Обновить
1024K+

Информационная безопасность *

Защита данных

1 558,05
Рейтинг
Сначала показывать
Порог рейтинга
Уровень сложности

Собираем Bjorn — тамагочи для пентестеров

Время на прочтение7 мин
Охват и читатели7.4K

Bjorn — это инструмент, подобный тамагочи, только для хакеров пентестеров, который сам сканирует сети, находит, оценивает и даже может эксплуатировать уязвимости, разработанный для работы на Raspberry Pi с 2,13-дюймовым e-Paper HAT.

Я захотел себе такую штуку и делюсь с вами подробным гайдом о том, как самостоятельно собрать себе собственный Bjorn.

Читать далее

Новости

Ищем RAT'ов по их же сертификатам

Время на прочтение2 мин
Охват и читатели7.2K

Недавно коллеги из Censys выкатили разбор семейства AsyncRAT, описав целое генеалогическое древо: AsyncRAT → DCRAT (DarkCrystal RAT) → VenomRAT → еще десятки форков вплоть до LMTeamRAT, Alfa Red Fox, EchoRAT, Gh0stRAT (не путать с оригинальным Gh0st RAT 2008 года) и т. д. Всего насчитали около 40 именованных вариантов, 13 из них — с живой C2-инфраструктурой на момент исследования.

У нас, отдела сетевой экспертизы антивирусной лаборатории, уже был опыт детектирования VenomRAT по его дефолтовому сертификату, и мы даже отдали в сообщество сигнатуру для Suricata в рамках проекта PT Rules.

Именно поэтому нас это исследование, само собой, зацепило — и мы решили прогнать похожую логику не по интернет-скану, а по трафику из собственных песочниц: а вдруг мы что-то упустили?

Читать далее

OSDP Crypto

Уровень сложностиСредний
Время на прочтение7 мин
Охват и читатели5.7K

Системы контроля доступа (СКУД) встречают нас в жизни на каждом шагу: в офисах, домах, транспорте и почти в любой сфере ежедневного применения. За последние десятилетия СКУД прошли большой путь эволюции. В данной статье мы не очень глубоко разберём некоторые важные аспекты реализации СКУД c использованием OSDP Crypto.

Читать далее

Кто выгрузил платежи, или Пример расследования инцидента на аудите в Postgres Pro Enterprise

Уровень сложностиПростой
Время на прочтение11 мин
Охват и читатели6.7K

Утечка данных почти никогда не выглядит как взлом — чаще это тихий SELECT без LIMIT от роли, у которой и так есть доступ. Заметить такое штатными средствами PostgreSQL почти невозможно: аудита как отдельной подсистемы там нет, а есть лишь разрозненные логи, из которых расследование превращается в quest с grep. В этой статье — как с помощью pg_proaudit и pgpro-otel-collector превратить эту головную боль в один запрос на LogsQL.

Читать далее

Сколько Shadow API спрятано в ваших продуктах и как вывести их из тени

Уровень сложностиПростой
Время на прочтение12 мин
Охват и читатели4.2K

Теневые API редко появляются из злого умысла. Чаще это побочный эффект быстрой разработки: временный маршрут для пилота, отдельная точка доступа для мобильного приложения, старая версия, которую забыли отключить, или внутренний сервис, внезапно опубликованный наружу. В статье разберём, почему официальные реестры API расходятся с реальностью, откуда берутся Shadow API и как начать их искать без многомесячного проекта.

Читать далее

Установка и настройка matrix (Synapse), MAS, LiveKit, lk‑jwt‑service, Element‑web, Ketesa совместно с панелью 3x‑ui

Уровень сложностиСредний
Время на прочтение69 мин
Охват и читатели5K

Возникла идея написать подробную инструкцию по установке и настройке matrix. Всё, что нашел в интернете — либо устаревшая, неактуальная информация 3–4 летней давности без использования MAS, либо неполная информация с обрезанными конфигурационными файлами, по типу «догадайся сам и допиши». Также все инструкции, которые есть в интернете, в основном по установке в контейнере docker. Я же поделюсь с вами инструкцией по установке без каких либо контейнеров.

