Информационная безопасность

Привет! Текст подготовлен на основе выступления Александра Сербула, руководителя больших данных, высоконагруженных систем и машинного обучения, «1С-Битрикс» на форуме ITSEC 2025.

Работая с самыми разными заказчиками, в разных компаниях и на разных должностях, я видел массу нарушений ИБ. Например, новый сотрудник подписывает NDA, но при этом сервера в компании не обновляются годами, а разработчики используют права root-пользователя. Безопасник не может оценить написанный код, потому что не знает языка программирования. И это не говоря уже о типичном отсутствии антивируса на рабочих местах, отсутствии ротации паролей и двухфакторной авторизации. 

В этой статье я расскажу о том, как мы видим безопасность изнутри проекта, какие шаги предпринимаем при быстрой разработке — мы выпускаем два релиза в год, каждый проект запускается за 3-5 месяцев, поэтому у нас нет времени на проектирование, написание и согласование ТЗ. И на долгие проверки кода безопасниками времени тоже нет. Тем не менее, нам удается поддерживать высокое качество и безопасность проектов и мы поделимся своими секретами в статье.

Рассказывать буду на примере продукта, в создании которого я принимал непосредственное участие и как архитектор, и как разработчик. Это BI-конструктор, популярный продукт в Битрикс24, доступный десяткам тысяч коммерческих компаний. 

Для начала расскажу о самых частых проблемах безопасности, приведу примеры решений и покажу роль контейнеров в них.

Проблема 1: ИБ отстает от разработки 

На коротких проектах или в стартапах разработчики пишут код очень быстро и используют максимум готовых решений. Но ИБ-специалисту требуются недели, чтобы этот код проверить. Специалист по безопасности может не знать языка программирования, на котором написан код или в принципе не готов изучать новые технологии, например, Kubernetes. Парадоксальный пример — я пишу в основном на Rust, это хороший язык, он позволяет безопасно работать с памятью. Но в ИБ его знают единицы. А разработчики в результате сталкиваются с ситуациями, когда безопасник обращается к нейронным сетям за помощью в проверке незнакомого кода. 

Учимся создавать агентов для пентеста с использованием React агента от LangGraph.

Моя цель — создать AI-агентов, которые помогут автоматизировать часть задач, выполняемых в рамках пентеста.

Для стартового проекта я решил создать агента, который умеет анализировать JavaScript файлы, находить скрытые API эндпоинты и проверять их на потенциальные уязвимости.

Выбор фреймворка

В качестве фреймворка я выбрал LangGraph, потому что я уже завершил LangGraph Academy и хорошо понял его. Он популярен, хорошо документирован и есть множество примеров его использования, поэтому начать лучше всего именно с него.

До этого мой опыт ограничивался простыми LLM-воркфлоу и связыванием нескольких вызовов. Я все еще не понимал как спроектировать AI-агента, который мог бы «думать» самостоятельно и использовать правильные инструменты.

Все изменилось, когда я наткнулся на статью Аншумана Бхартии, которая познакомила меня с ReAct агентом в LangGraph. ReAct расшифровывается как Reasoning + Acting ( оригинальная статья ). Этот подход позволяет агенту использовать инструменты, анализировать результаты и циклически проходить шаги до достижения цели. Метод показался мне достаточно простым для реализации, и я решил построить на его основе свой проект.

Многое в моей работе основано на его наработках, за что я выражаю благодарность. В дальнейшем я планирую развивать эту концепцию самостоятельно.

Настройка уязвимого приложения

Чтобы протестировать своего агента, я создал уязвимое веб-приложение с помощью Python Flask. Внешне приложение выглядит простым, но его исходный код содержит JavaScript файл с несколькими скрытыми API эндпоинтами.

Это продолжение статей «161-ФЗ и апелляция на Bybit: как я победил треугола» и «Блеск и ад p2p-торговли на Bybit». В этой статье герой интервью расскажет о конкретных деталях работы 161‑ФЗ на практике, о том, как он живёт под его действием и как пытается выбраться из-под него.

