Информационная безопасность

Хотя нет - я соврал, о Коте вы узнаете из аниме сериала. Но это последний обман:)

А что такое этот ваш CyberCamp?

CyberCamp 2025 - ежегодная онлайн-конференция по кибербезопасности от компании Инфосистемы Джет.

О кемпе:

CyberCamp — это проект по обмену практическим опытом в сфере кибербезопасности. Мы создали новый формат онлайн-мероприятий: участвовать в киберучениях и проходить задания могут не только команды, но и все зрители кэмпа.
Доклады и практические задания для CyberCamp готовят участники комьюнити — пентестеры, форензеры, инженеры и архитекторы ИБ, аналитики SOC. Задания основаны на кейсах из повседневной работы Blue team, Red team и Yellow team.
Каждый год в рамках CyberCamp проводится онлайн-конференция федерального масштаба и цикл митапов для начинающих и опытных специалистов. Мы создаем среду для повышения экспертизы в ИБ и развиваем комьюнити, в котором можно поделиться знаниями и найти поддержку.

Документ для тех, кто совсем не знает, что такое Vless, Xray и прочие штуки, связанные с «ВПН», но кому это нужно для планирования организации доступа через данные инструменты. Или если кому-то просто интересен принцип работы «на пальцах».

В некоторых местах используются упрощения, из-за которых могло бы быть сломано не мало копий на профильных форумах, но для человека, который не знает и не очень горит желанием знать технические детали, они все равно роли не играют.

В данной статье представлена исключительно архитектура работы, как настроить сервер ищите в других статьях или гугле.

Кибербезопасность сегодня выглядит как одна из самых заметных сфер в IT: о ней много говорят, специалистов не хватает, а зарплаты обсуждают даже в общих чатах про карьеру. Неудивительно, что у новичков складываются свои ожидания: от «быстрых денег» до образа белых хакеров.

На деле всё чуть сложнее. А путь в профессию устроен иначе, чем может показаться на старте. Поэтому мы разобрали 5 самых популярных мифов о карьере в ИБ и проанализировали, что за ними стоит.

2 октября 2025 года состоятся Студенческий день форума по информационной безопасности и ИТ GIS DAYS (Global Information Security Days). Насыщенная программа включала в себя Киберарену, CTF-соревнования, доклады партнёров мероприятия, мастер-классы, концерт. Студенты знакомились с представителями вузов на стендах, общались с ведущими экспертами в сфере ИБ, получали подарки за участие в различных активностях и слушали музыкальный проект компании «Газинформсервис». Более 1500 молодых специалистов заполнили пространство «Севкабель Порта» в Санкт-Петербурге, показав высокий интерес к мероприятию.

Работа с информационной безопасностью в больших компаниях всегда была задачей непростой. Особенно когда речь идёт о головной организации с десятками дочерних структур, тысячами сотрудников и множеством серверов и сервисов. В таких условиях собрать все данные, понять, что где и как работает, и при этом держать процессы под контролем — задача, которую сложно решить без автоматизации.

Я хочу поделиться нашим опытом, как мы подошли к этой проблеме в SECURITM, и показать, как система помогает руководителям ИБ-служб выстраивать сквозной контроль над подрядчиками и процессами во всей структуре компании.

От автора: публикую главы из своей книги «Прекрасный, опасный, кибербезопасный мир». Она была написана еще в благодатные доковидные времена, когда мир был совсем другим. Многое изменилось, но базовые вещи относительно безопасности остались те же, так что книжка по‑прежнему неплоха.

Криптографическая уязвимость Evolution Marketplace: Анализ кражи Исследование безопасности ECDSA подписей крупнейшего даркнет-рынка

После первоначального доступа к Windows‑хосту (обычно это базовая shell/метерпитетер) злоумышленник или тестировщик (аха, то есть мы) часто ограничен правами. Чтобы повысить привилегии, требуется быстро перечислить файлы, директории, права, журналы и хранилища (SAM и др.). Объём артефактов в Windows огромен, и ручная проверка даже при хорошем опыте занимает много времени. Логичный путь — автоматизировать перечисление с помощью скриптов и чекеров. Тема незаменима на экзамене OSCP и при прохождении тачек на HTB.

«Эскалация привилегий» — стадия после компрометации, в рамках которой собирается критичная для системы информация: скрытые пароли, слабоконфигурированные службы/приложения, уязвимые политики, кривой доступ, лишние сервисы в RAM и т.д. Именно эти сведения позволяют выполнить пост‑эксплуатацию и получить более высокий уровень прав.

