Обновить
1024K+

Информационная безопасность *

Защита данных

2 294,68
Рейтинг
Сначала показывать
Порог рейтинга
Уровень сложности

Мнение разработчика криптографии об опасности квантовых вычислений

Уровень сложностиСложный
Время на прочтение8 мин
Охват и читатели67

Моё мнение о срочности внедрения квантово-устойчивой криптографии изменилось всего за несколько месяцев. Настало время рассказать о причинах этого.

Уже давно ходили слухи об ожидаемом и неожиданном прогрессе в области криптографически-релевантных квантовых компьютеров (CRQC), но за последние недели мы получили два публичных примера.

Во-первых, Google опубликовала статью, в которой существенно снизила ожидаемое количество кубитов и вентилей, требуемых для взлома 256-битных эллиптических кривых наподобие NIST P-256 и secp256k1, из-за чего в архитектурах с высокими тактовыми частотами (например, в кубитах со сверхпроводимостью) реализация атаки становится возможной за считанные минуты. Авторы странным образом1 делают упор только на криптовалюты и пулы памяти, но гораздо более важными последствиями могут стать практические MitM-атаки на WebPKI.

Вскоре после этого была опубликована статья Oratomic, демонстрирующая, что благодаря улучшению коррекции ошибок 256-битные эллиптические кривые можно взломать с помощью всего лишь 10000 физических кубитов (при условии наличия нелокальной связи, которую, похоже, обеспечивают нейтральные атомы). Такая атака была бы медленнее, но даже взлом одного ключа в месяц может привести к катастрофическим последствиям.

Читать далее

Новости

Топ новостей инфобеза за март 2026 года

Время на прочтение8 мин
Охват и читатели346

Всем привет! Подводим итоги марта дайджестом ключевых ИБ-новостей. Месяц выдался богатым на события. Ключевым стала утечка гос-эксплойтов на вторичный рынок — в сетевых дебрях засветились два эксплойт-кита под iOS.

Март в целом не скупился на утечки: у Claude Code случайно слили исходники, а у Cisco утекли исходники из ~300 репозиториев после компрометации Trivy. Другой заметной атакой на цепочку поставок после Trivy стала компрометация Axios на npm. В Бразилии ввели закон о верификации возраста с далеко идущими последствиями, а в США запретили импорт иностранных роутеров. Об этом и других интересных новостях первого весеннего месяца читайте под катом!

Читать далее

Последний рубеж: почему ленточная библиотека — это самый надёжный «холодный кошелёк» для данных. Ну или один из…

Уровень сложностиПростой
Время на прочтение5 мин
Охват и читатели1K

Последний рубеж: почему ленточная библиотека — это самый надёжный «холодный кошелёк» для данных

В 2025 году мировые потери от киберпреступности, по оценкам отраслевых аналитиков, превысили один триллион долларов США — "это ж сколько стран можно было прокормить?!". В подавляющем большинстве случаев речь идёт об атаках программ-вымогателей. И в каждом таком инциденте рано или поздно возникает один и тот же вопрос: существует ли копия данных, до которой злоумышленник не сможет добраться?

Читать далее

Кратко о CVSS: как оценивать критичность уязвимостей

Уровень сложностиПростой
Время на прочтение6 мин
Охват и читатели5.3K

Разбираем Common Vulnerability Scoring System – что скрывается за цифрой от 0 до 10, как читать базовые, временные и контекстные метрики, и где искать актуальную информацию об уязвимостях.

Читать далее

«Олег, разверни тестовую базу»: как таска на 5 минут сорвала финтех-релиз и поссорила три отдела

Время на прочтение6 мин
Охват и читатели4.8K

Все началось с обычного тикета в Jira, из тех, которые выглядят безобидно и даже немного скучно. «Нужно протестировать новый личный кабинет. Разверни тестовую базу». Через несколько месяцев этот тикет аукнулся сорванным релизом, сгоревшим маркетинговым бюджетом и отложенным запуском важнейшего сервиса. А Олег, как всегда, остался крайним.

Давайте разберем эту непридуманную историю и выясним, какие ошибки совершили ее герои, как их избежать, если ваши тестовые базы до сих пор готовят скриптами.

Почему на Олега повесили всех собак

Управление SSH-доступом в 2026 году: от зоопарка с jump-host и Ansible к единой точке входа в инфраструктуру с Warpgate

Уровень сложностиСредний
Время на прочтение6 мин
Охват и читатели5.6K

Привет! Меня зовут Амир Уразалин, я DevOps-инженер в KTS.

