Как стать автором
Обновить
172.75
Рейтинг
Бастион
Проводим пентесты, разрабатываем защитные системы
Сначала показывать

150+ хакерских поисковых систем и инструментов

Блог компании Бастион Информационная безопасность *Поисковые технологии *

Все таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков. Под катом ссылки на некоторые из них.

Пост состоит из 8 объемных разделов:

1. метапоисковики и поисковые комбайны;

2. инструменты для работы с дорками;

3. поиск по электронной почте и логинам;

4. поиск по номерам телефонов;

5. поиск в сети TOR;

6. поиск по интернету вещей, IP, доменам и поддоменам;

7. поиск данных об уязвимостях и индикаторов компрометации;

8. поиск по исходному коду.

В этом списке собраны инструменты, которые члены нашей команды используют в работе. И все же, эта подборка пригодится не только пентестерам, но и разработчикам, журналистам, HR, маркетологам и всем, кто много ищет в интернете. Знания — это сила. Используйте их во благо.

Читать далее
Всего голосов 48: ↑46 и ↓2 +44
Просмотры 13K
Комментарии 3

Как найти и устранить IDOR — ликбез по уязвимости для пентестеров и веб-разработчиков

Блог компании Бастион Информационная безопасность *Разработка веб-сайтов *Разработка мобильных приложений *

99% того, что я делаю — использование ошибок, которых можно избежать. Сегодня я расскажу про IDOR — одну из самых распространенных и простых в использовании веб-уязвимостей. С ее помощью можно посмотреть чужие фотографии в социальной сети или получить скидку в интернет-магазине, а можно заработать тысячи долларов баг-баунти.

На примерах из практики я покажу, как хакеры находят и эксплуатируют ошибки бизнес-логики в приложениях и дам практические советы по их устранению на этапе разработки.

Читать далее
Всего голосов 22: ↑21 и ↓1 +20
Просмотры 3.3K
Комментарии 5

Особенности национальной киберзащиты ОС: избранные доклады OS DAY-2022

Блог компании Бастион Информационная безопасность *Разработка под Linux *Софт

Безопасность операционных систем — основная тема девятой конференции OS DAY, которая прошла в июне в «Золотых мозгах», как называют в народе здание Президиума РАН. Говорили о средствах защиты информации внутри российских ОС, делились секретами создания надежных программных сред. Это редкий шанс узнать подробности о киберзащите сложного ПО из первых рук. Мы побывали на конференции, выбрали пару интересных на наш взгляд докладов и хотим поделиться тезисами.



Конференция включала несколько секций, где за два дня выступило больше 30 человек, круглый стол и выставку технологий. Там можно было подойти и пообщаться с разработчиками российских операционных систем и средств защиты информации. Говорили в основном о защите ОС на базе Linux.


На российском рынке ПО прослеживается тенденция к разработке своих, отечественных решений для госсектора. Это непростая задача, которая требует чуть ли не параноидального внимания к кибербезопасности. Тем интереснее узнать, как ее решают. Не каждый день разработчики операционной системы раскрывают секреты, по косточкам разбирают особенности архитектуры и дают советы по безопасной разработке.

Читать дальше →
Всего голосов 17: ↑15 и ↓2 +13
Просмотры 1.7K
Комментарии 5

Технология обмана. Что такое Deception и как теперь обманывают хакеров

Блог компании Бастион Информационная безопасность *Сетевые технологии *
Из песочницы

Ты наверняка слышал про ханипоты — цели-приманки, по атакам на которые вычисляют хакеров. В последние годы эта технология проапгрейдилась и теперь носит общее название Deception. О том, в чем отличия и как хакеров пытаются водить за нос, мы и поговорим.

Читать далее
Всего голосов 48: ↑46 и ↓2 +44
Просмотры 12K
Комментарии 10

Бесконтрольный доступ и рассеянность: итоги одного пентеста

Блог компании Бастион Информационная безопасность *Тестирование веб-сервисов *Управление персоналом *


В этом проекте нет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за человеческого фактора: простой ошибки веб-разработчиков или неаккуратных сотрудников. Такие случаи напоминают о том, что невозможно предусмотреть все заранее и доказывают важность проведения тестов на проникновение.

