Информационная безопасность

Несколько лет назад я перестал доверять чужим VPN. Не из паранойи, а по скучной причине: бесплатный сервис живёт на твоих данных, платный - на твоём доверии, и оба разом отваливаются, когда их блокируют. А блокируют сейчас волнами, под выходные особенно.

Свой сервер звучит как “ну, надо быть админом”. Не надо. У меня на одном таком сидят жена и пара друзей, подняли за вечер пару лет назад, и с тех пор я к нему почти не прикасаюсь. Ниже - как поднять свой VPN на дешёвом VPS, и про грабли, которые обычно обходят молчанием.

В связи с ростом сфер применения ИИ (как на базе LLM, так и прочих), возникают вопросы о юридических последствиях. Например, кому принадлежат авторские права на изображение вороны, которое ИИ написал по запросу «нарисуй ворону». Или, кто несёт ответственность за аварию на производстве, когда технолог последовал рекомендации ИИ.

И вот, у меня, как у человека давно и внимательно читающего разные новости, возник вопрос в связи с недавней новостью про введение экспортных ограничений на продвинутые модели ИИ.

WebScan — асинхронный CLI-сканер безопасности на чистом Python. За неделю вырос до 15 плагинов: XSS, SQL инъекции, CORS, Path Traversal, SSRF, утечки API ключей и многое другое. Safe Mode, proxy, SOCKS5, пять форматов отчётов включая SARIF.

В статье разбираю архитектуру и сравниваю с Nikto.

WireGuard довольно быстро стал популярным VPN-протоколом: простой, быстрый, с аккуратной архитектурой и без тяжёлого наследия, он выгодно выделялся на фоне монстров вроде IPsec и OpenVPN. Но, как это часто бывает, сильная сторона со временем стала и слабым местом. Протокол оказался не только удобным и предсказуемым, но и легко узнаваемым, а значит и сравнительно простым для блокировки.

Как только WireGuard начали пытаться блокировать, появились и первые попытки его спрятать. Сначала это были довольно простые приёмы, например, добавить перед хендшейком несколько мусорных UDP-пакетов, чтобы сбить DPI в начале сессии. Потом появилась AmneziaWG, которая пошла дальше и стала менять уже сам внешний вид WireGuard-пакетов: заголовки, размеры, дополнительные junk-данные внутри хендшейка. В AmneziaWG 2.0 пространства для манёвра стало ещё больше: к уже существовавшим S1–S2 добавились S3–S4, и управляемые вставки стало возможно применять не только к хендшейку, но и к другим типам сообщений, включая основной поток данных. Параллельно развивалась и идея имитационных пакетов: перед хендшейком можно было отправлять не просто случайный мусор, а пакеты, похожие на трафик другого протокола, чтобы сбить первичную классификацию.

В этой статье речь пойдёт о следующем шаге в развитии этой идеи. Если раньше имитационные пакеты работали в основном как короткая дымовая завеса перед хендшейком, то теперь имитация переносится в сам поток: транспортные пакеты AmneziaWG на проводе начинают выглядеть как QUIC, DNS, STUN или SIP.

Жил-был за океаном Антропикопитек — зверь учёный, безопасный, этичный, совсем не доктор Зло. И вывел он в тайных палатах своих модель невиданную, и нарёк её именем гордым — Мифос. И было у Мифоса удаль богатырская: любую крепость софтверную ковыряет за ночь, дырку находит там, где двадцать семь лет никто не видел (привет, OpenBSD, отличная выдержка, как у виски).

Акт первый. Кибермаркетинг через киберутечки
В конце марта приключилось чудо. Сайт настроили так, что три тысячи неопубликованных файлов — черновики, PDF-ки, картинки — легли в публичный data lake, открытый и индексируемый. Нашли не хакеры, а добрые ребята из LayerX и Кембриджа, просто ходили по тропинкам, в окна заглядывали. Fortune опубликовал. В черновиках — «модель несёт беспрецедентные киберриски». Компания, которая продаёт безопасность, слила сама себя через дырявый сайтик. Красивый зачин: история про беспрецедентные кибервозможности начинается с прецедентной кибердырявости модель-генеренных сайтиков.