Современное образование безопасной разработке выглядит крайне уныло:

Баги старых годов оторванные от реальности, лабораторные на которые везде можно найти прохождение. Уявзимости появляются крайне быстро а делать под них стенды крайне дорого и долго. Сегодня расскажу как решаем эту проблему

Некоторое время назад на Reddit завирусилась эта фотография. Это сравнение пальца шимпанзе и пальца человека. Она подтверждает, что отпечатки пальцев — наше древнее эволюционное приобретение. Узоры на пальцах действительно являются уникальным биометрическим идентификатором не только у человека, но и у горилл, и шимпанзе. Отпечатки пальцев как биометрический идентификатор привлекли внимание чиновников и криминалистов Британской империи в середине 19 века. Систематическое изучение узоров на подушечках пальцев (дактилоскопия) развивается с конца 19 века, когда количество жителей в мегаполисах, частота и плотность совершаемых преступлений способствовали развитию дактилоскопии как одной из первых областей «больших данных». В тот же период (1880-е годы) развивалась альтернативная техника под названием «бертильонаж», изобретённая французским юристом Альфонсом Бертильоном (1853 — 1914). Бертильонаж был прототипом биометрии, и в таком качестве сейчас даже возрождается, но в своё время проиграл дактилоскопии по практичности, точности и информационной ёмкости. Но сколько времени существует дактилоскопия — столько времени предпринимаются попытки в принципе избавиться от отпечатков пальцев, как хирургическими, так и химическими методами. Об этом мы расскажем в статье.

Исследователи информационной безопасности и охотники за багами часто сталкиваются с трудностью перехвата трафика приложений на Flutter, поскольку эта технология не поддерживает системные настройки прокси. В данном материале я расскажу, каким образом я обошел данное ограничение.

Название приложения будет скрыто, допустим, приложение называется XYZ.

Настроив Burp Suite прокси на телефоне / эмуляторе и попытавшись перехватить трафик приложения, я не добился никаких результатов.

Всем привет! Сегодня мы поговорим о том, как использовать Google Таблицы в одной из фундаментальных задач в OSINT — поиск по никнейму.

Как вы уже знаете, Google Таблицы — это мощный инструмент, который допускает гибкую настройку под широкий спектр задач. С его помощью мы можем автоматизировать и анализ никнеймов: от проверки соцсетей и электронных почт до анализа активности на найденных страницах и подтягивания данных из веб-архивов. За подробностями добро пожаловать под кат!

Привет!

Ко дню программиста мы с коллегами из TrueConf предлагали вам пройти небольшой ИБ-опрос. Целиком форму заполнили 106 человек, теперь же, как обещали — сводная статистика.

Как нас попытались «положить» при запуске: история одного DDoS

Всем привет Мы — команда разработки ии‑ассистента для поиска работы, это третья статья, посвященная нашему продукту.

Я уже писал о внутрянке продуктовой и технической части, поэтому сегодня решил поделиться кейсом нашего третьего запуска, когда нас атаковали хакеры..

Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили 3 трендовые уязвимости.

Интернет‑провайдер работает в условиях, где сбой в инфраструктуре или успешная атака могут обернуться не просто потерей клиентов, а остановкой критичных сервисов для целых регионов. Поэтому подход «поставим пару фильтров и сделаем бэкап» давно не работает. На первый план выходит системная работа по обеспечению непрерывности бизнеса (BCM) и киберустойчивости. Это и проектирование сетей, и резервирование каналов до интеграции SOC, и импортонезависимые средства защиты.

В этой статье разберём ключевые стратегии и технологии, которые позволяют провайдерам держать сервис «на плаву».

В этой статье мы узнаем, что такое chains of gadget, и рассмотрим на примерах (с картинками), как неаккуратная десериализация через нативные Java механизмы может привести к удалённому выполнению кода.

