Хабр, привет!
На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в августе 2025 года. В нём собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в атаках и их устранение должно быть в приоритете.
Привет, Хабр! В наших прошлых статьях мы рассмотрели общие принципы работы стеганографии и создали многофункциональное приложение «ChameleonLab» для сокрытия данных. Но как насчет обратной задачи? Как понять, что в безобидной на вид картинке спрятано тайное послание?
Нам каждый раз рассказывают про то, что если подключиться к публичному Wi-Fi, то может случиться что-то ужасное. А, собственно, что?
• Трафик перехватят;
• Пароли утекут;
• Смартфон будет взломан;
• Установят какой-то мессенджер без вашего согласия.
Причем транслируют инструкции «не пользоваться публичными/открытыми Wi-Fi» множество ИБ-компаний, включая вполне именитых экспертов. Но, кажется, это карго-культ 2015 года, и давайте попробуем разобраться, почему и как так вышло!
Дисклеймер! В статье умышленно рассматривается самый частый сценарий — подключение к Wi-Fi смартфона обычного человека. А не того, кто находится в розыске ФСБ/ФБР/Интерпола. Подключение ноутбука же ныне значительно более редкий и очень детерминированный сценарий, ведь выстрелить себе в ногу с небезопасной настройкой ноута значительно проще, особенно если ты из IT.
Итак, обычный человек, обычный современный смартфон. Поехали?
Привет! С вами Влад Павловский, руководитель группы безопасности приложений в Swordfish Security. В этой статье мы посмотрим (в том числе с технической точки зрения) баги, глитчи и недоработки, которые сообщество Stardew Valley нашло и собрало в кучу, чтобы спустя 9 лет после релиза игры реализовать сбор Community Center за 4 минуты от старта игры с нового сохранения.
Эта статья является «режиссёрской версией» доклада, представленного в августе 2025 года на конференции Offzone. В связи с форматом и ограниченным таймингом выступления пришлось сократить некоторый контекст как по ретроспективе, так и по сути багов – в тексте эти детали будут на месте!
Прощаемся с летом, вспоминая забавные и поучительные ИБ-инциденты августа. Сегодня под катом: аналог TikTok страдает от инсайдеров, TSMC подает в суд на бывших сотрудников, а ФБР ловят взяточника на живца.
С 1 сентября 2025 года вступили в силу поправки в ФЗ «О связи». В частности, в ст. 46 появился п. 9_1. Он обязывает оператора-инициатора вызова передавать информацию об абоненте - юрлице или ИП в «сроки, порядке, составе и формате», которые устанавливаются Правительством РФ. Так называемая "маркировка вызовов".
И вот буквально за 2 рабочих дня до вступления поправки в силу публикуют ППРФ 1300 от 28.08.2025г., описывающие то, как это должно работать.
Давайте разбираться, что же в ППРФ 1300 на самом деле принято и как это должно/будет работать.
На прошлой неделе специалисты «Лаборатории Касперского» опубликовали отчет по эволюции уязвимостей и эксплойтов за второй квартал 2025 года. Это регулярный отчет, данные которого удобно сравнивать с предыдущими периодами, в частности с отчетом за первый квартал этого года. Прежде всего, стоит отметить стабильный рост количества уязвимостей, добавляемых в базу Common Vulnerability Enumeration. В целом это можно считать положительной динамикой: регулярное выявление ошибок в ПО косвенно указывает на улучшение защищенности.
Всем привет! Время для нашей ежемесячной подборки ключевых CVE. В августе десяточкой по CVSS отметилась, конечно же, Cisco — в аутентификации через RADIUS в Secure FMC забыли санитизировать пользовательский ввод.
В NetScaler ADC и NetScaler Gateway критический нулевой день под RCE через переполнение памяти. Помимо этого, две критических CVE под произвольный код были исправлены в продуктах от Microsoft. В WinRAR закрыли уязвимость на обход пути, активно эксплуатируемую в атаках. Также критическими CVE отметились Trend Micro Apex One, Docker Desktop и FortiWeb. Об этом и других интересных уязвимостях последнего летнего месяца читайте под катом!
Исследователь безопасности обнаружил DOM-based XSS уязвимость на странице вакансий HackerOne, за что получил вознаграждение в размере $500. Проблема заключалась в том, как страница обрабатывала “?lever-” параметры в URL и добавляла их в DOM, без должной проверки и очистки.
Хотя эта атака не могла обойти Политику Безопасности Контента (CSP) в современных браузерах, таких как Chrome и Firefox, она всё же успешно выполнялась в Internet Explorer и Microsoft Edge, где парсинг URL работает иначе.
Совсем недавно мы выпустили аналитику про вредоносное ПО и его роль в кибератаках на Россию. Исследование большое и толстое (как это обычно у нас бывает), его, если захотите, можно почитать у нас на сайте. А в этой статье расскажу про самые популярные в России вредоносы. Мы сделали специальную подборку из десятка самых распространенных семейств ВПО в 2024 и первом квартале 2025 года. Итак, погнали!