Читать дальше →
Всего голосов 36: ↑35 и ↓1 +34
Просмотры 9.9K
Комментарии 13

99+ бесплатных инструментов для анализа зловредов

Блог компании Бастион Информационная безопасность *Open source *Софт

Знай своего врага ― одна из максим, которой руководствуются специалисты по информационной безопасности. Она касается и зловредов. Существуют сотни инструментов, которые помогают исследовать вредоносное ПО. К счастью, многие из них бесплатны и имеют открытый исходный код. 

Под катом мы собрали онлайн-сканеры подозрительных файлов, некоторые инструменты для статического и динамического анализа, системы для описания и классификации угроз и, конечно, репозитории с малварью, которую можно исследовать.

Читать далее
Всего голосов 45: ↑44 и ↓1 +43
Просмотры 13K
Комментарии 1

Black-box тестирование сотовой сети: как операторы защищают абонентов от хакерских атак

Блог компании Бастион Информационная безопасность *Сетевые технологии *Сотовая связь

В статьях о SS7 и Diameter улавливаются панические нотки: протоколы сотовой связи похожи на решето, от них нельзя взять и отказаться, их не исправить. И все же, телеком-апокалипсис до сих пор не случился. Сотовые сети работают, но каким образом?

Мы проверили, как и насколько эффективно сотовые операторы защищают сигнальные сети от хакеров. Один из мобильных операторов, работающих на территории СНГ, заказал две серии атак на свою сеть. Мы провели пентест до и после внедрения некой продвинутой защиты и готовы поделиться инсайдами.

Думаю, широкой публике будет интересно узнать, какие атаки возможны на практике, и что делать для защиты личных данных. Специалисты увидят в этом посте рассказ об одном из первых black-box тестов сигнальных сетей в СНГ.

Читать далее
Всего голосов 37: ↑37 и ↓0 +37
Просмотры 6.2K
Комментарии 9

«У нас воруют — мы находим, процент примерно одинаковый». Как устроена система безопасности шеринга самокатов Юрент

Блог компании Бастион Информационная безопасность *Интернет вещей Транспорт IT-компании

Кибератаки, воровство и вандализм — сервисы аренды самокатов — кикшеринги кажутся довольно уязвимыми, но так ли это? В одном из недавних проектов команда Бастион проверяла защиту Юрент — это отличный повод узнать подробности из первых уст.

Мы попросили директора по IT Юрент Андрея Калинина рассказать о том, почему пенсионеры угоняют самокаты, сталкиваются ли в компании с киберугрозами и как устроена система безопасности шеринговых сервисов.

Его рассказ под катом
Всего голосов 139: ↑132 и ↓7 +125
Просмотры 46K
Комментарии 264

Как работают безопасники: обследование промышленной инфраструктуры

Блог компании Бастион Информационная безопасность *IT-инфраструктура *

Защита критической инфраструктуры — скучная бумажная безопасность, офисная работа. Это распространенный стереотип, который верен лишь отчасти. Перед подготовкой документов инфраструктуру обследуют. И все бы ничего, но иногда предприятие находится где-нибудь между Сургутом и Нижневартовском.

Бастион специализируется на безопасности АСУ ТП, так что за свою карьеру я побывал на многих промышленных производствах. Сегодня расскажу, как проводятся такие обследования, с какими сложностями связаны, и какие проблемы обнаруживаются на объектах.

Читать далее
Всего голосов 30: ↑26 и ↓4 +22
Просмотры 6.3K
Комментарии 6

ML под ударом: противодействие атакам на алгоритмы машинного обучения

Блог компании Бастион Информационная безопасность *Машинное обучение *Искусственный интеллект

Ежегодно выходят тысячи научных работ об атаках на алгоритмы машинного обучения. Большая часть из них рассказывает о взломе компьютерного зрения, ведь на его примере можно наглядно продемонстрировать последствия атаки. На деле первыми под удар попадают спам-фильтры, классификаторы контента, антивирусные сканеры и системы обнаружения вторжений. Например, достается базе VirusTotal. Туда уже давно пробуют загружать безобидные файлы, которые распознаются, как вредоносные и вызывают цепочки ложных срабатываний.

