Информационная безопасность

Тревожная тенденция, о которой заговорил даже Дуров. О том, как работает цензура на Западе, В Китае и США, не касаясь России.

Привет, Хабр. С вами AdminFuture.

Давайте представим себе худший кошмар любого SRE-инженера или CISO. Пятница, вторая половина дня. Нагрузка на систему достигает пика, и в этот самый момент основной узел кластера вашей критически важной СУБД начинает сбоить. Автоматика запускает процедуру failover. Системы напряжены, инженеры наготове, но в целом ситуация под контролем — к такому вы готовились. Но именно в этот момент, в окне уязвимости, когда внутренние сервисы перестраивают сетевые маршруты, а часть проверок безопасности временно ослаблена, ваша система мониторинга безопасности взрывается алертами. На один из внутренних API, который стал доступен во время переключения, началась целенаправленная атака.

Это не голливудский сценарий. Это «идеальный шторм» — комбинация инфраструктурного сбоя и кибератаки, которая становится все более реальной угрозой для современных сложных систем.¹ И самое опасное здесь то, что мы почти никогда не готовимся к таким комбинированным событиям.

Наши подходы к обеспечению отказоустойчивости и безопасности работают в параллельных вселенных. С одной стороны, у нас есть Chaos Engineering — дисциплина, которая учит нас готовиться к отказам инфраструктуры. Мы научились виртуозно «убивать» поды, вносить сетевые задержки и перегружать CPU, чтобы убедиться, что система выстоит.³ С другой стороны, есть Red Teaming — практика эмуляции действий злоумышленников, которая проверяет наши защитные бастионы на прочность с помощью таких фреймворков, как Atomic Red Team

Стремительное развитие цифровизации и рост онлайн-угроз по всему миру ставят перед правительствами вопрос о необходимости контроля и идентификации пользователей. Пока в Европе тестируют цифровые удостоверения личности и возрастные ограничения для соцсетей, а Китай запустил национальный цифровой ID, в России также активизировалась дискуссия о деанонимизации.

Недавно вышел пост от Алексея Лукацкого, где затронул тему того как можно в нынешних условиях развиваться в сфере ИБ. Во многом я с ним согласен, но есть некоторые моменты которые я бы хотел подправить или раскрыть чуть сильнее. Важно понимать что разница между нам в том, что Алексей как он сам сказал окончил вуз 30 лет назад, долгое время работает и хоть и находится долгое время на острие профессии, но все же в моментах может быть далек о того пути что должен пройти студент по специальности иб до практикующего специалиста.

Это все лирика.

Часто спрашивают, с чего начать в информационной безопасности. Отвечу сразу: пройдя путь от студента до практикующего специалиста, я не могу дать однозначного ответа. И это хорошая новость!

Задание "Watcher" начинается с сервера Zabbix. Воспользуемся уязвимостью CVE-2024-22120 (слепая SQL инъекция), чтобы украсть сессию администратора и получить удалённое выполнение команд (RCE). Затем зайдем как администратор и найдем пользователя, который входит каждый минуту, обновим исходный код PHP файла аутентификации таким образом, чтобы все учетные данные сохранялись в файл. Полученные учетные данные подойдут для локального TeamCity, куда мы сможем зайти как администратор и злоупотребить конвейером сборки для исполнения команд от имени суперпользователя (root).

Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 

Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном мессенджере» MAX, отчёты закрываются как «дубликаты» без доказательств с подменой понятий, искажением фактов (и даже манипуляциями по искусственному созданию "дубликатов"), а правила меняются постфактум..

Что остаётся делать этичному хакеру, когда внутренние каналы арбитража исчерпаны и нет внешних, и почему в России у белого хакера - нет прав.

Пятница. Вспомнился эпизод из сериала, где ФБР врывается в офис, чтобы изьять у Главного героя флешку с секретными файлами, а он судорожно пытается всё стереть на ней.

А что, если решить задачу иначе?

(дисклеймер: всё ниженаписанное - сляпано тяп-ляп, в рамках теоретического решения задачи, и непригодно к продакшену)

В этой статье вы узнаете, как с помощью инструментов разработчика изучать сетевые запросы, анализировать аутентификацию через cookies и заголовки, а также как использовать эти данные для извлечения информации с сайта.

В Центре исследования киберугроз Solar 4RAYS работают эксперты в сферах Threat Intelligence, DFIR, Threat Hunting и наступательной кибербезопасности. Они освещают темную сторону: обнаруживают ранее неизвестные профессиональные группировки, описывают новое ВПО, расследуют сложные атаки и делятся информацией с профессиональным сообществом в своих отчетах и блогах.

