Информационная безопасность

Когда говорят о балансировщике нагрузки, чаще всего имеют в виду распределение трафика между серверами. Но в реальной инфраструктуре его ключевая роль проявляется в другом — в способности системы продолжать работать, когда что-то ломается. Причём ломаться может всё: отдельные серверы, сервисы, целые дата-центры.

В этой статье разбираем, как балансировщик становится точкой принятия решений в сценариях отказоустойчивости — от health checks до переключения между ЦОД — и почему без этих механизмов одной «балансировки» недостаточно.

Самая опасная угроза — внутри

В массовом представлении угроз информационной безопасности главным врагом остаётся внешний хакер. Однако многолетняя практика эксплуатации корпоративных ИТ‑систем показывает более неприятную реальность.

Привет! Меня зовут Денис, я руковожу группой мониторинга и анализа инцидентов информационной безопасности. Мы отслеживаем события в инфраструктуре, ищем подозрительную активность, расследуем инциденты, взаимодействуем с внешним SOC и помогаем сотрудникам разбираться с вопросами киберграмотности.

За последние пару лет стало особенно заметно: атаки меняются быстрее, чем процессы защиты успевают адаптироваться. Они становятся дешевле, масштабнее и доступнее — во многом за счет ИИ.

В этой статье разбираю, какие именно изменения привнес ИИ в атаки, почему классическая модель защиты начинает давать сбои и где ИИ в защите действительно приносит практическую пользу.

Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще одну трендовую уязвимость. Подробности о ней читайте под катом.

Привет, Хабр!

Ну вот вы ставите Яндекс Go, жмёте «Разрешить» на всё подряд — микрофон, контакты, местоположение. Такси же, надо. А потом выясняется, что приложение лезет в буфер обмена. 16 раз в разных местах кода. Зачем такси буфер обмена — я так и не понял.

Короче, я взял семь популярных Android-приложений и разобрал их по косточкам. SAST, реверс-инжиниринг, декомпиляция DEX, разбор манифестов, ковыряние в нативных библиотеках. Под раздачу попали: Яндекс Go, Карты, Музыка, Пэй, Телемост, Mir Pay и мессенджер МАКС (бывший ICQ New / VK Messenger).

Спойлер: один мессенджер умеет распознавать ключевые слова прямо в аудиопотоке звонков. Не метаданные, не «кто кому звонил» — а именно слова.

<cut/>

Привет, Хабр! На связи команда UserGate uFactor и я, Иван Князев!

Угрозы для устройств на базе Android хорошо изучены, но вместе с тем вариантов их реализации становится всё больше. Если ранее злоумышленники делали акцент на сложный функционал и полный контроль над устройством, то сегодня они всё чаще выбирают облегчённые версии, которые проще распространять и сложнее детектировать.

Лето 2024 года. Народной артистке звонит «сотрудник ФСБ» и взволнованным голосом сообщает: ее счета взломаны, деньги вот-вот уйдут мошенникам, но есть способ все спасти. Для этого нужно срочно продать квартиру в рамках спецоперации. Знакомая история? Скорее всего, вы уже догадались, чем она закончилась. Но давайте посмотрим на нее не как на светскую хронику, а как на идеально выстроенную многоходовую операцию с использованием методов социальной инженерии.

В статье разберем дело Ларисы Долиной под микроскопом ИБ, покажем, какие еще цифровые схемы существуют, и дадим инструкцию по защите.

Привет, Хабр! Меня зовут Артём Чуйков, я инженер компании Innostage — первого кибериспытанного интегратора сервисов и решений в области цифровой безопасности. Я занимаюсь внедрением межсетевых экранов на промышленных предприятиях, и сегодня хочу поделиться практическим опытом.

Ни для кого не секрет, что злоумышленники постоянно пытаются атаковать наши киберрубежи. Успешная атака на офисную сеть приводит к утечкам данных, зашифрованным дискам, потерянным деньгам и репутации. Как правило, такой ущерб можно компенсировать: восстановить данные, вернуть инфраструктуру в рабочее состояние, извиниться перед клиентами и контрагентами.