Среда, в которой выполняются алгоритмы машинного обучения, подвержена большинству стандартных векторов атак, но это еще не все. Подобно тому, как реляционные базы данных привели к появлению SQL-инъекций, а веб-скрипты к XSS, алгоритмы машинного обучения подвержены особым угрозам, от которых плохо помогают стандартные меры защиты.

Читать далее
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 2.9K
Комментарии 1

Проверки защиты персональных данных — гайд по подготовке и прохождению

Блог компании Бастион Законодательство в IT
Tutorial

По крайней мере база локализована...

В сети много руководств по подготовке к проверкам РКН, ФСТЭК и ФСБ, но такие гайды сосредоточены на юридической стороне вопроса и состоят из бесконечных отсылок к законам. Они не дают представления о том, как такие мероприятия происходят на практике. По крайней мере на это жалуются некоторые наши клиенты. Так что в этом посте мы дадим понятные практические советы на основе опыта проверок, в которых участвовал наш комплаенс.
Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 7.2K
Комментарии 2

Простая агентурная работа: интервью с социальными инженерами

Блог компании Бастион Информационная безопасность *Интервью


Проверка системы безопасности компании это не только пентесты и фишинговые рассылки, но и шпионские операции с проникновением на территорию заказчика. Этим занимаются самые законспирированные сотрудники Бастион. Мы поймали их в перерыве между проектами, чтобы задать несколько вопросов об этой нестандартной работе.


По понятным причинам, мы не раскрываем настоящие имена наших спецов, так что в этом разговоре они выступят под псевдонимами Алиса и Боб. Они уже не первый год занимаются этой работой, но впервые согласились рассказать о ней широкой публике.


Осторожно, этот пост может спровоцировать приступы паранойи.

Читать дальше →
Всего голосов 61: ↑60 и ↓1 +59
Просмотры 16K
Комментарии 9

Профессиональный обман: как мы рассылаем фишинговые письма нашим клиентам

Блог компании Бастион Информационная безопасность *Управление персоналом *
✏️ Технотекст 2021

Перед новым годом в приемной компании «А», входящей в состав крупного холдинга, раздался звонок. Трубку подняла секретарь — Марина. Звонивший представился как сотрудник головной компании и сообщил, что, необходимо передать директору персональное приглашение на новогоднюю вечеринку. Марина открыла почту, нашла письмо и распечатала документ, а заодно сообщила e-mail руководителя. Она совершила ошибку.


Чуть позже директор, а заодно и весь высший менеджмент компании получили письмо следующего содержания:



Директор поручил Марине заняться приготовлениями к мероприятию. Секретарь перезвонила, чтобы узнать, как сделать пригласительные для супруги директора, и уточнить дрескод. В ответ прозвучало, что форма одежды карнавальная. Только после этого один из сотрудников заподозрил неладное и позвонил напрямую в головную компанию. Там ответили, что карнавалов сроду не проводили и не планируют...

Читать дальше →
Всего голосов 68: ↑67 и ↓1 +66
Просмотры 19K
Комментарии 20

Жонглирование ключами: как работает on-premise облако с e2e-шифрованием

Блог компании Бастион Информационная безопасность *Криптография *IT-инфраструктура *Облачные сервисы *

Нашей команде доверяют аудит информационной безопасности. Не хочется представлять, что будет, если результаты одной из таких проверок утекут в сеть. Так что мы очень серьезно относимся к сохранности рабочих документов. А еще мы немного параноики, поэтому и решили изобрести велосипед разработать облако для безопасной совместной работы с файлами и поделиться наработками.

Дистрибутив под катом
Всего голосов 19: ↑19 и ↓0 +19
Просмотры 2.8K
Комментарии 18

70+ бесплатных инструментов для компьютерной криминалистики (форензики)

Блог компании Бастион Информационная безопасность *Open source *Софт

Расследование инцидентов в области информационной безопасности не такая горячая тема, как пентесты, но эта научная и практическая дисциплина продолжает развиваться, во многом, благодаря Open Source-сообществу.