Уже в декабре «Солар» открывает новичкам возможность присоединиться к этой команде и начать карьеру в Threat Intelligence сразу с интересных и полезных для отрасли задач. Заявки на стажировку принимаем до 10 ноября.

Всем привет! Меня зовут Ян, я старший специалист по пентестам в компании Xilant. Сегодня предлагаю вместе разобраться с довольно сложным CTF-заданием, посвящённому слепой LDAP-инъекции (Blind LDAP Injection).

Оно будет особенно интересным, ведь его смогли решить всего около 50 человек из примерно 500. Мне удалось получить флаг одним из первых десяти участников — за 2 часа, причём без глубокого опыта работы с LDAP протоколами.

Решение и код лежат также на моём Github (ни один чат-бот не пострадал).

К 2025 году в мире искусственного интеллекта уже больше нормативных документов, чем рабочих моделей. США публикуют руководства для безопасного использования LLM, Европа принимает AI Act, в ОАЭ и Сингапуре появляются свои принципы ответственного ИИ. Россия тоже не стоит в стороне и нормативные требования активно у нас разрабатываются.

Уже действующие и готовящиеся нормы ЕС, США, Китая и России требуют от ИБ не просто контроля моделей, но и полноформатного аудита, документирования и управления реальными угрозами.

Мы в HiveTrace внимательно следим за этой эволюцией из практической необходимости: от того, как быстро и в каком направлении будет развиваться регуляторика, зависит, какие функции мы добавим в продукт завтра.

Больше восьми лет я работал backend‑разработчиком. Мы создавали веб‑приложения для автоматизации логистики и закупок. Команда росла, процессы крепли. Всё было правильно и красиво: CI/CD, код‑ревью, споры о чистоте архитектуры и идеальном нейминге. Мир был прост, предсказуем и казалось, что так будет всегда.

Но однажды утром всё изменилось.

Hack Time, Хабр!

На днях мне на глаза попалось громкое расследование Dmytro Tarasenko (он же iTaysonLab).

Именно он провёл декомпиляцию APK нового приложения "Telega", выявил связи с инфраструктурой VK, Catogram и сделал публичную публикацию подробностей на Telegram-канале BruhCollective.

Коллеги вскрыли множество тревожных фактов, но мне, как любителю копаться в кишках приложений, захотелось пойти дальше, подтвердить их находки и найти то, что ускользнуло от динамического анализа.

Я решил провести полный статический анализ APK, выполнив деобфускацию кода, чтобы составить максимально полную и технически подкрепленную картину.
Что же на самом деле скрывается за обещаниями «улучшенного» Telegram?

Давайте посмотрим.

Спойлер: небезопасно, неконфиденциально, но чертовски интересно. Поехали!

Всем привет!

Специалисты Angara MTDR выявили и исследовали новую волну кибермошенничества с установкой вредоносных приложений на телефон. В этот раз злоумышленники предлагают получить бонус от банка и предоставить доступ к своему телефону. Сегодня Александр Гантимуров, руководитель направления обратной разработки Angara Security расскажет, как это выглядит со стороны пользователя, чем грозит и как это работает внутри.

Введение

В настоящее время банковский сектор остается одной из наиболее привлекательных целей для злоумышленников, в связи с чем банки и их клиенты постоянно сталкиваются с различными угрозами. Одна из таких угроз — вредоносное программное обеспечение (ВПО). Атаки с использованием ВПО могут проводиться при помощи рассылок в мессенджерах, SMS-сообщениях, по электронной почте, а также при помощи фишинговых сайтов, схожих с официальными банковскими ресурсами, где жертв под различными предлогами убеждают установить «официальное» приложение.

В результате установки такого приложения на устройство пользователя внедряется вредоносная программа. Она может позволить злоумышленникам не только украсть личные данные и денежные средства со счета, но и получить полный доступ к управлению устройством. Так, по данным Банка России, в 2024 году атаки на клиентов финансовых организаций в 58% случаев проводились при помощи фишинговых ресурсов, на которых в том числе распространялось и вредоносное программное обеспечение.

В последнее время был зафиксирован всплеск активности сайтов, на которых клиентам предлагали принять участие в опросе об удовлетворенности работой и услугами определенных банков. За прохождение подобного опроса пользователям обещали денежное вознаграждение в размере 6 тыс. руб.

И сразу отвечу на вопрос, зачем это вообще может понадобиться. 

Есть четыре типовых ситуации:

1. Вы или проходите собеседование, или уже вышли на новую работу. Если собеседуетесь — то хорошо бы понять, насколько вы вообще готовы ввязаться в происходящее и чем оно может вам грозить. Если же уже вышли на работу — значит, в ближайший квартал от вас будут ждать какого-то результата, и вам надо не распыляться на все сразу, а найти точку приложения своих усилий, чтобы решить какую-нибудь проблему, показать результат и доказать руководителю свою ценность.