Здраствуйте дорогие коллеги, сегодня с вами будет изучать тему HA Paloalto. Для этого нам понадобится 2 paloalto.

Как всегда будем все реализовать на практике, и буквально чутка теории)

HA = дублирование двух (или до 16) Palo Alto для отказоустойчивости. Один работает (Active), второй пассивный ждет... (Passive). Если активный падает , то пассивный мгновенно берёт на себя сессии и конфигурацию, если конечно же настрое преемтинг!

Синхронизируется:

Привет, Хабр! Меня зовут Мария Рачева, я ведущий аналитик процессов безопасной разработки в Swordfish Security.

На первый взгляд может казаться, что безопасная разработка — это лишние затраты. Но стоит багу прорваться в продакшн, и расходы растут сами собой. В этой статье мы сравним реальные цифры: сколько стоит защитить приложение на каждом этапе жизненного цикла и сколько обходится исправление последствий после инцидента.

С выходом интерфейса SD Express всё больше производителей начинают использовать его в своих устройствах. Nintendo Switch 2 — не исключение. Этот интерфейс позволяет запускать игры прямо с карты памяти за счёт значительно возросшей пропускной способности — спасибо PCIe. Но интересен он не только геймерам.

В этой статье я расскажу, как мы разработали новый адаптер для атаки DaMAgeCard, благодаря которому можно подключить NVMe-диск к новой приставке от Nintendo.

Когда компания привлекает внешних подрядчиков — разработчиков, интеграторов, маркетологов, хостинг-провайдеров, — она в 90% случаях делится с ними доступами и внутренними данными. И если у подрядчика произойдет утечка, по цепочке пострадает и заказчик.

Проблема в том, что полноценно провести аудит или пентест подрядчика обычно невозможно без его согласия. Но есть способы оценить уровень его цифровой гигиены по открытым источникам и снизить риски, не вмешиваясь в его инфраструктуру. Ниже — набор практик, которые реально работают.

Представьте: обычный вторник, и вдруг в корпоративном чате паника — CRM лежит, бухгалтерия не может отправить платежи, сайт не открывается. Где-то в серверной тихо погас светодиод на ключевом коммутаторе. Или, что хуже — весь ЦОД оказался в зоне коммунальной аварии. 

Но что еще хуже — вместе с частью инфраструктуры вышли из строя защитные решения, и появился риск получить вдобавок к аварии еще и кибератаку. Чтобы этот страшный сон не стал явью, инженеры придумали «подложить соломки» при помощи кластеризации.

Сегодня поговорим о том, как превратить точку отказа в отказоустойчивую систему на примере российского NGFW-решения UserGate. Разберем не только техническую сторону (протокол VRRP, режимы Active/Passive и Active/Active, синхронизацию сессий), но и практические моменты: сколько это стоит, как долго настраивать, какие подводные камни ждут на каждом этапе.

Статья будет полезна системным администраторам, которые планируют внедрение отказоустойчивого периметра, и техническим руководителям, которым нужно понимать, во что они ввязываются.

Хочу перенестись в нулевые, чтобы рассказать и показать, как работал ILOVEYOU. Для этого запускаю машину времени и рассказываю:

• Что бы случилось с моим компом в нулевые.
• Как вирус взломал 45 миллионов компьютеров?
• Почему Windows 2000 оказалась особенно уязвимой?
• Как автор избежал наказания?

Всем привет!

Сегодня любое развитие онлайн-бизнеса, его процессы и выручка напрямую зависят от бесперебойной работы сайтов и веб-приложений. Тут же возникает риск кражи персональных данных и чувствительной информации из хранилищ веб-сайтов и приложений. Еще хуже, если злоумышленники взломают онлайн-ресурс, а затем продолжат развитие атаки уже внутри инфраструктуры компании. Чтобы избежать кибератак, приводящим к потере прибыли и штрафам за утечки данных, нужно заняться защитой своих веб-приложений.

Чаще всего для защиты от атак на сайты и веб-приложения используют сервис WAF. Один нюанс – при подключении такого сервиса требуется грамотно рассчитать основной параметр емкости – Requests Per Second (RPS). Это нужно, чтобы WAF обладал емкостью, которой будет хватать для стабильной работы онлайн-ресурса, и при этом его владелец не переплачивал за лишние мощности. В этой статье мы расскажем, как рассчитать RPS четырьмя разными способами, чтобы успешно защитить свой онлайн-бизнес от хакеров.