В условиях блокировки Телеграм и других популярных мессенджеров, протокол matrix дает возможность организовать, например, связь между членами семьи, родственниками и друзьями, не используя ВПН. Постараюсь доступно объяснить и показать все шаги установки и настройки, чтобы это было понятно большинству «чайников». Под «чайниками» я подразумеваю людей, которые знают, что такое терминал в линукс, и на базовом уровне умеют им пользоваться.

Зачем нужна установка matrix совместно с панелью 3x‑ui? Всё просто — для экономии денег. Если у вас уже есть сервер с установленной панелью, то зачем арендовать еще один сервер для matrix? Всё можно установить на один сервер. Другой вопрос — правильно ли это? Возможно нет, но у меня такая схема работает несколько месяцев без сбоев.

Читать далее

Защита CI/CD для open source-проекта: запираем зависимости

Время на прочтение7 мин
Охват и читатели5K

Команда VK Cloud перевела второй пост из серии трёх частей о том, как Cilium укрепляет свой CI/CD-конвейер. Первая часть рассказывала про управление доступом: кто может запускать сборки и какой CI-код разрешено исполнять. Этот пост про уровень зависимостей: какой код эти сборки подтягивают и как мы убеждаемся, что его не подделали.

Читать далее

«Как у себя дома». Почему ваш сканер уязвимостей и SIEM не мешают злоумышленнику

Уровень сложностиСредний
Время на прочтение8 мин
Охват и читатели5.1K

Всем привет! На связи снова Angara Security. И сегодня у нас разговор по-честному. У всех компаний разный уровень зрелости ИБ. Это нормально. Если у вас всё выверено, процессы отлажены, а системы управления уязвимостями (VM) и SIEM слаженно работают в паре — это уже сильный результат. Но даже тогда системы могут не складывать картину: VM знает, где уязвимость, а SIEM видит атаку.

Эта статья будет полезна, если:

1. у вас пока только VM-решение или вы уже начали думать: «А что дальше? Куда двигаться?»;

2. есть и системы классов VM, и SIEM, но они существуют параллельно: данные не пересекаются, корреляции нет, эффект от систем оставляет желать лучшего.

Читать далее

Разбор цепочки заражения через документ Excel: от OLE-объекта до LuaJIT-инфостилера

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели7.6K

Большинство современных вредоносных рассылок уже давно не используют классические макросы Microsoft Office. Вместо этого злоумышленники строят многоступенчатые цепочки заражения, где каждый компонент выполняет только одну небольшую задачу: первоначальный документ лишь инициирует загрузку следующего этапа, тот скачивает новый компонент, который в свою очередь запускает основной вредоносный модуль.

В ходе анализа одного из подобных образцов была исследована полная цепочка заражения — от письма с вложением Excel до запуска LuaJIT-загрузчика и последующего инфостилера. Интересной особенностью является использование файлов с нестандартными расширениями (.PIF и .TTF), которые на самом деле не являются ни ярлыком, ни шрифтом.

Давайте рассмотрим каждый этап работы вредоносной цепочки.

Читать далее

ИИ против вредоноса. Песочница и беглый теханализ

Уровень сложностиСредний
Время на прочтение9 мин
Охват и читатели7.9K

Этой статьей я постараюсь логично завершить эксперимент с ханипотом и рассказать про анализ вредоносного ПО силами ИИ. Идея проекта простая: проверить, может ли связка из изолированной виртуальной машины, классических инструментов анализа ВПО и LLM-агента дать не только красивый отчет, как было в прошлый раз, а реально полезный материал для борьбы с вредоносами.

Читать далее

VMkatz: скрытая угроза для виртуальной инфраструктуры

Уровень сложностиПростой
Время на прочтение2 мин
Охват и читатели10K

В 2026 году был опубликован инструмент VMkatz. По функционалу он напоминает широко известный инструмент Mimikatz, но, в отличие от него, целью VMkatz является извлечение учетных данных напрямую из файлов виртуальных машин (снимков памяти и виртуальных дисков) без необходимости входа внутрь гостевых Windows-систем. VMkatz может работать с файлами виртуальных машин разных платформ, включая VMware ESXi, Microsoft Hyper-V, VirtualBox и QEMU/KVM.

