального повышения привилегий на Windows 10.

Сам подход не новый и уже после его тестирования я обнаружил статью, в которой описывается нечто похожее, но с использованием C2 и стороннего хоста. В моем случае есть только один хост.

Читать далее

Как найти и потерять бэкдор в ESP32

Level of difficultyEasy
Reading time9 min
Views11K

В марте маленькая платка внезапно оказалась в центре глобального технологического скандала. Заголовки пестрили страшилками про «бэкдор» в «миллиардах устройств», и по новостям казалось, что хакеры вот-вот захватят все умные лампочки, термостаты и прочий IoT.

А потом... все как-то поутихло. Что же на самом деле нашли испанские исследователи в популярном микроконтроллере? Почему новость о «бэкдоре» разлетелась со скоростью лесного пожара? И главное — насколько реальна была угроза?

Давайте разберемся в этой запутанной истории, где переплелись технические исследования, PR-ходы, погоня за кликами и, конечно же, всеми любимые низкоуровневые протоколы. Поехали!

Читать далее

Криптография эпохи Ренессанса: шифрование как искусство и рабочий инструмент

Level of difficultyEasy
Reading time15 min
Views3.6K

Эпоха Ренессанса стала рассветом не только науки и искусства, но также криптографии. Некоторые шифры этого периода для криптографа – все равно что Сикстинская капелла или Мона Лиза для ценителя живописи. При этом именно в эпоху Возрождения шифрование превратилось из магической абракадабры и способа пустить пыль в глаза читателю в полноценный рабочий инструмент для защиты ценных сведений.

В блог Бастиона снова заглянула Анастасия Ашаева – кандидат исторических наук, старший научный сотрудник Московского музея криптографии. Эксперт рассказала о шифровании эпохи Ренессанса. 

Сразу оговоримся, что в этой статье речь идет в основном об историческом контексте, информация по некоторым шифрам дается дозировано. Ведь криптография не существует в отрыве от исторических реалий — ее развитие неразрывно связано с потребностями людей и временем. Зато следующая публикация цикла будет всецело посвящена шифрам и криптографическим разработкам — с подробными описаниями, иллюстрациями и даже таблицами. 

А пока настраиваемся на прекрасное (как-никак, говорим о Возрождении) и поехали!

Читать далее

GPT с миллионным контекстом, провальная Llama 4 и открытие исходного кода AlexNet: главные события апреля в области ИИ

Level of difficultyEasy
Reading time23 min
Views3.6K

Пока большие модели соревнуются в увеличении контекстных окон, а их создатели — в маркетинговой находчивости, мы продолжаем следить за наиболее важными событиями в мире ИИ. В апреле OpenAI выкатила сразу несколько GPT — от флагманов до микроскопических версий. Anthropic наконец научила Claude гуглить и разослала его в университеты. Midjourney вернулась в строй, а Google устроила парад апдейтов — от визуального поиска до генерации кино.

В нашем традиционном дайджесте — главные новости, свежие исследования и полезные AI-инструменты: от агентов на любой вкус и цвет до ИИ-тренера по флирту. Ну что, поехали?

Читать далее

Обновляем UserGate NGFW 6.x на 7.x: инструкция по миграции без нервов

Reading time10 min
Views2.6K

В этой статье я расскажу об опыте перехода с UserGate 6.x на 7.x — со всеми подводными камнями, неожиданными сюрпризами и спасительными лайфхаками.

Если вы еще не планировали миграцию — придется. Шестая версия скоро останется без поддержки вендора, а NGFW без актуальных обновлений — как антивирус с просроченной подпиской. Защищает только от того, что уже знает. А новые угрозы? Увы.

Под катом поделюсь инструкцией по миграции, расскажу о ключевых изменениях в архитектуре, разберу типичные ошибки и дам ссылку на GitHub со скриптом, который автоматизирует большую часть рутины. 

Статья будет полезна специалистам по информационной безопасности и всем, кто интересуется обновлением NGFW от UserGate с минимальными потерями.

Читать далее

Хет-трик пентестера: обзор и опыт получения трех ИБ-сертификатов

Reading time16 min
Views6.1K

Сегодня в ИБ-индустрии сертификаты квалификации часто становятся входным билетом в профессию. Особенно это касается пентестов и red-teaming, где заказчики нередко требуют наличие определенных сертификатов для участия в тендерах.

В этой статье я расскажу о своем опыте прохождения СRTP (Certified Red Team Professional), CRTE (Certified Red Team Expert), СRTO (Certified Red Team Operator) без отрыва от производства и вреда для рабочих проектов. Поделюсь подробностями об организации обучения, особенностях лабораторных работ и экзаменов. Также дам практические советы, которые помогут избежать типичных ошибок при подготовке. 

Статья будет полезна как начинающим специалистам по информационной безопасности, так и опытным пентестерам, планирующим получить эти сертификаты. Отмечу сразу: мой путь не был идеальным — были и пересдачи, и бессонные ночи, и «кроличьи норы». Но, как говорится, лучше учиться на чужих ошибках.

Читать далее

Ключ от всех дверей: MITM-атака на протокол Wiegand с помощью самодельной платы

Level of difficultyMedium
Reading time9 min
Views11K

Представьте: вы выложили кучу денег на крутые замки и карты доступа, а какой-то парень с крошечной штуковиной в кармане открывает их за пару минут. Похоже на сцену из киберпанк-фильма? Но это наша реальность. В сердце множества СКУД скрывается протокол, разработанный в 70-х годах прошлого века без шифрования и защиты от перехвата данных.

Сегодня я расскажу, как мы спаяли крохотную платку, которая наглядно показывает уязвимость Wiegand. Наш имплант легко перехватывает данные из СКУД, копирует карты доступа и эмулирует их, когда вам это нужно.