Главная задача Deception-решений — выявить присутствие потенциальных злоумышленников в защищаемой сети и замедлить их продвижение путем направления на ненастоящие активы. Эти решения позволяют выявить атаку до того, как она достигнет реальных систем и нанесет ущерб.

В данной статье мы расскажем, что из себя представляет Deception, рассмотрим эффективность приманок и ловушек, а также протестируем их на специально подготовленных стендах.

В английском алфавите 26 букв. С учётом заглавных букв (+26) и цифр (+10) получается 62 символа. Это значит, что для взлома пароля длиной n символов, состоящего только из букв и цифр, злоумышленник должен перебрать комбинаций. Мы привыкли думать в терминах степеней десятки, поэтому, чтобы выразить это число как , воспользуемся формулой

Для пароля длиной символов , то есть вариантов перебора. В году примерно секунд. Для перебора с частотой один вариант в секунду потребуется 30 миллиардов лет. Ну или давайте более наукообразно: если ваш пароль будут ломать с частотой раз в секунду в течение вашей жизни, а вы с момента создания пароля и до гробовой доски хотите прожить 100 лет, то вероятность, что вас таки взломают равна . Кажется, этого более чем достаточно. Но не для сайта Expedia.com. Они считают, что пароль nr75eJ2GBp недостаточно надежный.

Что же они хотят? Минимум 12 символов с использованием специальных символов (+23 символа, итого 85). Получаем

Ещё раз напомню, что - это показатель десятки. Тогда -- это примерно 5 * 10^ 15 лет. 5 квадриллионов лет, если делать попытки раз в секунду. Я даже слова такого не знал. Давайте шутки ради поставим пароль VladimirPutin1952#. У таких серьёзных парней он точно не пройдёт.

Ах нет... сайт expedia доволен. Считает, что очень хороший, надёжный пароль. Этот пароль кстати проходит на всех сервисах, где я его опробовал, а не только на экспедии.

Исследователь Сэм Карри вместе с коллегами хорошо известен благодаря своим исследованиям безопасности корпоративной инфраструктуры. Зачастую он находит довольно простые ошибки, которые тем не менее представляют интерес, — скорее как пример максимально безалаберного подхода к безопасности. В сферу его исследований часто попадают компании из автоиндустрии (пример 1, пример 2). Детали еще одного исследования по этой теме были обнародованы на прошлой неделе: вместе с коллегами Иэном Кэрроллом и Галем Нагли Карри нашел грандиозную дыру в веб-портале Международной автомобильной федерации (FIA).

FIA участвует в организации не только «Формулы-1», но и множества других автоспортивных мероприятий. Для работы с участниками соревнований предусмотрен специальный веб-портал. Ввиду большого количества различных спортивных состязаний зарегистрироваться на нем может любой желающий. После создания учетной записи следует довольно сложный процесс регистрации, в ходе которого требуется предоставить множество данных о себе и загрузить подтверждающие документы. После создания учетной записи исследователи начали анализировать процесс обмена информацией с сервером. Они обратили внимание, что в ответ на обновление данных о собственной учетке сервер дает чуть больше информации, чем было предоставлено пользователем.

Многие люди смутно представляют, что у финансовых институтов есть обязанность соблюдать Know Your Customer (KYC) и иметь программы AML (anti-moneylaundering), но что это означает на самом деле? Рад, что вы спросили.

С ними всё… сложно и запутанно, из-за чего у многих (внутри и вне этой отрасли) сложилось ошибочное впечатление об их уровнях широты и строгости. Кроме того, они достигают своих целей не самым очевидным образом, во многих отношениях нарушая наши ожидания о том, как работают законы в целом.

Обсуждать выбор политик без комментариев невозможно, поэтому для начала я должен дать некоторые объяснения. Когда-то я работал в Stripe, и, разумеется, проходил обязательное обучение комплаенсу. В статье я буду говорить только от своего лица и откровенно расскажу, какой не может быть культура отделов комплаенса и по каким причинам.

Работоспособность любого приложения может быть подвержена угрозам: от сбоев в работе до кражи персональных данных. С этими рисками следует работать через регулярные и комплексные проверки кода на уязвимости, которые должны быть полностью автоматизированными. 

Несмотря на то, что тема актуальная, в интернете до сих пор сложно найти практические примеры, которые бы позволили построить независимый конвейер, не привязанный к системе контроля версий.

Меня зовут Алексей Исламов, я администратор СИБ в Точка Банк. В статье предлагаю готовый вариант реализации такой системы из open‑source инструментов, которым может воспользоваться каждый.