Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.

В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

Новости о крупных утечках данных больше никого не удивляют. Компании вкладывают миллионы в безопасность, проводят аудиты, но число таких инцидентов продолжает расти. Только в 2024 году Роскомнадзор зафиксировал 135 утечек — это более 710 миллионов записей о россиянах в базах данных. Но что происходит с данными после взлома? Куда они утекают? Кто и как их покупает?

Большинство новостей на тему утечек ограничиваются банальным «взломали, утекло, делайте выводы». Но утечка данных — это не конец истории, а только ее начало. После взлома данные начинают жить своей жизнью: их разбивают на части, объединяют с другими базами, разыгрывают на аукционах. Теневой рынок, построенный вокруг сбыта таких данных, напоминает отдельную экосистему, которая до сих пор слабо изучена даже среди ИБ-специалистов.

В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...

Сегодня расскажу, как мне удалось перехватить управление миллионами смарт-весов, подключенных к интернету. Причина — уязвимость в механизме привязки весов к пользователю, превратившая эти устройства в идеальные мишени для атак.

Эта находка наглядно показывает, что аппаратная и веб-безопасность — две одинаково важные составляющие защиты умных устройств. Отыскав уязвимости в каждой из них, злоумышленник может достичь по-настоящему пугающих результатов.

Сегодня в ИБ-индустрии сертификаты квалификации часто становятся входным билетом в профессию. Особенно это касается пентестов и red-teaming, где заказчики нередко требуют наличие определенных сертификатов для участия в тендерах.

В этой статье я расскажу о своем опыте прохождения СRTP (Certified Red Team Professional), CRTE (Certified Red Team Expert), СRTO (Certified Red Team Operator) без отрыва от производства и вреда для рабочих проектов. Поделюсь подробностями об организации обучения, особенностях лабораторных работ и экзаменов. Также дам практические советы, которые помогут избежать типичных ошибок при подготовке. 

Статья будет полезна как начинающим специалистам по информационной безопасности, так и опытным пентестерам, планирующим получить эти сертификаты. Отмечу сразу: мой путь не был идеальным — были и пересдачи, и бессонные ночи, и «кроличьи норы». Но, как говорится, лучше учиться на чужих ошибках.

Представьте: вы выложили кучу денег на крутые замки и карты доступа, а какой-то парень с крошечной штуковиной в кармане открывает их за пару минут. Похоже на сцену из киберпанк-фильма? Но это наша реальность. В сердце множества СКУД скрывается протокол, разработанный в 70-х годах прошлого века без шифрования и защиты от перехвата данных.

Сегодня я расскажу, как мы спаяли крохотную платку, которая наглядно показывает уязвимость Wiegand. Наш имплант легко перехватывает данные из СКУД, копирует карты доступа и эмулирует их, когда вам это нужно.

Мы делимся этим материалом не чтобы научить вас обходить системы безопасности (кто хотел, тот уже давно все нагуглил), а чтобы показать: пора что-то менять. Серьезно, нельзя же в 2025 году полагаться на технологию, которая старше многих безопасников, обслуживающих эти системы.

Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google.

В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.

При обсуждении взлома оборудования не стоит забывать о старой, но по-прежнему распространенной технологии передачи данных — инфракрасных сигналах. Они до сих пор используются в наших домах, офисах и даже на производстве.

Этот способ связи имеет свои недостатки: ограниченную дальность, чувствительность к внешнему освещению, невысокую скорость передачи данных, а также уязвимость к перехвату и атакам, включая повторное воспроизведение сигналов. С другой стороны, он дешев в производстве и прост в применении, а еще он обеспечивает долгую работу пультов управления от батареек, ведь потребляет электричество только во время работы. 

В статье поговорим о реверс-инжиниринге и аппаратном хакинге протоколов дистанционного ИК-управления: от подготовки необходимого оборудования до перехвата и декодирования сигналов. Взломаем пульт от телевизора Samsung и поделимся библиотекой ИК-сигналов, которая позволит вам с легкостью декодировать передачи для других устройств — например, камина Electrolux и кондиционера Funai. 

Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах под монотонное жужжание серверов, то спешу вас разочаровать. Это скорее детективный сериал, где вместо отпечатков пальцев — логи, а место преступления — запутанная паутина корпоративной сети. И да, наш главный герой тоже любит эффектно снимать солнцезащитные очки, только вместо фразы «Похоже, у нас убийство» он говорит: «Кажется, у нас компрометация Exchange».

В этой статье мы погрузимся в увлекательный мир расследования инцидентов, где каждый день — новая головоломка, а злоумышленники иногда оказываются более изобретательными, чем создатели CTF-заданий. Разберем ключевые аспекты этой непростой, но захватывающей работы: обсудим типичные сценарии атак, вспомним пару интересных историй из практики и ответим на вопрос о том, стоит ли компаниям идти на переговоры с хакерами.

По нашим данным, в 2024 году киберпреступники установили новый рекорд по атакам на российский бизнес: рост составил 20% по сравнению с предыдущим годом. Это максимальный показатель за всю историю наблюдений. Ситуация требует от руководства компаний пристального внимания к кибербезопасности, но как обстоят дела на самом деле?

Делимся статистикой, собранной по результатам тестирования кибербезопасности более 300 средних и крупных компаний по всей России. Под катом вы узнаете, какие ИБ-услуги оказались самыми востребованными в 2024 году, какие уязвимости встречались пентестерам чаще всего и как сегодня выглядит типичная атака на российскую организацию.

Один из самых «вкусных» моментов в работе пентестера — red-team тестирование, позволяющее ненадолго ощутить себя эдаким Джейсоном Борном от мира кибербезопасности. Подобно героям боевиков, мы постоянно проникаем на объекты разной степени защищенности: ломаем замки, обходим системы видеонаблюдения. Разве что не спускаемся в серверную на тросе с вертолета.

Поработав на таких проектах, начинаешь смотреть на любую дверь с перспективы потенциального нарушителя и выискивать уязвимости в каждой встречной СКУД. Поэтому первое, что бросилось нам в глаза, когда Бастион переехал в новый офис, — это биометрические терминалы, установленные на дверях нескольких особо важных кабинетов. Словом, пока сисадмины распаковывали сервера и ломали голову над тем, как расставить офисную технику по правилам фэн-шуя, мы решили провести небольшой внутренний пентест…

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки.

Мы написали текст по мотивам этого доклада, обогатив его данными за конец 2024 года. Статья будет полезна для тех, кто занимается пентестами и реагированием на инциденты.

В 1993 году вышел Excel 5.0 — первый продукт Microsoft, поддерживающий макросы на языке Visual Basic for Applications. Это событие стало настоящей революцией для офисных клерков: сотрудники, не обладавшие специальными знаниями в программировании, вдруг получили мощный инструмент для автоматизации монотонных офисных задач, которые прежде отнимали уйму времени. 

Однако макросы пришлись по душе не только работникам офисов. Всего спустя два года появился Concept — первый вирус, который эксплуатировал возможности макросов для кибератак. С тех пор макросы Microsoft Office стали излюбленным способом проникновения в корпоративную сеть у хакеров. Даже сегодня многие успешные атаки на компании начинаются с отправки фишингового письма с документом, который заражен вредоносным макросом.

В этой статье мы разберем механизмы работы макросов и на конкретных примерах покажем, как злоумышленники обходят средства защиты, которые Microsoft совершенствует уже четверть века. Отдельно поговорим про методы социальной инженерии, превращающие макросы в настоящее кибероружие в руках злодеев.

Привет, Хабр! На связи Дмитрий Неверов, руководитель направления тестирования внутренней инфраструктуры в Бастионе. Недавно я выпустил книгу «Идём по киберследу», представляющую собой практическое руководство по BloodHound — инструменту для разведки и анализа Active Directory, который очень любят хакеры, пентестеры и сисадмины. 