В аутсорсинговой модели мы одновременно ведем несколько крупных проектов, каждый со своей инфраструктурой, окружениями и требованиями безопасности. При этом команда инженеров общая, а доступ к виртуальным машинам должен управляться централизованно, прозрачно и безопасно.

По мере роста числа проектов и серверов управлять доступом становилось все сложнее, поэтому мы начали искать новое решение.

Читать далее

Security Week 2615: атака Rowhammer на видеокарты Nvidia

Время на прочтение4 мин
Охват и читатели3.8K

На прошлой неделе были опубликованы сразу три научные работы, так или иначе предлагающие варианты атаки Rowhammer для видеокарт Nvidia. Подобные атаки часто имеют чисто научный интерес, но не в этом случае: во всех работах показаны методы эксплуатации с реально опасными последствиями вплоть до получения прав суперпользователя на целевой системе. Новые атаки были испытаны на видеокартах с видеопамятью стандарта GDDR6, в частности на GeForce RTX3060 и RTX6000. Именно для RTX6000 и подобных моделей новые атаки наиболее актуальны, так как это промышленный видеоускоритель, часто используемый в облачных решениях с общим доступом к вычислительным ресурсам. Именно там перехват контроля над системой‑хостом со стороны клиента представляет наибольшую опасность.

Самая первая атака Rowhammer была впервые продемонстрирована в 2014 году в отношении модулей памяти DDR3. Возможность изменения данных в ячейках памяти при обращении к соседним рядам ячеек была известна и ранее, но именно 12 лет назад эту особенность применили для целевого изменения данных в оперативной памяти так, чтобы, например, создать условия для выполнения произвольного кода или похитить секретные данные. С тех пор были предложены как методы противодействия подобным атакам, так и способы их обхода. Последним достижением академических исследователей стала демонстрация атаки «класса» Rowhammer на новейшие модули памяти стандарта DDR5.

Читать далее

NAC: надежный страж корпоративной сети

Уровень сложностиСредний
Время на прочтение8 мин
Охват и читатели3.9K

Современный арсенал средств защиты корпоративных сетей велик и разнообразен: межсетевые экраны нового поколения (NGFW), средства защиты веб-приложений (WAF), системы защиты от DDoS-атак, песочницы (Sandbox) и анализаторы сетевого трафика (NTA). Однако существует целый класс решений, которому, на наш взгляд, уделяется незаслуженно мало внимания, — это системы контроля и управления доступом к сети или NAC (Network Access Control).

Данная статья призвана исправить этот пробел. Мы поговорим не о конкретных продуктах, а о самой идее контроля доступа в сеть: для чего это нужно, как работает и на какие ключевые аспекты стоит обратить внимание при выборе NAC-решения.

Читать далее

СЗИ — средства защиты информации, своими словами

Уровень сложностиСредний
Время на прочтение11 мин
Охват и читатели3.8K

Когда я только начинал в ИБ, я часами лазил по сайтам в попытках понять: а что вообще нужно знать новичку? Какими базовыми вещами должен владеть специалист по защите информации — будь то внутри контура организации или за его пределами.

Так я наткнулся на статьи про СЗИ — средства защиты информации. По сути, это тот самый инструментарий, с помощью которого специалист и строит защиту.

Думаю, выпущу несколько материалов, где своими словами разберу разные виды СЗИ. Для тех, кто только вникает в профессию, — чтобы было проще ориентироваться в этих штуках.

СПИСОК СЗИ ПРО КОТОРЫЕ Я РАССКАЗЫВАЮ В ЭТОЙ СТАТЬЕ:

1. Межсетевой экран (МЭ) — он же Firewall (англ.) или Brandmauer (нем.).

2. IDS/IPS — Intrusion Detection System / Intrusion Prevention System

3. DLP — Data Leak Prevention

4. SIEM — Security Information and Event Management

5. Sandbox — «песочница»

Межсетевой экран

Думаю, многие уже слышали о межсетевых экранах. Их называют по-разному: Firewall — с английского «огненная стена», или Brandmauer — с немецкого тоже «огненная стена». В общем как ни назови, он делает одно и то же — не дает нежелательному трафику проникнуть в сеть.

