Информационная безопасность

Привет, Хабр! Меня зовут Максим Князев, старший системный инженер К2 Кибербезопасность. Сегодня я хочу поговорить об атаках на цепочки поставок на примере того, что все хорошо понимают и любят.

Просто представьте, как вы заказываете эспрессо в проверенной кофейне. Зерна от известного обжарщика, бариста с опытом, кофемашина за миллион. И казалось бы, все идеально. Но потом выясняется, что кто-то подсыпал в зерна что-то лишнее еще на плантации. Вы не виноваты, кофейня не виновата, но пить это вы уже не хотите.

В разработке происходит ровно то же самое, только в роли зерен здесь выступают npm-пакеты. Плантация превращается в GitHub, а подозрительные примеси представляют собой вредоносный код в легитимном релизе. И вы узнаете о проблемах не по вкусу, а по инциденту в проде.

Давайте продолжим это сравнение под катом и разберемся, как не испортить компоненты, из которых складывается современная кибербезопасность.

Привет! Меня зовут Алексей Петрашин, я ведущий специалист отдела внешнего обучения и сертификации, а еще курирую работу Учебного центра CTSG.

В статье поделюсь опытом проведения экзамена в формате игры «Подземелья и Драконы». Расскажу, как повысить вовлеченность студентов для решения сложных и трудоемких задач, опишу проведение такого экзамена на практике и техническую реализацию игрового подземелья.

10 лет назад OpenVPN считался надёжным инструментом. Сегодня он блокируется за секунды. За это время сменилось пять поколений протоколов — каждый новый рождался как ответ на то, чему научился цензор. Это история гонки вооружений между математикой и политикой. И она ещё не закончена.

И где мы сейчас ?

Совсем недавно мы писали о приписываемой северокорейской группировке атаке, целью которой были разработчики ПО, находящиеся в процессе поиска работы. На прошлой неделе исследователи компании Microsoft опубликовали отчет о еще одной похожей атаке. В более раннем исследовании основное внимание было уделено социальной инженерии, в то время как Microsoft подробно рассказывает о технической стороне атаки.

Общая схема атаки показана на скриншоте выше. В процессе интервью разработчику присылают ссылку на код веб-приложения, написанного с использованием фреймворка Next.js. Код хранился на сервисе Bitbucket. Организаторы атаки предусмотрели несколько вариантов выполнения вредоносного кода, содержащегося в проекте. Например, может использоваться автоматизация для Visual Studio Code, которая дает команду на выполнение сразу после того, как разработчик открыл проект и обозначил его как доверенный.

2 марта 2026 года я получил на анализ фишинговое письмо. Отправитель - «M e t a», тема - «[Требуется действие] Завершите проверку, чтобы восстановить показ объявлений». SPF pass, DKIM pass, ARC pass - письмо прошло все проверки и лежало во входящих Gmail. Ключ - цепочка Resend.com → Amazon SES → Gmail, где каждый элемент легитимен. Разбираю, как атакующие этого добились и почему это работает.

У нас в «Лаборатории Касперского» есть команда анализа защищенности, занимающаяся поиском уязвимостей в самых разнообразных системах. В ней работают эксперты, способные исследовать практически любое устройство (и публикующие технические заметки о своих находках). Но в жизни практически каждого исследователя безопасности прошивок однажды наступает момент, когда он или она сталкивается с новым или не особо известным микроконтроллером или свежей процессорной архитектурой с кастомными расширениями. В последнее время такие моменты наступают все чаще — за прошедшие несколько лет рынок наполнился огромным количеством новых чипов из Поднебесной, в частности, на базе RISC-V, со своими собственными расширениями и реализациями ядер. И вот не так давно на анализ нашим исследователям попало устройство c таким чипом на базе RISC-V, c базовым набором инструкций RV32I и расширением P (причем еще и не последней версии), добавляющим короткие SIMD-операции (Packed-SIMD Instructions).

То, что наши эксперты видели его впервые — абсолютно нормально. Но, по всей видимости, его впервые видел и IDA Pro — инструмент, которым пользуются наши исследователи. Поэтому им пришлось не только изучить ранний черновик расширения P (оно же Packed-SIMD Extension), но также реализовать поддержку IDA Pro ряда инструкций из него и произвести лифтинг, то есть трансляцию инструкций в промежуточное представление или язык, понятные декомпилятору. Именно этим опытом они и решили поделиться в данной статье.

Но прежде чем переходить к описанию решения этих задач, стоит понять, с чем мы имеем дело, поэтому начать следует со знакомства с документацией по архитектуре RISC-V.

