Всем привет, на связи команда DFIR JetCSIRT! Близится конец года, все готовят салаты и годовые отчеты. Мы тоже подводим итоги и заметили, что с одной из групп (или, по крайней мере, кластером злоумышленников) мы сталкивались чаще, чем с другими. Речь пойдёт о Rainbow Hyena — именно её активности мы посвящаем эту статью, разобрав несколько реальных кейсов.
«Давайте быстро развернем SOC» — подобные запросы от руководства компаний учащаются после каждой громкой кибератаки. Возникает иллюзия, что центр мониторинга безопасности можно легко создать за пару недель. Но так ли это? Или дело не в SOC, а в том, кто именно его запускает?
На связи Денис Иванов, руководитель по развитию центра мониторинга информационной безопасности в Бастионе. На практике я часто сталкиваюсь с подобными заблуждениями насчет SOC: заказчики путают его с SIEM, не понимают, когда нужен собственный центр мониторинга, а когда — готовая услуга.
В статье разберу, почему сформировалось такое искаженное представление о SOC, с какими типичными ошибками сталкиваются компании при его создании и какие подходы действительно работают.
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать.
Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.
Дверь кабинета распахнулась в три часа ночи. Бледный технический директор, голос дрожит: «Всё. Системы мертвы. Они требуют два миллиона в биткоинах». В голове мелькнула мысль: «Это же фильм какой-то...» Но на мониторах уже мигали красные надписи, а в телефоне зашкаливало количество звонков от клиентов, партнёров, регуляторов.
А когда расследование показало, что хакеры вошли через устаревшую версию WordPress и учётную запись менеджера с правами администратора, он схватился за голову. Не суперхакеры взломали миллиардный бизнес. Его развалили банальные человеческие ошибки и пренебрежение рутиной. Те самые «мелочи», ради которых ИТ-специалисты годами просили внимания.
Привет, Хабр!
Команда CTSG запустила новый сезон подкаста Crosscheck. В одном из первых выпусков эксперты обсуждают актуальную, «горящую» на сегодняшний день, тему обезличивания баз данных: изменения в законодательстве, методы обезличивания, маскирование и многое другое.
Наверняка вы сталкивались с проблемой согласования фичи со службой безопасности. В большинстве случаев этот процесс превращается в головную боль для программиста из-за множества непонятных этапов и деталей.
Регулярно встречая подобные проблемы в своей работе, мы во Flowwow решили внедрить процесс, который помог не только снизить на треть количество времени на анализ корневых причин сложных инцидентов, но и значительно упростить согласование фич для программистов. Этот процесс получил кодовое название ADR.
Привет, Хабр! Недавно мы рассказывали, что запустили подкаст «Под защитой», в рамках которого разбираем разные аспекты, связанные с информационной безопасностью. Знаем, что кому-то проще слушать подкасты дома или в пути, а кому-то — комфортнее читать текст. Такт что подготовили для вас ещё и версию одного из выпусков в формате статьи.
Поговорили о том, какую роль в защите данных играют инновации — что вообще стоит за этим понятием и чем оно отличается от «улучшений», какие барьеры мешают технологическому развитию, и почему главными драйверами перемен становятся именно технологические компании.
Меня зовут Сергей Рябов, я руководитель научно-исследовательской разработки ГК InfoWatch, и вот что мы обсуждали на подкасте.
Термины и понятия
Давайте сразу определимся с ключевыми понятиями, которые мы будем использовать. Например, «информационная безопасность». Я смотрю на него с точки зрения наших продуктов — они защищают клиентов от утечек данных, как непреднамеренных, так и преднамеренных. Куда чаще данные утекают по вине людей, нежели из-за использования вредоносного софта.
Поэтому лично для меня информационная безопасность — это возможность сделать так, чтобы информация, которая не должна покидать периметр компании, в нём и оставалась. И на самом-то деле это не такая уж и простая задача, потому что такой информации очень много и она очень разная — растут и сами компании, и потоки создаваемой ими информации. Вместе с этим в компаниях часто меняются бизнес-процессы, которые люди не всегда соблюдают.