Давайте пройдемся по просторам GitHub и посмотрим, какие инструменты для сбора и анализа цифровых доказательств доступны всем желающим.

Под катом утилиты для разбора содержимого оперативной памяти, исследования докер-образов, анализа журналов, извлечения информации из кеша браузеров и многое другое.

Читать далее
Всего голосов 37: ↑36 и ↓1 +35
Просмотры 22K
Комментарии 2

Как защитить базы с персональными данными, рассказываем на примере крупного ритейлера

Блог компании Бастион Информационная безопасность *IT-инфраструктура *Администрирование баз данных *Хранение данных *


Недавно одна обширная торговая сеть запустила программу лояльности. Команда Бастион участвовала в этом проекте в качестве консультантов по информационной безопасности, и это отличный повод поговорить о защите баз с персональными данными.


В этом посте расскажем, как работает database activity monitoring, какие мощности нужны, чтобы анализировать гигабиты трафика на лету, и в чем внешний мониторинг превосходит встроенный.

Читать дальше →
Всего голосов 20: ↑19 и ↓1 +18
Просмотры 8.5K
Комментарии 13

Как попасть в реестр российского ПО, и зачем это нужно

Блог компании Бастион Управление продуктом *Законодательство в IT Софт IT-компании

Мы оценили на себе сложность проверок, которые проходит российское ПО. В этом посте расскажем, как со второй попытки попали в реестр, и что полезного можно вынести из этого опыта.

С момента появления в 2016 году реестр приобрел далеко не лучшую репутацию. Во многом справедливо. Похоже, что программы для реестра отбирались по чисто формальным критериям. На старте в список российского ПО можно было внести почти что угодно, включая плохо переупакованный open source. Ценность реестра в плане импортозамещения и повышения информационной безопасности госорганов стремилась к нулю.

Читать далее
Всего голосов 38: ↑36 и ↓2 +34
Просмотры 18K
Комментарии 19

Захватываем сеть через сервер централизованного управления и защищаемся от таких атак

Блог компании Бастион Информационная безопасность *Тестирование IT-систем *IT-инфраструктура *

Привет, меня зовут Дмитрий, в команде Бастион я отвечаю за этап внутреннего тестирования на проникновение.


Сегодня я на конкретном примере покажу, как антивирус может подставить под удар всю корпоративную сеть. Разберемся, почему средства централизованного управления необходимо охранять как зеницу ока, а затем сформулируем рекомендации по защите таких систем.



В моей практике было немало случаев, когда хорошо защищенные сети были скомпрометированы из-за систем централизованного управления. Один из них произошел этим летом.


Крупная промышленная компания заказала у нас пентест. Для внутреннего тестирования выбрали сценарий, в котором злоумышленник подключил свой ПК к локальной сети организации.

Читать дальше →
Всего голосов 32: ↑31 и ↓1 +30
Просмотры 15K
Комментарии 9

[В закладки] Базовая карта законодательства РФ по защите информации и как ей пользоваться

Блог компании Бастион Информационная безопасность *Администрирование баз данных *Законодательство в IT Инфографика

Мы подготовили путеводитель по законам и подзаконным актам в области ИБ, схему для базовой навигации и поиска решений распространенных проблем. 

Она сбережет время и поможет найти документы, в которых прописаны те или иные требования по защите информации, инструкции по работе с различными видами данных, состав проектной документации и так далее.

Читать далее
Всего голосов 29: ↑25 и ↓4 +21
Просмотры 13K
Комментарии 13

«Кража» со взломом: пентест финансовой организации

Блог компании Бастион Информационная безопасность *Тестирование IT-систем *IT-инфраструктура *Тестирование веб-сервисов *

В этом посте мы расскажем, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.

Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе юристов названия были изменены. Из уважения к читателям все рассказано так, как было на самом деле.

Читать далее
Всего голосов 43: ↑42 и ↓1 +41
Просмотры 17K
Комментарии 14
1

Информация

Дата основания
2014
Местоположение
Россия
Сайт
bastion-tech.ru
Численность
51–100 человек
Дата регистрации
Представитель
Игорь Волосянков