Акт второй. Много пиара
7 апреля — торжественный выход. Claude Mythos Preview, проект Glasswing, $100 миллионов, одиннадцать титанов в партнёрах (AWS, Apple, Cisco, Google, Microsoft, NVIDIA, Palo Alto и далее по списку), сорок Избранных организаций. Тысячи, тысячи «ноликов». К 26 мая — 10 000+ критичных уязвимостей в «критичном софте». Глава Palo Alto называет это «важнейшим киберальянсом со времён создания CISA». Занавес, аплодисменты, дайте два.

Акт третий. Реальные утечки доступа
Не черновики, реальный API, к которому народ как-то дотянулся — через партнёров и «цепочку поставок», — и архитектура, по которой «защита» из Mythos переезжает на публику. Меч выкован, ножны заказали отдельно, доставка задерживается. Опять же — во всех новостях без подвалов АНБ и прочих ожидаемых ужасов в ситуации, когда гражданские пробрались в Зону 51.

Сегодня искусственный интеллект кардинально меняет как подходы к защите, так и методы атак. С развитием технологий ИИ-модели могут обрабатывать и анализировать огромные объемы данных в реальном времени. Это активно использует не только бизнес, но и злоумышленники.

В статье рассмотрим современные методы атак на AI и ML-системы, расскажем про практическое применение MITRE ATLAS для моделирования угроз и выстраивания защиты через четыре системных элемента: AI Среда, AI Платформа, AI Модель и AI Данные.

Я работаю в IT-консалтинге первый год и параллельно веду несколько пет-проектов вместе с Claude Code. И в какой-то момент меня начало беспокоить одно и то же:

«А код, который мне написал AI, вообще безопасный?»

Несколько личных проектов я собрал в связке с Claude Code, и раз уж большую часть code review я отдаю модели, то вполне реально, что куда-нибудь просочится:

В прошлой статье цикла мы закончили разворачивать инфраструктуру будущего РБПО: установили GitLab, Nexus, HashiCorp Vault, Dependency-Track и DefectDojo, подготовили отдельную виртуальную машину с инструментами безопасности и убедились, что все сервисы успешно запускаются.

Но установить сервисы — это только половина дела. Теперь их нужно настроить и подготовить к совместной работе. Без этого GitLab останется просто GitLab, Vault — просто хранилищем секретов, а DefectDojo и Dependency-Track — красивыми веб-интерфейсами без практической пользы.

В этой статье займемся базовой конфигурацией. Настроим GitLab и GitLab Runner, подготовим Nexus к приему артефактов, научим Vault доверять GitLab через JWT-аутентификацию и создадим необходимые сущности в DefectDojo и Dependency-Track.

Документация открыта, терминал запущен, банка кваса на месте. Начинаем настройку инструментов.

До недавнего времени у меня была ложная уверенность, что покуда аккаунт Telegram привязан к реальному мобильному номеру и при этом у пользователя есть доверенное устройство, то удалённо украсть аккаунт, как минимум, чрезвычайно сложно, если вообще возможно. Максимум, кто-то может открыть ещё одну пользовательскую сессию и получить доступ к перепискам.

Однако на деле оказалось, что букально в течение нескольких дней злоумышленник способен ещё и безвозвратно отвязать мобильный номер втихую, что ведёт к полной потере доступа настоящим пользователем, - вот уж то, чего действительно не ожидал от сервиса, который по своим ценностям нацелен на безопасность!..

Сразу замечу, что эту лазейку довольно легко исправить, но почему-то она до сих пор присутствует... Причём, судя по всему, служба поддержки не справляется с обращениями пользователей (даже с платной подпиской!), поэтому шанс вернуть аккаунт стремится к нулю.

Именно по этой причине было решено опубликовать данное обращение, вдруг на него всё же обратят внимание разработчики Telegram и примут необходимые меры для усиления безопасности.

Привет, Хабр!

Меня зовут Алексей Шмелёв, я руковожу группой аналитики и безопасности данных в «Гарде». Мы занимаемся настройкой «решающих правил» в таких продуктах «Гарды», как DBF и DLP.