2. Участие в due diligence. Ваша компания планирует покупку стороннего бизнеса. Тут аудит нужен для того, чтобы не повестись сходу на красивые продающие слова и не купить кота в мешке. С большой вероятностью, техническая сторона при объединении бизнесов может оказаться в вашей зоне ответственности, и нужно понимать, чем это грозит.

3. У вас попросили консультацию — на профессиональной основе или в формате помощи другу.

4. Вы не собираетесь ни на новую работу, ни покупать чей-то бизнес — вам просто кажется, что у вас сейчас на работе что-то идёт не так, и вы хотите всё оценить и понять, что именно.

В этой статье я расскажу, как адекватно и полноценно оценить состояние разработки. Меня зовут Андрей Бирюков, в разработке я 25 лет — начинал как разработчик, сейчас руковожу разработкой и клиентскими сервисами в InfoWatch. С этой темой я выступал на CTO conf, теперь подготовил для вас текстовую версию.

Несмотря на блокировку функции звонков в Telegram и WhatsApp, именно они остаются основным средством общения в России у людей практически всех возрастов. Большинство все равно продолжают использовать привычные платформы, пусть и в ограниченном режиме. Да, стало менее удобно, но возможность переписываться и потреблять контент, публикуемый в каналах, никуда не делась. Однако 21 октября произошло то, во что верить очень не хотелось: WhatsApp и Telegram начали блокировать. Нет, это не просто пугалка, а реально подтвержденный факт. Правда, сначала это было совсем неочевидно. Но обо всем по порядку.

Базы данных превращаются в «открытую книгу», когда конфиденциальная информация из них становится доступна злоумышленникам или широкой публике из-за утечек. К сожалению, 2024-2025 годы принесли множество таких утечек – в самых разных отраслях. Согласно данным Роскомнадзора, только в России за 2024 год было зафиксировано 135 утечек баз данных, затронувших более 710 млн записей о россиянах. Лидерами по количеству утечек стали торговый сектор и государственные организации. В мире тенденция схожая: глобально число утечек и скомпрометированных записей бьёт рекорды. В этой статье будут разобраны недавние громкие кейсы утечек по секторам (энергетика, госсектор, e-commerce и др.), проанализируем технические причины: от открытых портов NoSQL и слитых резервных копий до уязвимых CI/CD-пайплайнов, а также практические рекомендации, как не допустить, чтобы ваша база данных стала общедоступной библиотекой. Мы в Security Vision также рассматриваем эти задачи как ключевые в разработке решений нового поколения, в том числе в области автоматизации защиты баз данных и безопасной разработки.

Представьте: утро 29 июля 2025 года, аэропорты по всей России в хаосе. Крупная российская авиакомпания вынуждена отменить десятки рейсов, в основном внутренних, из-за мощной кибератаки. Системы бронирования и управления полетами парализованы, пассажиры в панике, а компания теряет миллионы. Это не сценарий из фильма, а реальный инцидент, где хакеры продемонстрировали, насколько хрупка ИТ-инфраструктура даже у гигантов авиации.  Этот пример показывает, насколько важно иметь комплексный план реагирования и резервного копирования, чтобы минимизировать последствия подобных атак. Такие события напоминают: в эпоху, когда данные — это кровь бизнеса, отсутствие надежного плана на случай сбоя может стоить не только денег, но и репутации. Подобные атаки становятся ярким уроком, подчеркивающим, что без продуманного резервного копирования восстановление превращается в марафон, а не в спринт.

Хабр, всем привет! Меня зовут Никита Полосухин, я старший системный аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. Сегодня хочу продолжить нашу историю об открытии новых (новых ли?) плохих парней (и, вероятно, девушек), которые очень любят взламывать российские компании.

В июне мы рассказали о группировке Cloaked Shadow, которая характеризовалась обширным инструментарием, продвинутыми методами сокрытия и в целом высоким техническим уровнем. После этого мы получили возможность собрать и проанализировать новые данные и ранее не встречавшиеся образцы вредоносного программного обеспечения (ВПО), что помогло сделать много интересных выводов. Добро пожаловать под кат.

Привет! Меня зовут Лиза — я аналитик по информационной безопасности в направлении внедрения Naumen Contact Center. В Naumen я работаю около трех лет.

Одна из важных задач, с которой мне постоянно приходится сталкиваться — проработка решений по регистрации событий информационной безопасности и интеграция с SIEM‑системами заказчика. В этой статье мой личный опыт с примерами реальных кейсов и нормативных документов, с которыми сталкиваюсь.