Читать далее

DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал

Уровень сложностиСредний
Время на прочтение21 мин
Охват и читатели9.4K

В марте состоялся второй эпизод DevSecOps-митапа CyberCamp, в программу которого вошли киберучения на платформе Jet CyberCamp. Три задания, максимально приближенных к реальным задачам специалиста по безопасности приложений — в этом материале разберем их все. Вы узнаете, какие идеи закладывались в задания, где авторы расставили ловушки, и какие реальные кейсы из практики за ними стоят.

P.S. А пока вы с головой уходите в разбор этих кейсов, мы уже вовсю готовимся к новому формату — 17 июля в Москве на свежем воздухе пройдёт первый опен-эйр-фестиваль «Лето в Киберкэмпе 2026» с новыми киберучениями, докладами про ИИ, DFIR и живым общением у воды. Не пропустите!

Читать далее

Хакер в магазине: изучаем поверхность атаки типичного супермаркета

Время на прочтение9 мин
Охват и читатели17K

Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало. Помните эту старую хохму?

Когда в новостях вспоминают о кибератаках на розничные сети, то обычно говорят про слитые базы данных, DDoS и шифровальщиков. Но что, если злоумышленник войдет в магазин с ноутбуком в рюкзаке и внимательно посмотрит по сторонам?

На связи Иван Глинкин, руководитель отдела прикладных исследований в Бастионе. Сегодня расскажу вам историю про Хакера в супермаркете, который получил доступ к конфиденциальным данным, прослушал переговоры сотрудников и даже инициировал возврат денег на чужую карту.

Под катом вас ждет собирательный образ российского ритейла и результат нескольких прогулок по магазинам с одной целью: взглянуть на привычные вещи глазами исследователя безопасности, который видит в магазине не только полки и кассы, но и поверхность атаки. 

Итак, приходит Хакер в магазин и обнаруживает: 

• Кассы-трансформеры и терминалы самообслуживания — лицо современного ритейла и его ахиллесова пята.

• Кнопки вызова сотрудников — радиопередатчики с фиксированным кодом, который можно перехватить и воспроизвести.

• Беспроводные трубки стандарта DECT, которые до сих пор используют в торговых залах.

• Терминалы сбора данных — Android-устройства без пароля, с доступом к настройкам Wi-Fi.

• Сетевые провода, которые приглашают к знакомству с внутренней сетью.

Аж глаза разбегаются…

Ближайшие события

Чем реверсить вредонос: reverse engineering kit для аналитиков угроз

Время на прочтение13 мин
Охват и читатели7.1K

Привет, Хабр!

На связи снова Максим Мотиков. Я аналитик киберугроз в «Гарде». В прошлой статье разбирал, как вскрывать Python-малварь, а сегодня хочу зайти с другой стороны и рассказать про так называемый reverse engineering kit, который мне помогает закрывать задачи анализа ВПО, когда часть привычного софта может оказаться недоступной.

IDA Pro, например, стоит около тысячи долларов в год, но если докупать все важные архитектуры сразу, то ценник может перевалить уже за десятки тысяч долларов. Каждый декомпилятор продается отдельно, купил поддержку x86 и x64, а за ARM придется доплачивать. Получается как с машиной, которую купил без колес.

К счастью, свет не сошелся клином на IDA Pro. Сегодня есть немало бесплатных инструментов, которые позволяют анализировать ВПО ничуть не хуже, если понимать, в каких задачах каждый из них раскрывается лучше всего. Но прежде чем говорить о софте, начну с обзора железа — это фундамент любой нормальной «лаборатории» аналитика ВПО.

Что внутри «чемоданчика» аналитика ВПО

Веб против мобильных устройств: что в опасности? Сравнение безопасности в двух разных мирах

Уровень сложностиСредний
Время на прочтение13 мин
Охват и читатели4.2K

Спойлер: оба находятся в опасности, но по-разному. Эта разница имеет значение.

Я не собирался сравнивать веб и мобилку как две враждующие платформы.

Меня всегда больше цеплял другой момент: в проектах они часто выглядят как разные продукты, а ломаются через один и тот же бэкенд.

На вебе можно спрятать админку за условием в JavaScript и решить, что доступ закрыт. В мобилке можно положить токен в SharedPreferences и надеяться, что до него никто не доберется. Можно оставить открытый бакет, отключить нормальные правила Firebase, забыть про rate limit на логине или принять userId из тела запроса.

Все это выглядит как мелочи, пока приложение работает.