Когда заказчики начинают использовать DBF в продакшене, обычно ждут чего-то такого: «Сейчас мы увидим, где у нас утечка». На деле в первый месяц вскрывается совсем иное. Например, ручное повышение привилегий, массовые выборки данных, нарушение порядка доступа к данным и другие аномальные действия сотрудников и админов.

Причем по отдельности каждое такое действие легко оправдать производственной необходимостью. И как тут поспоришь, если сроки горят, а бумажки безопасников только тормозят рабочие процессы. Но когда таких эпизодов набирается достаточно, они, как перенесенная на ногах простуда, начинают незаметно подрывать работу бизнеса. Аудит превращается в формальность, а расследования — в поиск иголки в стоге сена. В таком шуме реальная угроза проскальзывает незаметно.

Под катом — десять паттернов, которые мы встречали на проектах чаще других. Я расположил их в порядке убывания частоты: от того, что видим почти на каждом внедрении, до редких, но от этого не менее интересных кейсов. Для каждого разберу, как аномалия проявляется, почему возникает, чем рискует заказчик и как перевести ситуацию из зоны «серого шума» в управляемый процесс.

Можно ли построить шифрование, если под рукой есть только SHA-256 и Blake3? В этой статье разберем рабочую и надежную схему построения такого алгоритма.

Изначально цели у меня свергнуть с пьедестала популярные сетевые инструменты типа BloodHound и иже с ними не было. Нет ее и сейчас. У них было, есть и будет заслуженное место в арсенале redteam и blueteam‑команд. Все нижеописанное можно воспринимать с легкой иронией, как необычный побочный эффект моих изысканий.

Вопрос у меня был простой — какие компоненты подсистемы COM лежат в основе AD? Если вкратце, то Windows управляет AD через ADSI — Active Directory Service Interfaces. Это довольно замороченная COM‑абстракция над LDAP, которую использует сама Windows, когда компоненты, подключенные к домену, запрашивают каталог. Её используют процессы групповой политики, оснастки MMC и так далее

И, не сказать, чтобы прям совсем неожиданно, как побочный эффект ковыряния, вдруг обнаружилось, что вам не нужно самому пытаться построить топологию локальной сети под управлением AD — Windows это уже сделала за вас. И попросить у Windows эти результаты может кто угодно. Даже простой пользователь, без повышенных прав.

В 2026 году скорость и анонимность перестали быть единственными критериями успешной работы в сети. Сегодня главный критерий — это безопасность данных, потому что интернет превратился в поле битвы, где каждый неверный шаг может стоить конфиденциальности или бизнеса. В погоне за доступом к глобальному контенту или обходом ограничений многие воспринимают прокси как простую техническую прослойку для выхода в интернет. Однако в действительности современные технологии проксирования представляют собой сложные многоуровневые системы, от которых напрямую зависит целостность и конфиденциальность данных.

В этой статье разберем, как устроен механизм работы прокси, чем отличаются типы соединений и протоколы передачи данных, а также какие риски несут бесплатные и публичные решения и как подходить к выбору собственной инфраструктуры.

Роботный трафик — это посещения сайта не людьми, а автоматическими программами, скриптами или ботами. Автоматизированный трафик бывает и полезным, например от поисковых роботов, и вредоносным — когда искажает аналитику, перегружает веб‑ресурс или используется для спама, атак, причинения экономического ущерба.

Yandex Smart Web Security — это сервис для защиты сайтов и приложений от DDoS‑, веб‑атак и ботов, который разрабатывают несколько команд Яндекса: Yandex Cloud, Yandex Infrastructure и команда Антиробота. Недавно мы добавили новую функциональность по работе с роботами: пользователям облачной платформы она даёт возможность самостоятельно настраивать правила для выделения роботного трафика буквально с помощью пары бегунков. Мы делаем фокус на простых инструментах управления. Но за этими, казалось бы, небольшими улучшениями интерфейса, стояла большая инженерная работа.