Но не в самом приложении Max – речь пойдёт о продукте стороннего разработчика внутри мессенджера, который почему-то не хочет исправлять очевидную и крайне серьезную ошибку своего сервиса.

Привет, Хабр! Вот реальная ситуация: подрядчик оказывал услуги, полностью пренебрегая нормами ИБ. Это создало почву для атаки, которая застопорила бизнес больше чем на неделю. Продажи встали, прибыли нет - но это полбеды. Пришлось привлечь сторонних ИБ-экспертов, выплатить сверхурочные работникам, которые трудились над восстановлением систем. Железно, кстати, тоже пришлось закупать новое. Убытки, убытки, убытки. Но можно ли взыскать их с подрядчика? Ответ - да, но не все. Сейчас расскажу, что решил суд и почему

Компания F6, российский разработчик технологий для борьбы с киберпреступлениями, оценила рынок онлайн-пиратства в России в 2025 году в $34,4 млн, что на 5,5% меньше, чем годом ранее — $36,4 млн. В новом исследовании эксперты объясняют снижение доходов пиратов сокращением трафика поисковых запросов на пиратские порталы и масштабными блокировками. При этом у пиратов сменились якорные рекламодатели: доля показа «черной рекламы» нелегальных казино и букмекеров составила 11%, а реклама легальных брендов — 89%. Для защиты своих ресурсов от блокировок пираты активно использовали шифрование текста рекламы нелегальных фильмов, в том числе азбукой Морзе, а для обхода фильтров поисковиков —DLE-модули с интеграцией искусственного интеллекта для рерайта описаний киноновинок.

ZTNA (Zero Trust Network Access) — это модель управления доступом (не только удаленным!), которая проверяет каждого пользователя и устройство (включая установленное и работающее на нем ПО) и даёт доступ не к сети в целом, а к конкретным приложениям и ресурсам. Преимуществом реализации концепции ZTNA в NGFW-решении являются прежде всего возможности файрвола следующего поколения по фильтрации трафика и публикации ресурсов. При этом администратором удобно управлять доступом в одном решении, не прибегая к многочисленным интеграциям наложенных средств защиты.

Особенно важно управлять доступом в современных условиях, когда значительная часть успешных взломов российских компаний в 2025 году происходило с помощью атаки на удаленных сотрудников или подрядчиков (supply chain attack). Специалисты по безопасности испытывают особенную “боль” в контроле подрядчиков - не имея доступ к их ИТ-инфраструктуре и возможностей по мониторингу безопасности, применения политик, настроек и средств защиты.

В Ideco NGFW работа с моделью ZTNA реализована через NAC‑клиент (Network Access Control - контроль доступа к сети на уровне подключения устройства.) и тесную интеграцию с межсетевым экраном, что позволяет существенно безопаснее и гибче управлять доступом сотрудников и подрядчиков по сравнению с классическими VPN и периметровой защитой.

ZeroNights любят за технический уровень и атмосферу. Я хочу показать ZN изнутри — глазами специалиста по анализу защищённости, который приехал за опытом, стендами, общением с комьюнити. Конференция ZeroNights 2025 прошла 26 ноября 2025 года в Санкт-Петербурге, в LOFT HALL.

Тема найма через автоматизированные системы сейчас довольно актуальна. Проблем с трудоустройством много — конкуренция, неправильно составленное резюме, неудачное собеседование. Но сегодня мы сосредоточимся на одной конкретной: ATS-фильтры. Именно они становятся первым и зачастую единственным барьером между кандидатом и живым человеком на другом конце.

Статья подготовлена на основе исследований, дополнительных источников и опыта авторов. Она будет полезна всем, кто сейчас ищет работу — неважно, джун вы или опытный специалист.

Авторы: Veilosophy, глава проекта Opensophy, и Аносов Роман, директор по маркетингу.

26 февраля 2026 г. вышел фильм "Как получить доступ ко всему: реверс-инжиниринг", снятый Slon Motion Studio по заказу Positive Technologies. Я посмотрел фильм и, через цитаты приглашенных экспертов, сделал конспект фильма, зафиксировав смыслы которые несёт кино.

В последнее время ИТ-сообщество активно обсуждает интеграцию автономных ИИ-агентов в реальные рабочие процессы. Свежий препринт под интригующим названием «Агенты Хаоса» подливает масла в огонь: исследователи устроили масштабный red teaming, подключив LLM-агентов к электронной почте, Discord и файловой системе, чтобы посмотреть, насколько легко их взломать.