Проблема начинается там, где клиент перестает быть интерфейсом и становится поверхностью атаки. В браузере злоумышленник давит на сервер через запросы, куки, DOM и XSS. В мобилке он может разобрать само приложение, вытащить ключи, перехватить трафик, изменить APK и посмотреть, что команда случайно отправила пользователю вместе с релизом.

Разбираем: где веб и мобильная безопасность совпадают; где расходятся; почему общий API часто опаснее конкретного клиента и какие решения действительно закрывают риски, а какие только создают ощущение защиты.

Читать далее

Управление ключами SSH — вызовы и эволюция подходов

Время на прочтение9 мин
Охват и читатели12K

Привет! На связи Антон Дятлов, инженер по защите информации в Selectel. В инфраструктуре из 1000 серверов и 100 администраторов счет активным SSH-ключам может идти на тысячи. По умолчанию они не имеют срока действия, поэтому со временем накапливаются и устаревают.

Исследования показывают, что в крупных компаниях до 90% ключей не используются и не администрируются, а часть оставшихся предоставляет доступ на уровне root. Отсутствие централизованного управления усугубляет проблему: при увольнении сотрудника его доступы могут забыть удалить, сохранив за ним возможность подключаться к системам.

В итоге администраторы оказываются перед трудоемкой задачей контроля и актуализации авторизационных данных.

Читать далее →

ИБ как запретительный орган: традиция или необходимость?

Уровень сложностиПростой
Время на прочтение2 мин
Охват и читатели6.7K

Сразу оговорюсь: я не безопасник. В ИБ я разбираюсь ровно настолько, насколько должен разбираться любой взрослый человек не называть три цифры с оборота карты, не хранить пароли в файле "пароли.txt", немного понимаю про доступы и разграничение прав. ИБ это не моя специализация, и я не претендую на экспертную оценку конкретных практик.

Но у меня как у человека, который много лет занимается внедрениями ITSM/ITAM и постоянно взаимодействует со службами безопасности заказчиков, накопилось наблюдение, которым хочется поделиться и услышать мнение тех, кто в теме глубже.

Читать далее

EIGRP в Ideco NGFW Novum 22: интеграция без жертв

Время на прочтение4 мин
Охват и читатели6.7K

Большая часть крупных российских корпоративных сетей построена на оборудовании Cisco. Миграция болезненная, дорогая и занимает месяцы. Ideco NGFW Novum 22 снимает эту проблему: теперь вы можете встроить российский NGFW в действующую Cisco-инфраструктуру, не меняя протокол динамической маршрутизации с EIGRP на OSPF.

Читать далее

Мессенджер на своем сервере. Что это значит?

Уровень сложностиСредний
Время на прочтение10 мин
Охват и читатели8.3K

Первое, что обычно удивляет заказчиков — развертывание начинается не с запуска процесса инсталляций и даже не с подготовки серверов и средств защиты информации.

А с чего?

Читать далее

Сотрудники сливают данные в чужой ИИ. Разбираемся чем это грозит

Уровень сложностиПростой
Время на прочтение6 мин
Охват и читатели9.4K

За последний год я провёл серию корпоративных тренингов по использованию ИИ для рабочих офисных задач — в разных по размеру компаниях. И очень часто в перерыве кто‑нибудь из участников подходит и вполголоса спрашивает — «а ничего, что я договор с клиентом закидывал в ChatGPT, чтобы он мне выжимку сделал?»

Ничего хорошего. Хотя человека понять можно: быстро, удобно, качественный результат. Проблема в том, что вместе с текстом договора в чужой дата‑центр уезжают ФИО, паспорта, ИНН, реквизиты — и обычно об этом не знает вообще никто, включая того, кто за персональные данные в компании формально отвечает.

Масштаб у явления нешуточный. ГК «Солар» проанализировала трафик 150 организаций из госсектора, финансов, промышленности, ритейла, телекома и ИТ — и насчитала, что за год объём данных, которые сотрудники сливают в публичные ИИ‑сервисы, вырос примерно в тридцать раз. При этом около 60% компаний вообще не имеют внутренних правил на этот счёт: процесс не контролируется ни технически, ни на бумаге [1, 2].

Давайте разложим по полочкам: что здесь регулирует закон, где реальный риск, где только «страшилки», а где могут быть и штрафы для компании, и как в итоге делать правильно.

Читать далее