Всем привет. Меня зовут Аня (SavAnna) я работаю AppSec и как хобби занимаюсь багбаунти. Багбаунти - отличный способ отдохнуть от своих сервисов и сменить фокус с "защиты" на "нападение". Не всегда баги ищутся целенаправленно - иногда это происходит случайно. Хочу показать, что много странных и простых багов может найти каждый.

Прямой проброс RDP — это не «немного рискованно», а осознанный выбор в пользу уязвимости. А что часто публикуют таким образом? — Серверы баз данных, — Системы видеонаблюдения, — RDP для «админов из дома».

Приветствую,

Пока Хабр заполоняют новости от его "замечательной" информационной службы о выходе каждой новой версии какого-то noname софта, которым пользуется полтора, а то и даже два землекопа, я подумал: "а чем я хуже?" и решил написать о своём новом проекте - о загрузчике SNES ромов и нормальном (!) процессорном модуле WD65816 для IDA Pro. Может быть, он будет даже полезен какому-то количеству людей. Создавался проект в помощь тем, кто хотел или уже пытался реверсить SNES ромы в Иде, но у него ничего не получалось.

Что-то очень много вопросов про согласие и его оформление задают мне в последнее время. Поэтому решил написать много текста в виде максимально развернутого ответа на эту тему. Надеюсь кому-то поможет разобраться в теме. Так что наливаем чай или кофе, и приступаем :-)

Привет, Хабр!

На связи Артемий Новожилов, архитектор систем ИБ и автор ТГ-канала Data Security и Дмитрий Ларин, руководитель продуктового направления по защите баз данных, компания «Гарда». С нами вы могли познакомиться по таким статьям как маскирование и Apache Kafka. И сегодня мы хотим продолжить тему маскирования данных.

Современные компании обрабатывают огромные объемы конфиденциальных данных: персональные данные (как сотрудников, так и партнеров и клиентов), информацию о клиентах и их заказах, финансовые и бухгалтерские сведения, данные, относящиеся к коммерческой тайне и интеллектуальной собственности, а также технические настройки и доступы. В связи с этим возникают повышенные риски утечки данных, сложности с соблюдением требований законодательства (например, ФЗ-152 и GDPR), угроза инсайдерских атак, а для тестов или аналитики приходится создавать отдельные копии баз данных (БД).

Один из эффективных способов защиты данных – динамическое маскирование (Dynamic Data Masking, DDM).

В современной корпоративной среде системы управления идентификацией и доступом (IDM) перестали быть просто инструментом информационной безопасности, превратившись в важный элемент выстраивания бизнес-процессов в компаниях. За последние 12 лет мне довелось участвовать в реализации более тридцати проектов внедрения таких систем в организациях различного масштаба и отраслевой принадлежности. Этот опыт позволил оценить значимость выстраивания стратегии внедрения с учетом целей и задач заказчиков.

В этой статье я кратко расскажу о современных тенденциях в области внедрения IDM-систем и рассмотрю основные подходы, которые применяются в нашей практике.

Данная статья посвящена обзору целого класса способов и техник атак, направленных на маскирование своей активности и обход имеющихся механизмов защиты и обнаружения. Этот класс техник атак достаточно стар и носит название Living Off the Land, он активно используется злоумышленниками на протяжении последних нескольких десятилетий — сейчас практически ни одна APT атака не обходится без использования данных техник. Они завоевали огромную популярность среди злоумышленников в первую очередь ввиду того, что в силу своей природы позволяют им оставаться ниже радара SOC, маскируясь под легитимные системные события. Эти техники подразумевают использование имеющихся механизмов ОС и доверенных, не вызывающих подозрения инструментов, для скрытного выполнения кода, горизонтального перемещения, удаленного контроля, сбора данных, повышения привилегий и т.д. Также в статье будут рассмотрены способы обнаружения и противодействия данному классу техник атак.

Не в то время и не в том формате, но мы это сделали! Если хотя-бы слышали слово «OpenBSD» — стоит прочитать и посмотреть.