Когда речь заходит о выборе языка для начинающего пентестера, чаще всего вспоминают Python: удобный синтаксис, тысячи библиотек, готовые скрипты на GitHub. Но чем глубже вы погружаетесь в безопасность, тем яснее становится: без языка C — никуда.
C не устаревает — он продолжает быть фундаментом всего: от операционных систем до эксплойтов. И вот почему в 2025 году знание C особенно важно для пентеста.
В мире тестирования безопасности важно не только «залезть внутрь», но и сделать это так, чтобы никто не заметил. Ниже собраны практики, которые используют пентестеры и исследователи, чтобы их действия было сложнее заметить. Все примеры — только для обучения и безопасных экспериментов. Рекомендую всем изучить и добавить свои методы в комментариях ...
Скажу прямо: нанимать специалистов по информационной безопасности — то еще приключение. За годы работы я провёл сотни собеседований (и, конечно, не раз сидел и по другую сторону стола). Иногда это похоже на шпионский детектив, иногда на комедию, а иногда — на марафон по резюме без финишной черты. Расскажу, как найм безопасников выглядит изнутри ИБ-интегратора: что для меня важно в резюме, как проходит техническое интервью и какие случаи вспоминаются до сих пор.
Привет, Хабр! Давно не было обзоров конференций от меня. Решил исправить этот момент, поэтому хочу рассказать о мероприятии Offzone 2025. Многие знают, что это за конференция, но на всякий случай напомню.
Offzone 2025 — это конференция, посвящённая практической части кибербеза. То есть, если Positive Hack Days больше направлено на популяризацию ИБ, а SOC Forum — на бизнес-составляющую кибербеза, Offzone больше про обмен опытом среди ИБ-специалистов. В прошлый раз я заболел и не попал на конференцию, решил в этом году во что бы то ни стало исправиться. Но оказалось, что конференция вернулась на привычное место проведения. Поэтому встречайте, мой обзор конференции Offzone 2025. Приятного чтения!
Большинство корпоративных ландшафтов ИБ - это набор разрозненных средств, где контекст и «сигналы доверия» теряются между инструментами. В статье разбирается два ключевых слоя Cybersecurity Mesh Architecture (CSMA), без которых сетчатый подход не работает:
Google анонсировал радикальные изменения в экосистеме Android, которые затронут процесс установки приложений из сторонних источников. Новая система верификации разработчиков может перевернуть привычный подход к sideload'у APK-файлов. Давайте разберёмся, что это значит для пользователей, разработчиков и всей экосистемы Android.
Что меняется?
Согласно новости от iXBT, Google вводит обязательную верификацию разработчиков для установки APK на сертифицированных устройствах Android (то есть на большинстве смартфонов и планшетов с Google Play Services). Теперь приложения, загружаемые не из Play Store, должны быть подписаны ключами разработчиков, прошедших проверку личности через новую консоль Android Developer. Это не проверка кода на вредоносность, а именно идентификация автора приложения.
Мошеннические схемы уже готовы к ИИ агентам. Обсуждаем неизбежную волну скама, чтобы быть к ней готовыми.
Всё самое интересное из мира кибербезопасности /** с моими комментариями.
На этой неделе новости про новый вектор атаки на Linux, как web-камера может начать шпионить за вами (и это не классическое подсматривание по видео), про кризис концепции open source и почему централизация - это плохо, про законы, которые начинают действовать завтра, ну и другие только самые важные и интересные новости из мира информационной безопасности.
Предыстория. Представьте, вы — руководитель службы безопасности. В понедельник утром на стол ложится отчёт: за выходные у конкурентов появился детальный план вашего нового продукта. Вы поднимаете логи. Ничего. Системы DLP молчат. Сетевой сканер не зафиксировал отправку больших архивов или подозрительных документов. Весь исходящий трафик — это обычная рабочая переписка, презентации и несколько мемов с котиками в корпоративном чате. Стоп. Котики?
Привет, Хабр!
Вы когда-нибудь хотели, чтобы ваши фотографии могли рассказывать истории? Не в переносном смысле, а буквально. А что, если бы эти истории были предназначены только для вас? Представьте, что вы отправляете другу обычный с виду PNG-файл, но внутри него скрыто личное аудиопоздравление, которое не увидит ни один почтовый сервис или мессенджер. Или ведете цифровой фотодневник, где за каждым снимком скрывается голосовая заметка с вашими мыслями, надежно спрятанная от посторонних глаз.
Это не магия, а стеганография. Сегодня я расскажу о проекте ChameleonLab, а точнее — о его уникальной функции: стеганографическом имидж-плеере. Это десктопное приложение, которое позволяет не только прятать аудиофайлы внутри изображений, но и проигрывать их, как в обычном плеере, создавая новый способ для приватного и творческого обмена информацией. Проект уже имеет готовые сборки для Windows и macOS.