Однако успешная атака на автоматизированные системы управления технологическими процессами — это уже совсем другая история. Это обесточенные города, остановленные производства, потенциальные техногенные катастрофы. Представьте, к примеру, атомную электростанцию, управлять которой могут злоумышленники, получившие нелегитимный доступ.

Именно поэтому внедрение систем обеспечения информационной безопасности позволяет эффективно противостоять подобным угрозам.

Для объектов критической информационной инфраструктуры внедрение СОИБ является не просто рекомендацией, а требованием регуляторов — ФСТЭК, ФСБ, а также стандартов, таких как ГОСТ Р ИСО/МЭК 27 001 и других.

За нами кто‑то следит!
Вот ты занят своим делом, и тебе звонят с предложением купить недвижимость во Владивостоке, а ты даже не понял, откуда у них твой номер. Как вообще они о тебе узнали?

Т.е. с одной стороны РКН вводит огромные штрафы за утечку персональных данных, а с другой — постоянно идут звонки с предложениями, хотя ты своих контактов не оставлял, и разрешения на перезвон не давал.

Внутри:
— 4 метода слива наших телефонов
— Как и кому сливаются сайты (домены) которые мы посещаем
— Как сливаются входящие и исходящие на наш номер телефона
и как с этим бороться.

Чем должен заканчиваться пилот по кибербезопасности — покупкой? В идеале да. Но на практике он часто заканчивается неопределённостью: не из‑за плохого продукта или пустого бюджета, а потому что непонятно, как вообще оценивать результат. Достаточно ли показанных характеристик для реальной защиты? Не начнёт ли система «тормозить» сервисы под боевой нагрузкой? Насколько комфортной будет долгосрочная эксплуатация? На примере межсетевого экрана веб‑приложений (WAF) разберем, по каким критериям можно оценить пилот и на что смотреть заказчику в отчетах по пилоту, чтобы было проще принять решение о покупке.

За последние два‑три года компании в РФ перестали относиться к ИИ как к «чудо машине» и начали встраивать его в рабочие процессы: от помощи специалистам контакт‑центров в чатах с клиентами и «серым» помощникам разработчиков до написания полноценных продуктов. Если раньше нельзя было сказать, что ты использовал ИИ для задачи, так как тебя закидают помидорами, сегодня — этот навык must have для каждого. В этой статье речь пойдет о безопасной разработке с использованием генеративных ИИ. Крупные опросы и отчёты фиксируют одинаковую картину: большинство организаций уже экспериментируют с LLM‑системами или планируют их внедрение, в том числе в зонах, где раньше работали только люди или классические скрипты.

Традиционные метрики вроде CVSS и EPSS не всегда отражают реальный риск эксплуатации уязвимостей. В статье разбирается, как каталог CISA KEV закрывает этот пробел, предоставляя прямой сигнал о факте атак «в дикой природе». Показано, как использовать KEV в SCA-практике для приоритизации уязвимостей, какие ограничения у подхода существуют и как его интеграция позволяет сократить шум, ускорить реакцию и сфокусироваться на действительно эксплуатируемых угрозах.

Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП)

На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. 

И каждый из них добавляет определенный набор требований:

- где и как проверять сертификаты;

- как организовать доверие к удостоверяющим центрам;

- как встроить УКЭП в веб-приложения;

- как обеспечить масштабирование и эксплуатацию;

- как работать с разными типами клиентов и устройств.

В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.

Однажды я получил занимательное письмо от некой организации, которая добавила мой проект в свой рейтинг, да еще и метрики к нему прикрутила. Но мне стало интересно, какая у нее репутация.

Недавно наткнулся на расширение Page Locker в Chrome Web Store. По описанию — всё безобидно: блокировка страниц, размытие контента, защита по PIN/таймеру. Типичный productivity/security тул.

Но при разборе кода оказалось, что внутри есть поведение, которое с заявленным функционалом вообще не связано.

Разберёмся.

Когда мои сайты положили DDoS-атакой, я не смог нормально воспользоваться бесплатной защитой CloudFlare. Из-за ограничений со стороны РКН часть его подсетей в России заблокирована у многих интернет-провайдеров, включая мобильных операторов.

