В 1993 году в Лас-Вегасе сотня молодых хакеров собралась на «вечеринку для своих». Никто из них не подозревал, что положил начало движению, которое изменит подход к обучению специалистов по информационной безопасности.

За 30 лет формат Capture The Flag прошел путь от неформальных встреч студентов до масштабных шоу с призами и многочисленными спонсорами. Он завоевал мир, но, похоже, скоро снова вернется в аудитории вузов.

Об истории этого движения расскажет директор по развитию Бастиона Алексей Гришин — член оргкомитета VolgaCTF, одного из трех крупнейших российских CTF-соревнований, и организатор более 40 хакерских ивентов.

Привет, Хабр! Сегодня лечим боли тех, кто администрирует межсетевые экраны UserGate. Представьте: критическая инфраструктура, трафик льется рекой, а одна из нод в кластере под управлением Management Center решила выйти из строя. Замена уже доставлена, но вы не знаете, как подключить ее без остановки системы.

Нужный вам алгоритм — под катом.

Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google.

В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.

При обсуждении взлома оборудования не стоит забывать о старой, но по-прежнему распространенной технологии передачи данных — инфракрасных сигналах. Они до сих пор используются в наших домах, офисах и даже на производстве.

Этот способ связи имеет свои недостатки: ограниченную дальность, чувствительность к внешнему освещению, невысокую скорость передачи данных, а также уязвимость к перехвату и атакам, включая повторное воспроизведение сигналов. С другой стороны, он дешев в производстве и прост в применении, а еще он обеспечивает долгую работу пультов управления от батареек, ведь потребляет электричество только во время работы. 

В статье поговорим о реверс-инжиниринге и аппаратном хакинге протоколов дистанционного ИК-управления: от подготовки необходимого оборудования до перехвата и декодирования сигналов. Взломаем пульт от телевизора Samsung и поделимся библиотекой ИК-сигналов, которая позволит вам с легкостью декодировать передачи для других устройств — например, камина Electrolux и кондиционера Funai. 

Стеганография — древнее искусство сокрытия информации, которое обрело новую жизнь в цифровую эпоху. В отличие от криптографии, где мы шифруем содержимое сообщения, стеганография прячет сам факт существования секретной информации.

Представьте: вы отправляете безобидную фотографию в социальной сети, но внутри нее скрыто сообщение, которое увидит только нужный человек. Или пересылаете документ, содержащий невидимую цифровую подпись для подтверждения авторства. Все это — примеры современной стеганографии.

Сегодня этот метод используется как в легальных целях (защита авторских прав, цифровые водяные знаки), так и злоумышленниками для обхода защитных систем. Поэтому специалистам по информационной безопасности критически важно понимать принципы работы стеганографических систем и методы их анализа.

В этой статье мы разберем основы стеганографии, проанализируем возможные атаки на стегосистемы и способы защиты от них.

Привет, Хабр! Сегодня поговорим о фишинге, но не о том, который используют злоумышленники, а о его «белой», легальной версии — учебных фишинговых рассылках. Как специалист по информационной безопасности, я часто сталкиваюсь с вопросом: «А нужно ли нам это?». Давайте разберемся, с какими подводными камнями можно столкнуться во время таких тестов и почему простая рассылка писем — это только верхушка айсберга.

В этой статье мы погрузимся в мир корпоративной кибербезопасности, рассмотрим реальные кейсы из практики и обсудим, как правильно подойти к организации учебного фишинга. Поговорим о технических нюансах, юридических аспектах и психологических приемах.

Готовы узнать из первых уст, как работают белые хакеры? Тогда поехали!

Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах под монотонное жужжание серверов, то спешу вас разочаровать. Это скорее детективный сериал, где вместо отпечатков пальцев — логи, а место преступления — запутанная паутина корпоративной сети. И да, наш главный герой тоже любит эффектно снимать солнцезащитные очки, только вместо фразы «Похоже, у нас убийство» он говорит: «Кажется, у нас компрометация Exchange».

В этой статье мы погрузимся в увлекательный мир расследования инцидентов, где каждый день — новая головоломка, а злоумышленники иногда оказываются более изобретательными, чем создатели CTF-заданий. Разберем ключевые аспекты этой непростой, но захватывающей работы: обсудим типичные сценарии атак, вспомним пару интересных историй из практики и ответим на вопрос о том, стоит ли компаниям идти на переговоры с хакерами.