                        

Читать далее

Антифрод-системы: патентный анализ

Уровень сложностиПростой
Время на прочтение10 мин
Охват и читатели4.1K

Антифрод — это комплекс мер, технологий и процессов, направленных на предотвращение, выявление и минимизацию ущерба от мошеннических действий. Простыми словами — это система, которая борется со злоумышленниками во всех ипостасях. Коллеги на Хабре недавно делали обзор по теме. Также рекомендуем ещё свежую аналитику за 2025 год.

А наша статья посвящена патентам и свидетельствам на антифрод‑системы в России и мире.

Читать далее

Из-за критической уязвимости VLESS клиентов скоро все ваши VPN будут заблокированы

Уровень сложностиПростой
Время на прочтение5 мин
Охват и читатели107K

Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах.

Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете.

При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик.

Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости.

Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.

Читать далее

TrustYFox: путь от пет‑проекта до LLM‑инструмента для поиска уязвимостей

Время на прочтение21 мин
Охват и читатели3.8K

Всем привет! Меня зовут Андрей, и я работаю в финтех‑направлении Яндекса. Руковожу службой разработки платёжных интерфейсов. Если вы пользуетесь сервисами Яндекса, то наверняка сталкивались с формами оплаты, вот большую их часть делают ребята из моей службы.

Сегодня я расскажу вам о TrustYFox — платформе для поиска уязвимостей в коде при помощи LLM, которую я создал своими руками. С практической точки зрения TrustYFox — это ещё один инструмент, который не заменяет существующие сканеры, а дополняет их, позволяя находить уязвимости.

Статья не претендует на научность или какой‑то RnD, да и я не являюсь экспертом в этих ваших LLM. По большей части это рассказ о том, как получилось (а в итоге получилось) за несколько месяцев пройти путь от прототипа до рабочего решения, в котором ежедневно запускаются аудиты. 

За прошедшие полгода разработки проекта были проверены различные концепции, написано, удалено и заново написано много кода, поэтому сначала расскажу, какой путь пройден, а после — про сам проект, что он умеет и где можно было сделать лучше.

Читать далее

Объясняю на пальцах — зачем твоему бизнесу каталог данных

Уровень сложностиПростой
Время на прочтение16 мин
Охват и читатели5.4K

Статья носит исключительно образовательный/ознакомительный характер. Она не служит цели, рекламировать какой-либо инструмент или ПО. Все наименования программного обеспечения, упомянутые в статье приведены из личного опыта.

Ну-ка что там

Ближайшие события

Пост-квантовый гибридный алгоритм шифрования для высоко-нагруженных систем с реализацией на TypeScript

Уровень сложностиСредний
Время на прочтение9 мин
Охват и читатели8.3K

Новый пост-квантовый гибридный алгоритм шифрования для высоко-нагруженных систем с реализацией на TypeScript. Ring-LWE, работа с ключами с использованием MAC и SHAKE-256, защита от основных видов атак и другие мысли в реализации протокола QuarkDash.

Читать далее

Делаю менеджер политик Browser Policy Manager для Firefox. Буду рад обратной связи

Уровень сложностиСредний
Время на прочтение4 мин
Охват и читатели7.3K

Идея этого проекта пришла мне в голову около семи лет назад, но до реализации я добрался только сейчас, т.к. есть некоторое время на это, пока ищу новую работу. Ну, и важно упомянуть, что я уже более 10 лет занимаюсь русской локализацией продуктов и сервисов Mozilla.

Мы привыкли говорить о защите серверов, рабочих станций, сетевого периметра, удостоверяющих систем, средств контроля доступа и ещё десятка важных вещей. Но браузер в организациях при этом слишком часто остаётся где-то в серой зоне. Он как будто есть сам по себе: установлен, как-то настроен, где-то применяются политики — и на этом разговор обычно заканчивается.

Хотя на практике браузер давно уже не просто программа для просмотра сайтов. Это рабочий шлюз ко всему: внутренним системам, облачным службам, корпоративной почте, документообороту, административным панелям, порталам, личным кабинетам и множеству других сервисов, через которые в компании реально проходят данные и процессы. Именно об этом я недавно писал в BIS Journal, где попытался показать браузер как важное, но часто недооценённое звено корпоративной кибербезопасности.

Для меня эта тема не случайна. Раньше я занимался развитием продукта X-Config в Spacebit — решения, связанного с безопасностью конфигураций программного обеспечения. Тогда мне пришлось довольно глубоко погрузиться в саму логику безопасной настройки: как появляются профили, как они согласуются, где заканчивается методология и начинается ручная рутина, почему даже хорошие требования без нормального инструментария быстро превращаются в набор разрозненных действий. В интервью для «Банковского обозрения» мы как раз обсуждали профили безопасного конфигурирования, роли специалистов по ИБ и администраторов, а также то, что такие профили должны жить не как памятка в PDF, а как часть управляемого процесса.