Если вы хоть раз обсуждали «правильную» архитектуру мессенджера, вы знаете, что разговор всегда скатывается в два полюса, и оба плохие.

Полюс первый: чистый P2P. Никаких серверов, клиенты говорят напрямую. Звучит красиво ровно до первого практического вопроса. Собеседник офлайн, а вы хотите написать ему сейчас. Куда уйдёт сообщение? В никуда, ждите, пока он включит телефон одновременно с вами. NAT, симметричные файрволы, спящий Android, который убивает фоновые сокеты. P2P горит на неудобстве.

Полюс второй: сервер. Удобно, офлайн-доставка есть, пуши есть. И ровно одна коробка, в которой лежат личности всех, граф контактов всех, очереди всех. Эту коробку можно заблокировать по сети, можно изъять физически, можно прийти к оператору с предписанием. Серверные мессенджеры горят на сервере.

Один из наших пользователей в бете сформулировал это лучше, чем мы в любой презентации: обсуждение альтернатив всегда имело два полюса. Либо ищем инфраструктуру как в Matrix, где все сидят по своим загонам и не пишут друг другу. Либо сидим без офлайн-сообщений как в P2P. Либо вообще не можем подключиться, потому что мосты для обхода блокировок съела моль.

Мы делаем RCQ, мессенджер в духе старой аськи, но на современной крипте. И последние месяцы мы потратили на то, чтобы найти выход из этого треугольника. Ниже модель, к которой мы пришли, и, что важнее, места, где она пока спотыкается. Это не готовый протокол, это дизайн и первые слои. Но он внутренне непротиворечив, и спор о двух полюсах он закрывает.

В ИБ и IT до сих пор рассказывают сказку про «рынок кандидата». На практике вами торгуются алгоритмы, скрытые критерии и корпоративная шизофрения. Разбираю по опыту своему и гостьи подкаста, HR‑эксперта Екатерины Днепровской, как устроен этот цирк и как в нём выживать именно технарю и безопаснику.

Данный таск был активен в 6 сезоне CTF, который проходил на платформе ACLAbs. Это простая машина, однако имеет 5 флагов. Сначала раскрутим RFI до RCE, далее будем повышать привелегии, пройдемся по горизонтальному перемещению и в конце сбежим из контейнера.

Кстати 12 июня стартует новый, 7 сезон на сайте aclabs.pro. Будут новые задания и интересные уязвимости. Всем, кому интересен кибербез и уникальные тачки, ждем на платформе. Вход свободный!

Коротко тезис: открытый Ollama — это бесплатный GPU для атакующего, и охота за таким compute давно поставлена на поток. Но за май наша сеть ханипотов (приманки в DE/US/RU) зафиксировала не только воровство инференса, а нечто новое — использование LLM-эндпоинта как SSRF-плацдарма для кражи облачных учёток. Разберём по данным.

Слепая дружба: CEO доверял ему всё, а DLP вычислил бэкдор на рабочем столе или как «неприкасаемый» сисадмин устроил себе клондайк из паролей и малвари.

Привет! Я — Катя DLPшка. Недавно пришла в профессию и начала свой путь самурая аналитика в информационной безопасности

Четыре года в вузе я наивно верила: устроюсь на работу в айтишку, где клиенты всё понимают, а их сотрудники — ангелы. Я буду выявлять инциденты, говорить, что и как исправить, ссылаясь на ФСТЭК и ГОСТ, а мне отвечать: «Да, DLPшка Катя, согласны, давайте исправлять...» Забавно вышло. Я сильно ошиблась.

Вот уже более 20 лет проходит масштабная конференция разработчиков свободного и открытого ПО – FOSDEM. Для CodeScoring она примечательна тем, что с 2021 года на ней регулярно представлен тематический деврум "SBOMS and supply chains" посвященный составу программного обеспечения и цепочкам поставок.

Эта статья – адаптация доклада "LibreOffice and Collabora Online – how we managed to automate SBOM generation for a large legacy project", с которым Торстен Беренц выступил на конференции в 2026 году. Специально для вас мы перевели выступление и превратили его в статью, оригинал доклада на английском языке – по ссылке.