Чтобы не потерять российских пользователей, пришлось срочно переходить на российское решение и платить за проксирование трафика. Цена вопроса — десятки тысяч рублей в месяц всего за два домена. И это за минимальный, самый дешевый тариф. Из-за этого я сильно сгорел, потому что на CloudFlare я бы отбился бесплатно. А теперь — ежемесячный, неприятный для меня счет, потому что альтернатив просто нет.

Но самое интересное на мой взгляд произошло дальше. Пытаясь разобраться, кто и как организовывает DDoS-атаки в 2026 году, я обнаружил массу специализрованных сервисов: так называемых DDoS-стрессеров — сервисов, где можно запустить атаку на любой ресурс в пару кликов за небольшие деньги.

Пока в мире с такими незаконными сервисами борются, проводя крупные международные операции вроде Operation PowerOFF, в России — из-за необъяснимой лояльности ряда крупных компаний — они чувствуют себя вполне комфортно.

Чем закончилось мое взаимодействие с этими компаниями, предоставляющими инфраструктуру DDoS-стрессерам, в попытке прекратить их работу — вы узнаете в этом материале.

15 апреля 2026 года Pragmata, новый sci-fi экшен от Capcom, появилась на пиратских ресурсах. Игра официально вышла 17 апреля. Платящие клиенты ждали разблокировки в Steam, а пираты уже бегали по лунной станции. Денуво, который должен был защитить хотя бы первые недели — самые продажные дни, ради которых эту защиту и покупают — пробит через hypervisor bypass от команды DenuvOwO. И это не аномалия: с декабря 2025-го Denuvo проигрывает каждую неделю. Persona 5 Royal, Borderlands 4, Resident Evil: Requiem, Crimson Desert, теперь Pragmata.

Под капотом — модифицированный open-source отладчик HyperDbg, EfiGuard как UEFI-bootkit, патчинг PatchGuard через паттерн-матчинг Zydis, спуфинг CPUID и KUSER_SHARED_DATA через EPT. Технически — kernel rootkit, юридически — пакет «play & restore» из закрытого Telegram-канала. Денуво живёт в Ring 3, обход — в Ring -1, между ними четыре уровня привилегий: detection из user-mode принципиально невозможен.

В статье разбираю шесть слоёв защиты, которые приходится снять, чтобы загрузить пиратский гипервизор: Secure Boot, PatchGuard, DSE, CPUID/RDTSC, KUSER_SHARED_DATA, Steam ownership. Что держит — HVCI. Что может сделать Irdeto и почему все варианты плохи. И на закуску — voices38, который через 40 дней после релиза Resident Evil: Requiem опубликовал классический crack: +5% FPS и работа под Proton на Linux, чего hypervisor-метод никогда не умел.

Привет, Хабр! Меня зовут Данил Зарипов, я занимаюсь продуктовой экспертизой в Positive Technologies. Эту статью мне помог подготовить мой коллега Кирилл Маслов — наш эксперт по направлению Asset Management. Мы решили не искать лёгких путей и выбрали тему, которая большинству из вас хорошо знакома. Казалось бы, что нового можно сказать про домены, пусть и с точки зрения безопасности? 

Для атакующего захват домена — это фактически победа. Получив контроль над контроллером домена, злоумышленник получает доступ ко всем учетным записям, компьютерам, групповым политикам и доверительным отношениям, а дальше дело техники: найти учетки бухгалтеров и топ-менеджеров, переключиться на их машины, читать почту, копировать документы. Это самые безобидные последствия.

Как это часто бывает в информационной безопасности, самое знакомое скрывает множество нюансов. Давайте разбираться!

Cursor — AI-powered IDE на базе VS Code, которая обрабатывает миллионы строк кода разработчиков через свои серверы. Когда я задумался о безопасности этого продукта, возник вопрос: насколько надёжна серверная модель авторизации, которая стоит между бесплатным пользователем и Claude 4 Opus?

Геопространственная разведка (GEOINT) привлекает все больший интерес и внимание широкой общественности. Действительно, способность синтезировать сложные ситуации в визуальных представлениях позволяет ей напрямую охватить большую аудиторию

— В этой статье мы разберёмся с GEOINT и покажем, что подобные исследования доступны каждому