Эти и подобные им факторы нужно учитывать и отслеживать. И тут есть нюанс.
Привет, Хабр! Меня зовут Александр, я лидер команды DevSup (это как DevOps, только с функцией поддержки больших клиентов которым Saas не подходит) в IT-компании ПравоТех. Мы создаем IT-решения для автоматизации юридической функции.
Будучи разработчиком таких систем, мы понимаем, что наши клиенты предъявляют высокие требования к информационной безопасности. Поэтому мы развиваем культуру безопасности не только среди разработчиков, но у всех сотрудников: злоумышленники часто бьют по «нетехническим» ролям.
Чтобы эффективнее донести до коллег суть современных киберугроз, вместе с командой Tutors мы выбрали формат коротких художественных историй. Они основаны на привычных каждому рабочих ситуациях, которые могут обернуться серьёзными инцидентами. Эти истории легли в основу нашего курса по информационной безопасности.
Сегодня публикуем третью историю из серии — «Случай на корпоративе». О том, как просто вытянуть ценные сведения в неформальной, доверительной обстановке. Социальная инженерия в самом примитивном формате :-)
Статья с первой историей — тут.
Статья со второй историей — тут.
Примечание ПравоТех: Цель этих историй — обучение и повышение осведомленности через анализ реальных тактик мошенников. Любые совпадения с реальными людьми или компаниями случайны.
Пролог: Приглашение в тень
Дата: 10 декабря 2024 г.
Время: 19:00
Уже третий час подряд она смотрела на фотографии молодых людей и девушек в LinkedIn. Всех объединяло место работы — СмартСофт. Её взгляд замер на фото Макса Терновского. Лучший sales 2023 в СмартСофт.
Всем привет!
В эфире «Кибердуршлаг», наша постоянная рубрика, в которой мы на примере собственных продуктов и решений рассказываем, как можно защитить ваши информационные системы и не дать им превратиться в решето уязвимостей, атакуемое хакерами разной степени продвинутости.
В этой статье наши эксперты — Паша Попов, руководитель направления инфраструктурной безопасности, и Ярослав Бабин, директор по продуктам для симуляции атак, — разбираются, что такое контролируемый автоматический пентест, как он интегрируется с процессом управления уязвимостями и как в нем применяется ИИ.
Почему хакинг — это не про инструменты, а про мышление и понимание систем. Разбор того, как утилиты создают иллюзию знаний, почему лаборатории и курсы искажают реальность и что на самом деле стоит за успешными атаками в живых системах.
Здравствуйте, уважаемые читатели!
Ох, не подумал бы, что буду устанавливать операционную систему Windows 95 в 2025 году, спустя 30 лет с момента её выхода. Но наступило время чудовищных экспериментов, разящих «железку» наповал! Сегодня мы будем мутировать в учебных целях. В качестве мутанта выступит вирус CIH.1003, навеки прожжённый на компакт-диске с игрой — и не вылечить его оттуда, ну вот никак. Мы наглядно увидим запуск заражённой игры, момент заражения, «окирпичивание» материнской платы, последствия и процедуру «лечения».
Данный эксперимент проводится исключительно в познавательных целях — на своём железе, на своём софте, в изолированной от сети среде — и преследует цель показать, как мы выживали в пререлизной заражённой среде «Half-Life: Day One».
В 2025-м произошло много интересных ИБ-инцидентов и новостей. Традиционно в канун Нового года попросили нашего начИБ Алексея Дрозда (aka @labyrinth), поделиться его личным топом самых запомнившихся ИБ-событий года.
Всем привет! Сегодня с нами отдела исследования киберугроз Angara Security и его эксперт Артемий Цецерский. Поговорим о вредоносных расширениях браузера и о том, как их эксплуатируют злоумышленники.
Этой статьей я начинаю цикл «Пробуем на вкус техники MITRE ATT&CK».
Суть данного цикла - изучать логи, сформированные одной из реализаций той или иной техники MITRE ATT&CK (далее MA).