Группа из двадцати специалистов потратила две недели, атакуя ИИ методами социальной инженерии и инъекциями промптов. Результаты, изложенные в одиннадцати задокументированных кейсах, описывают агентов, которые удаляют системные файлы, сливают пароли и попадают в бесконечные циклы потребления ресурсов.

— С метаданных картинок мы уже разобрались, теперь же давайте посмотрим, что за душой у обычных pdf или word документов

Аннотация

С 2026 года строительная отрасль России столкнется с массовыми изменениями в оформлении проектной, рабочей и инженерной документации: введены новый национальный стандарт ГОСТ Р 21.101-2026, охватывающий строительство, реконструкцию, капремонт, эксплуатацию и ликвидацию зданий, а также отчетную техническую документацию и результаты изысканий. В параллельном процессе ужесточаются требования к формату заверения документов с переходом к полной цифровизации. С 1 марта 2026 года вступают в силу изменения в Градостроительный кодекс РФ, обязывающие использование усиленной квалифицированной электронной подписи (УКЭП) для проектной документации; использование информационно-удостоверяющих листов (ИУЛ) как альтернативы УКЭП запрещено.

Для реализации требований Минстроя о повсеместной подписи документов необходима связка отечественного ПО: КриптоПро CSP (криптопровайдер) и КриптоАРМ (графический интерфейс). В КриптоАРМ создается файл подписи, в который поочередно добавляются подписи всех участников проекта в едином файле (.sig/.p7s) через процесс соподписания. Этот подход обеспечивает соответствие новым требованиям к цифровой подписи и экспертизе документации. Также в статье рассматривается вариант использования сервиса КриптоАРМ Документы, который позволяет управлять очередностью подписей и устранить различные риски пересылки фрагментов документации по почте.

Представьте машину, на которой хочется собрать что-то исполняемое - но почти ничего нельзя.

Нет сети. Нет USB. Нет компилятора. Нет интерпретаторов вроде Python. Возможно, даже нет привычных утилит (dd, xxd, objdump, hexdump). Есть только shell и встроенные команды.

Звучит как шутка, пока это не становится реальным сценарием:

Двое реверс-инженеров пробуют разобраться, почему в старой стиральной машине Miele перестал работать отжим. Устранить неполадку им так и не удается — зато они умудряются отреверсить закрытый диагностический протокол и вытащить прошивку управляющей платы. А затем — написать утилиту, которая делает то же, что и проприетарный сервисный софт Miele, только без лицензий и посредников.

Детали этого эксперимента мы подробно разобрали в прошлой статье. Здесь история могла бы закончиться — но одной стиралки исследователям оказалось мало. 

Дальше они вскрыли посудомойку BSH, подключились к шине обмена данными D-Bus и нашли механизм доступа к памяти, позволяющий выгружать прошивку с любых устройств BSH через эту шину. А к финалу исследования и вовсе ударились в откровенный инженерный троллинг, научив облачное приложение BSH управлять техникой бренда-конкурента.

Продолжаем разбор доклада Hacking Washing Machines с конференции 39C3 и смотрим, как попытка разобраться в логике одной капризной стиралки превращается в операцию по стыковке двух закрытых экосистем бытовой техники.

Если у вас есть бизнес, то, скорее всего, у вас есть и продвигающий его сайт. Это визитная карточка любой компании. И это именно та цель, куда первым делом захотят ударить конкуренты или злоумышленники с помощью ботов. «Мой сайт — моя крепость», — так можно перефразировать известное выражение. А значит, надо обороняться.

Мы в «Соларе» решили, что бороться со стремительно растущими атаками поможет автоматический инструмент, выявляющий скрытые закономерности — искусственный интеллект. Так и родилась идея анализа «рукопожатия клиента» с помощью алгоритмов машинного обучения. Мы прекрасно понимали, что сигнатурный анализ работает, ведь он не раз помогал отбивать DDoS-атаки. Поэтому не сомневались, что удастся создать такую модель.

У меня есть платформа для работы с метафорическими ассоциативными картами. Это инструмент психологов, коучей: колода картинок, вопросы, разговор. Звучит нишево, но суть задачи универсальна – авторский визуальный контент в вебе, который надо защитить от массового скачивания и пиратства. При этом контент загружают сами пользователи.

Если вы делаете галерею, маркетплейс иллюстраций, образовательную платформу с визуалами или любой сервис, где картинки – это ценность, а не декорация, эта статья для вас. Я расскажу, как выстроил многослойную защиту изображений, не превращая при этом продукт в крепость, из которой неудобно пользоваться.