В статье расскажу о том, как работает это приложение и за что его так любят вышеупомянутые специалисты. Мы выясним, почему мониторинг Active Directory является ключевым элементом в построении безопасной сетевой инфраструктуры, и разберемся, как теория графов помогает защищать корпоративные сети. Напоследок поделюсь парой практических советов, которые помогут вам максимизировать пользу от этого инструмента при проведении пентестов.

В августе 2023 года ФСТЭК опубликовал проект документа, который может серьезно изменить подход к защите государственных информационных систем. Речь идет о новой версии печально известного 17-го приказа.

Новая версия этого акта существенно расширяет требования к защите информации и затрагивает не только ГИСы, но и другие информационные системы госорганов.

Что конкретно изменится, если проект примут? Станет ли сложнее соблюдать требования? Придется ли переделывать существующие системы защиты? В этой статье мы детально разберем ключевые изменения в требованиях ФСТЭК и попробуем понять, как они могут повлиять на работу ИБ-специалистов в государственных организациях. Об изменениях расскажет Анастасия Кузенкова, специалист по защите персональных данных Бастиона.

Спойлер: изменений действительно много, и они затрагивают практически все аспекты защиты информации — от определения целей до конкретных технических мер. Некоторые нововведения могут показаться избыточными, но если вы узнаете о них заранее, то у вас будет время подготовиться.

Помните, как в детстве нас учили не разговаривать с незнакомцами? В 2024 году эта мудрость обрела новый смысл: теперь нельзя быть уверенным даже в том, что разговариваешь со знакомым человеком, а не его нейросетевым двойником.

По данным The Wall Street Journal, за 2023 год количество «разводов» с использованием дипфейков в финтехе выросло на 700% по сравнению с 2022-м. Одновременно мошенники наращивают применение чат-ботов, увеличивая свои охваты. 

Мы позвали редактора рубрики «Финбезопасность» Т—Ж, автора и ведущего подкаста «Схема» Алексея Малахова, чтобы обсудить, как арсенал кибермошенников меняется под влиянием ИИ. 

Эксперт расскажет про новые схемы обмана, масштабные нейросетевые аферы и будущее в духе Cyberpunk 2077. Также поговорим о перспективах технологий верификации личности в мире, где «доверяй, но проверяй» превратилось в «не доверяй и перепроверяй дважды».

Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?

В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты.

В этой статье я расскажу захватывающую историю о том, как нашли этот бэкдор, и разберу катастрофические последствия его внедрения. Этот случай наглядно демонстрирует рискованность слепого доверия маркетинговым заявлениям о безопасности и важность независимого аудита критических систем.

ИБ-энтузиаст «теряет» на разных публичных площадках ключи AWS API, чтобы выяснить, как быстро до них доберутся злоумышленники, — и приходит к неутешительным результатам.

DevSecOps — это не просто модное словечко, а целая философия, объединяющая разработку, безопасность и операции. Но как применить эту философию на практике? Здесь на помощь приходят международные стандарты.

В этой статье мы рассмотрим пять основных международных DevSecOps-стандартов: DSOMM, BSIMM, OWASP SAMM, Microsoft SDL и NIST SP 800-64. Мы разберем их особенности, сильные и слабые стороны, а также поговорим о том, как адаптировать эти стандарты к российским реалиям.

Неважно, работаете ли вы в крупной корпорации или небольшом стартапе, — понимание этих стандартов поможет вам выстроить более безопасный и эффективный процесс разработки. 

Удаленная работа — не просто тренд, но и вечная головная боль для безопасников и специалистов по персоналу. Многие сотрудники Бастиона работают удаленно, и мы на собственном опыте убедились, что защита информации в таких условиях — это комплексная задача, охватывающая технологии, корпоративную культуру и психологию сотрудников. 

Сегодня расскажем, как в Бастионе подходят к созданию безопасной и продуктивной рабочей среды для удаленщиков. Выясним, почему чрезмерный контроль может быть неэффективным, зачем безопасникам поддерживать командный дух, и почему важно защищать корпоративные данные без ущерба для удобства работы. В общем, посмотрим на проблему удаленки и с позиций HR, и с точки зрения ИБ.