Читать далее

Секреты Docker Swarm: как сделать их одноразовыми с помощью именованных каналов (FIFO)

Уровень сложностиСложный
Время на прочтение9 мин
Охват и читатели8K

Docker Swarm предоставляет встроенный механизм управления секретами: пароли, ключи API и сертификаты передаются в контейнеры через зашифрованный канал и монтируются в /run/secrets/. Звучит безопасно — пока вы не осознаете, что любой пользователь с доступом к docker exec может прочитать эти секреты в любой момент жизни контейнера.

В этой статье я разберу, почему стандартные способы защиты не работают, и покажу решение на основе именованных каналов (FIFO), которое позволяет секрету быть прочитанным ровно один раз — при старте приложения.

Читать далее

Топ самых интересных CVE за март 2026 года

Время на прочтение12 мин
Охват и читатели6.9K

Всем привет! Подводим итоги марта по части самых интересных CVE. Дайджест был бы неполным без десяточки от Cisco: небезопасная десериализация под RCE в Cisco FMC, активно эксплуатируемая с конца января.

Отдельно также отметилась компрометация цепочки поставок сканера уязвимостей Aqua Trivy с далеко идущими последствиями, включая кражу исходников у той же Cisco. В ИИ-платформе Langflow критическая уязвимость под внедрение кода без аутентификации, в Chrome два нулевых дня в Skia и V8, а в Microsoft Excel эксплойт Copilot под утечку данных без участия пользователя. Об этом и других ключевых уязвимостях марта читайте под катом!

Читать далее

Деньги, время и ковры: скрытые затраты на переговорные комнаты с BYOD

Время на прочтение6 мин
Охват и читатели7.6K

Привет, Хабр! Я Дмитрий Белозеров из МТС Линк, моя команда отвечает за ПО и оборудование для переговорных комнат и сервис Rooms. Сейчас BYOD-системы для переговорок — это мастхэв. Простота подключения, независимость от вендора и сниженные затраты на обслуживание — это то, что привлекает компании. 

Мы тоже предлагаем такие решения. В своей практике я часто сталкиваюсь с тем, что при внедрении BYOD-систем не все учитывают полный спектр расходов, которые подразумевает правильное использование таких переговорных. В посте расскажу про эти неочевидные затраты. Надеюсь, будет полезно тем, кто пока только планирует такое у себя.

Читать далее

Как мы в CodeScoring модель для поиска секретов готовили

Уровень сложностиСредний
Время на прочтение10 мин
Охват и читатели6.8K

Расскажем, как нам удалось повысить качество определения истинных секретов в результатах сканирования кода с 0.70 до 0.90 PR AUC с помощью LLM.

Читать далее

Персональные MTProto-прокси

Уровень сложностиСредний
Время на прочтение14 мин
Охват и читатели47K

Пока мы ждём, что в Telegram наконец раскатится обновлённая реализация Fake-TLS, хочу рассказать о своей реализации MTProto-прокси 2018 года, которая снова становится актуальной, и об одной из её уникальных возможностей.

MTProto-прокси — решение для обхода блокировок Telegram в странах с интернет-цензурой (мы говорим про Иран конечно же 😄). Типичная схема выглядит так: оператор поднимает прокси с одним секретным ключем на всех, публикует одну ссылку, и тысячи людей ей пользуются. Просто, но у этой модели есть реальные ограничения:

Нет контроля доступа. Любой, у кого есть ссылка, может пользоваться вашим сервером бесконечно. Отозвать доступ у конкретного пользователя без смены общего секрета — а значит, без поломки ссылок у всех остальных — невозможно.

Нет аналитики на пользователя. Видно общее число соединений и IP-адреса, но не понять, кто активен, кто раздал свою ссылку полусотне друзей и кто потребляет весь ваш трафик.

Ограниченная монетизация. Да, есть “спонсорские каналы”, но если хотите продавать доступ — не за что зацепиться: секрет один на всех, привязать подписку не к чему.

А что если у каждого пользователя будет свой уникальный секрет, дающий доступ только ему? Тогда можно продавать подписки, отзывать доступ у отдельных пользователей, ограничивать использование и отслеживать уровень активности.

Читать далее