В этой статье я расскажу, как создать хакерское приложение, используя встроенный язык программирования Linux, и собрать базу данных участников западной «Национальной Киберлиги». Можно сказать, хакнем хакеров! ;)

Начнем со ссылки на отчет о соревнованиях Western National Cyber League, а закончим полноценным инструментом автоматизации. По пути рассмотрим основы работы с сURL, научимся обходить базовые ограничения веб-приложений и поработаем с PDF-документами из командной строки. 

Статья будет полезна специалистам по информационной безопасности и всем, кто интересуется автоматизацией процессов в Linux.

По нашим данным, в 2024 году киберпреступники установили новый рекорд по атакам на российский бизнес: рост составил 20% по сравнению с предыдущим годом. Это максимальный показатель за всю историю наблюдений. Ситуация требует от руководства компаний пристального внимания к кибербезопасности, но как обстоят дела на самом деле?

Делимся статистикой, собранной по результатам тестирования кибербезопасности более 300 средних и крупных компаний по всей России. Под катом вы узнаете, какие ИБ-услуги оказались самыми востребованными в 2024 году, какие уязвимости встречались пентестерам чаще всего и как сегодня выглядит типичная атака на российскую организацию.

Один из самых «вкусных» моментов в работе пентестера — red-team тестирование, позволяющее ненадолго ощутить себя эдаким Джейсоном Борном от мира кибербезопасности. Подобно героям боевиков, мы постоянно проникаем на объекты разной степени защищенности: ломаем замки, обходим системы видеонаблюдения. Разве что не спускаемся в серверную на тросе с вертолета.

Поработав на таких проектах, начинаешь смотреть на любую дверь с перспективы потенциального нарушителя и выискивать уязвимости в каждой встречной СКУД. Поэтому первое, что бросилось нам в глаза, когда Бастион переехал в новый офис, — это биометрические терминалы, установленные на дверях нескольких особо важных кабинетов. Словом, пока сисадмины распаковывали сервера и ломали голову над тем, как расставить офисную технику по правилам фэн-шуя, мы решили провести небольшой внутренний пентест…

Среди ярких символов Средневековья — колдуны, ведьмы и алхимики, которые «заклинают и превращают в золото ртуть». Криптография в это время тоже шла рука об руку с магией: взять хотя бы шифры оккультистских сообществ.

Что же представляли из себя средневековые шифры? Являлись ли они простой «абракадаброй» или действительно содержали ключ к тайным знаниям? Сегодня на эти вопросы ответит Анастасия Ашаева, кандидат исторических наук, старший научный сотрудник московского Музея криптографии.

Сегодня расскажу, как мы полтора года строили систему мониторинга информационной безопасности для одного из крупнейших медиахолдингов России. Это будет история о долгом и масштабном проекте, по итогам которого наша команда прокачала навыки инжиниринга и кардинально пересмотрела подход по внедрению SIEM и развертыванию SOC.

Представьте себе организацию с десятками разнородных цифровых активов, где каждое подразделение автономно управляет своей IT-инфраструктурой, что осложняет контроль безопасности.

Мы взялись за сложнейшую задачу — создать систему мониторинга, которая сможет объединить разрозненные инфраструктуры в единую управляемую экосистему. И как вы уже понимаете, решениями со Stack Overflow в данном случае не обойтись.

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки.

Мы написали текст по мотивам этого доклада, обогатив его данными за конец 2024 года. Статья будет полезна для тех, кто занимается пентестами и реагированием на инциденты.

В 1993 году вышел Excel 5.0 — первый продукт Microsoft, поддерживающий макросы на языке Visual Basic for Applications. Это событие стало настоящей революцией для офисных клерков: сотрудники, не обладавшие специальными знаниями в программировании, вдруг получили мощный инструмент для автоматизации монотонных офисных задач, которые прежде отнимали уйму времени. 

Однако макросы пришлись по душе не только работникам офисов. Всего спустя два года появился Concept — первый вирус, который эксплуатировал возможности макросов для кибератак. С тех пор макросы Microsoft Office стали излюбленным способом проникновения в корпоративную сеть у хакеров. Даже сегодня многие успешные атаки на компании начинаются с отправки фишингового письма с документом, который заражен вредоносным макросом.