Необходимоеуточнение — не все реализации той или иной техники будут рассмотрены, так как я буду выбирать интересные лично для меня и, возможно, предложенные в комментариях.
В прошлой статье мы нескучно рассмотрели как получить джейлбрейк (JB) с рутом на некоторых устройствах iOS с чипом A11. Как я уже озвучил в первой части, рут на устройстве нам нужен для пентеста. Теперь займемся установкой инструментария для пентеста iOS.
Итак, 5 ноября команда JFrog опубликовала предупреждение об уязвимости CVE-2025-11953 в инструментах командной строки проекта React Native Community CLI. React Native — это платформа которую используют тысячи разработчиков для создания мобильных приложений, которые мы видим в App Store или Google Play. А React Native Community CLI через командную строку предоставляет инструменты для разработки и сборки этих приложений, куда как раз и входил злополучный пакет.
На первый взгляд, это еще один CVE в длинном списке. Но проблема глубже: уязвимость в популярном пакете может затронуть сотни проектов одновременно и ударить не только по продакшену, но и по устройствам разработчиков и CI-пайплайнам.
В статье разберем, как библиотеки из удобных помощников превращаются в точку входа для злоумышленников, почему такие инциденты не решаются простым апдейтом и какие механики атак через зависимости встречаются чаще всего. В конце обсудим дилемму — стоит ли вообще полагаться на сторонние фреймворки или лучше писать нативно. Детали под катом.
Во многих современных IT-системах IPv6, как правило, включён по умолчанию. Это относится и к операционным системам, и к серверам, и к сетевому оборудованию, и к контейнерным платформам. Даже если в компании или проекте официально используется только IPv4, IPv6 чаще всего уже присутствует и функционирует — без явного внимания со стороны архитекторов и специалистов по ИБ.
Это важный момент, потому что безопасность обычно строится вокруг того, что явно спроектировано. Если протокол не заложен в архитектуру, под него редко настраивают фильтрацию, мониторинг и контроль. IPv6 в таких случаях — не «новая технология», а незадокументированный элемент системы.
Мошенник заходит на Озон купить товары и воспользоваться для этого данными украденных банковских карт. Ставит прокси, меняет айпи, использует антидетект браузер, закупает пачку номеров. Подготавливает дропов и адреса ПВЗ. Он регистрирует несколько аккаунтов, добавляет товары в корзину и нажимает оплату. На одном акке сайт зависает, на другом требует подтвердить личность, а третий аккаунт живой.
Как Озон заподозрил мошенника, если он учел все и не сделал никаких ошибок.
Что происходит под капотом и что стало с третим аккаунтом?
В этой статье мы разберем как работает эта система, откуда она берет данные и почему Китайский сценарий развития интернета уже наступил
Сколько будет корень из нуля? Даже школьник ответит не задумываясь: ноль. Но если задать этот вопрос JIT‑компилятору Maglev внутри движка V8, то при определённых обстоятельствах он сначала скажет: «ноль», а потом решит сэкономить на проверке безопасности и отдаст злоумышленнику доступ к памяти браузера.
Меня зовут Паша Кузьмин, я занимаюсь практической безопасностью Яндекс Браузера и проекта Chromium. В нашей команде мы регулярно разбираем уязвимости и исследуем методы атак — чтобы защищать пользователей до того, как их атакуют злоумышленники. Сегодня расскажу про CVE-2025-9864 — уязвимость, которую я нашёл в движке V8.
Это история о том, как безобидный Math.sqrt(0) превращается в use‑after‑free, а затем в произвольное чтение и запись памяти. Разберём проблему по шагам: от теории до работаю��его эксплойта.
Как пробить многоуровневую защиту LLM-агента, обученную на 80+ млн атаках?
В декабре 2025 я вошел в топ-10 глобального рейтинга Lakera Agent Breaker. В этой статье - не просто обзор решения, а детальный разбор уязвимостей современных LLM-систем и архитектура кастомного фаззинг-пайплайна.