Мы делимся этим материалом не чтобы научить вас обходить системы безопасности (кто хотел, тот уже давно все нагуглил), а чтобы показать: пора что-то менять. Серьезно, нельзя же в 2025 году полагаться на технологию, которая старше многих безопасников, обслуживающих эти системы.

Читать далее

Прятки в пикселях: методы встраивания тайных посланий в видеопоток

Reading time10 min
Views6.8K

За последние годы стеганография прошла путь от простых методов сокрытия информации до сложных алгоритмов, использующих особенности человеческого восприятия. В прошлой статье я разобрал основы стеганографии и методы атак на стегосисистемы, а сегодня расскажу о семи ключевых способах встраивания секретных данных в видеопоток.

Мы детально рассмотрим технические особенности каждого метода: от классической замены наименее значащего бита до современного алгоритма Куттера-Джордана-Боссена.

В статье я представлю математический аппарат для оценки эффективности различных методов, включая формулы расчета пропускной способности и критерии оценки стойкости к атакам. Также поговорим о том, как выбрать оптимальный метод под конкретные задачи.

Материал будет полезен разработчикам систем защиты информации, специалистам по обработке цифровых сигналов и всем, кто интересуется современными методами сокрытия данных в мультимедийном контенте.

Читать далее

Почти фотошоп от OpenAI, дипфейки на собеседованиях, Operator от Китая: главные события марта в сфере ИИ

Reading time22 min
Views4.1K

С каждым месяцем развитие ИИ выходит на новые, ранее неизведанные рубежи. Март не стал исключением и снова повысил планку достижений. OpenAI представила первые инструменты для создания автономных агентов, а Google DeepMind решила, что виртуальным ассистентам пора обзавестись руками физическими манипуляторами. Тем временем Anthropic выяснила, что LLM научились распознавать, когда их тестируют, и подгонять ответ под ожидания проверяющих (немного тревожно, не правда ли?). И это лишь вершина айсберга!

Разбираем главные события марта в ИИ: от моделей с контекстом в миллион токенов до китайских систем, которые достигают уровня GPT-4 по цене чашки кофе. По традиции также поделимся подборкой новых инструментов и исследований. Будет интересно!

Читать далее

От Лас-Вегаса до Екатеринбурга: история соревнований Capture The Flag в России и мире

Reading time11 min
Views2.4K

В 1993 году в Лас-Вегасе сотня молодых хакеров собралась на «вечеринку для своих». Никто из них не подозревал, что положил начало движению, которое изменит подход к обучению специалистов по информационной безопасности.

За 30 лет формат Capture The Flag прошел путь от неформальных встреч студентов до масштабных шоу с призами и многочисленными спонсорами. Он завоевал мир, но, похоже, скоро снова вернется в аудитории вузов.

Об истории этого движения расскажет директор по развитию Бастиона Алексей Гришин — член оргкомитета VolgaCTF, одного из трех крупнейших российских CTF-соревнований, и организатор более 40 хакерских ивентов.

Читать далее

40 000 тегов и ни одного пароля: как мы спасли завод от остановки

Level of difficultyMedium
Reading time9 min
Views25K

Представьте, что нужно заменить двигатель самолета прямо в полете. Примерно в такой ситуации мы оказались, когда взялись за локализацию производственных систем одного российского завода. Черный ящик вместо системы управления, запароленный доступ, отсутствие документации и невозможность останавливать производство — весь джентльменский набор подводных камней после 2022 года.

Я Иван Балашов, в интеграторе К2Тех руковожу направлением цифрового производства и внедряю цифровые решения в промышленности. В этом кейсе расскажу, как мы собирали пазл из обрывков информации о настройках систем, внедряли российскую SCADA взамен западной, мигрировали функционал MES, и все это без остановки производства.

Если вы когда-нибудь окажетесь перед задачей импортозамещения критически важных производственных систем, эта история может дать представление о типичных подводных камнях и способах их обхода.

Читать далее

Замена ноды в кластере UserGate NGFW без простоя: проверенный алгоритм

Level of difficultyMedium
Reading time6 min
Views3.1K

Привет, Хабр! Сегодня лечим боли тех, кто администрирует межсетевые экраны UserGate. Представьте: критическая инфраструктура, трафик льется рекой, а одна из нод в кластере под управлением Management Center решила выйти из строя. Замена уже доставлена, но вы не знаете, как подключить ее без остановки системы.

Нужный вам алгоритм — под катом.

Читать далее

От проекта до объекта: применение ML в строительстве

Level of difficultyMedium
Reading time14 min
Views2.4K

Знаете ли вы, что более 90% строительных проектов выходят за рамки бюджета, а 89% подрядчиков регулярно сдают проекты с задержкой? При этом каждая стройка генерирует терабайты данных, которые чаще всего остаются необработанными, хотя имеют большой потенциал для оптимизации. Неудивительно, что индустрия активно ищет способы повышения эффективности процессов, и машинное обучение становится одним из ключевых инструментов.

От автоматической генерации строительных графиков до роботов-каменщиков с миллиметровой точностью укладки — ML-технологии уже трансформируют отрасль. Системы компьютерного зрения отслеживают безопасность на площадках, алгоритмы предсказывают задержки проектов, а генеративный дизайн оптимизирует архитектурные решения.

В статье покажем на реальных примерах, как работают современные решения ML в строительстве и какие результаты они дают.

Читать далее

Взлом гиганта: как я нашел уязвимость в поддомене Google и попал в «зал славы» багхантеров

Level of difficultyMedium
Reading time6 min
Views18K

Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google.

В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.

Читать далее
1
23 ...

Information

Rating
510-th
Location
Москва и Московская обл., Россия
Works in
Registered
Activity