В этой статье мы разберем механизмы работы макросов и на конкретных примерах покажем, как злоумышленники обходят средства защиты, которые Microsoft совершенствует уже четверть века. Отдельно поговорим про методы социальной инженерии, превращающие макросы в настоящее кибероружие в руках злодеев.

Привет, Хабр! На связи Дмитрий Неверов, руководитель направления тестирования внутренней инфраструктуры в Бастионе. Недавно я выпустил книгу «Идём по киберследу», представляющую собой практическое руководство по BloodHound — инструменту для разведки и анализа Active Directory, который очень любят хакеры, пентестеры и сисадмины. 

В статье расскажу о том, как работает это приложение и за что его так любят вышеупомянутые специалисты. Мы выясним, почему мониторинг Active Directory является ключевым элементом в построении безопасной сетевой инфраструктуры, и разберемся, как теория графов помогает защищать корпоративные сети. Напоследок поделюсь парой практических советов, которые помогут вам максимизировать пользу от этого инструмента при проведении пентестов.

В августе 2023 года ФСТЭК опубликовал проект документа, который может серьезно изменить подход к защите государственных информационных систем. Речь идет о новой версии печально известного 17-го приказа.

Новая версия этого акта существенно расширяет требования к защите информации и затрагивает не только ГИСы, но и другие информационные системы госорганов.

Что конкретно изменится, если проект примут? Станет ли сложнее соблюдать требования? Придется ли переделывать существующие системы защиты? В этой статье мы детально разберем ключевые изменения в требованиях ФСТЭК и попробуем понять, как они могут повлиять на работу ИБ-специалистов в государственных организациях. Об изменениях расскажет Анастасия Кузенкова, специалист по защите персональных данных Бастиона.

Спойлер: изменений действительно много, и они затрагивают практически все аспекты защиты информации — от определения целей до конкретных технических мер. Некоторые нововведения могут показаться избыточными, но если вы узнаете о них заранее, то у вас будет время подготовиться.

Помните, как в детстве нас учили не разговаривать с незнакомцами? В 2024 году эта мудрость обрела новый смысл: теперь нельзя быть уверенным даже в том, что разговариваешь со знакомым человеком, а не его нейросетевым двойником.

По данным The Wall Street Journal, за 2023 год количество «разводов» с использованием дипфейков в финтехе выросло на 700% по сравнению с 2022-м. Одновременно мошенники наращивают применение чат-ботов, увеличивая свои охваты. 

Мы позвали редактора рубрики «Финбезопасность» Т—Ж, автора и ведущего подкаста «Схема» Алексея Малахова, чтобы обсудить, как арсенал кибермошенников меняется под влиянием ИИ. 

Эксперт расскажет про новые схемы обмана, масштабные нейросетевые аферы и будущее в духе Cyberpunk 2077. Также поговорим о перспективах технологий верификации личности в мире, где «доверяй, но проверяй» превратилось в «не доверяй и перепроверяй дважды».

Искусственный интеллект в информационной безопасности — такая обширная тема, что можно легко заблудиться в дебрях спекулятивных прогнозов. Понятие ИИ охватывает все — от рекомендательных алгоритмов, подсовывающих видео с котиками, до роботов, которые хотят убить всех человеков. Чтобы не написать вместо статьи сценарий низкобюджетного sci-fi, стоит сузить фокус.

Представим, что мир ИИ застыл. Никаких революций, никаких сверхразумных AGI на горизонте. Сосредоточимся на анализе больших языковых моделей (LLM) и их влиянии на информационную безопасность. Конечно, выпуск новой мощной модели может разнести вдребезги все эти выкладки, но примем этот риск. Ведь с чего-то надо начинать.

В этой статье я рассмотрю, какие новые возможности открываются перед атакующими и защитниками, и что за вызовы стоят перед отраслью. Под катом вас ждет увлекательное путешествие на ИБ-фронтир.

Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий?

В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты.

В этой статье я расскажу захватывающую историю о том, как нашли этот бэкдор, и разберу катастрофические последствия его внедрения. Этот случай наглядно демонстрирует рискованность слепого доверия маркетинговым заявлениям о безопасности и важность независимого аудита критических систем.