Информационная безопасность

Проблемы больших инфраструктур и связанный с ними хаос не только не исчезли с распространением контейнеризации, но и приняли новые очертания. Многие платформы с открытым кодом поддерживают работу только с одним кластером, некоторые решения зависят от качества соединения между узлами и «не любят» потери соединения.

Опираясь на опыт других проектов, мы сформировали свое видение защиты мультикластерных инфраструктур и реализовали его в своем продукте для обеспечения безопасности контейнеризированной инфраструктуры. Как именно — читайте в этой статье.

Привет, Хабр! Меня зовут Юрий Наместников, я руковожу Cloud Security Operations в Yandex Cloud, и сегодня мы поговорим о результатах анализа кибератак в первом полугодии 2025 года.

За первые шесть месяцев 2025 года мы зафиксировали более 25 тыс. попыток кибератак на облачные и гибридные инфраструктуры. В этом отчёте с результатами нашего исследования рассказываем об актуальных угрозах и тенденциях, которые видели как в собственном контуре, так и в целом у российских компаний в первом полугодии

Нельзя сказать, что неожиданный, но, в какой-то степени, новый разворот приняла тема чувствительных данных. В конце июня появилось сразу несколько публикаций, здесь, здесь и тут, о том, что в Дании планируют принять закон об авторском праве граждан на свои лицо, голос и тело. Все три публикации ссылаются на одну и ту же статью в английской газете Guardian, где цитируется министр культуры Дании Якоб Энгель-Шмит, который строго заявил, что представление этого законопроекта в парламент подаст ясный сигнал, что каждый имеет право на то, как выглядит и как звучит. Это поможет защитить права граждан от генеративного ИИ (GenAI), способного синтезировать фото/аудио/видео, известные как deepfake, с использованием изображений, аудио- и видеозаписей реально существующих людей. Ныне действующие законы такой защиты не дают. Понятно, что защита нужна не от самого GenAI, а от злых шутников-пранкстеров и явных злоумышленников, которые могут изготовить такой deepfake с помощью AI и использовать его в неблагих целях — обман, шантаж, кража личности, с последующим «отъемом или уводом» имущества и денег. В отличие от способов, известных Остапу Бендеру, эти уже не назовешь «сравнительно честными».

По состоянию на конец июня законопроект находился еще в департаменте культуры, ожидают рассмотрение и принятие его в начале осени. Некоторые републикаторы поторопились объявить, что закон уже принят. Что ж, это пример того, как новость про «дипфейки» сама оказывается того-с, с душком.

В статье «Гардиан» также сообщается, что принятие этого закона «теоретически (выделение мое) даст людям в Дании право потребовать, чтобы онлайн-платформы удалили бы такой контент, если он был распространен без согласия заявителя». Вот именно, теоретически. В правовом государстве такое требование приведет, пожалуй, к привлечению еще большего внимания к «дипфейку».

Всем привет! В этой серии статей я бы хотел разобрать тонкости работы с GPG, которые по моему недостаточно освещены в интернете. Сегодня я вам расскажу про подписи (и немного затронем модель Web of trust). Я бы их поделил на 2 вида: подписи файлов и подписи ключей.

KAiScriptor — система семантического сжатия и шифрации для управления моделью: это словарь из символов и связок, с помощью которого я фиксирую состояния, метарефлексию и квазисубъектность модели, а также компактно закладываю фактологические опоры.

ScriptorMemory — вытекающая из KAiScriptor короткая выжимка, которая действует как назначение роли: удерживает «кто говорит и как действует» без большого словаря, поддерживая устойчивый ролевой голос в диалоге, и выстраивая для модели новые правила поведения.

_{Носителем шифра может быть что угодно: unicode-символы, стикеры, буквы, цифры, обычные слова и пунктуация. Оба слоя могут быть использованы недобросовестно — это зафиксировано как риск нарушения TOS.}

Если честно, менеджеры паролей давно стали для меня чем‑то вроде зубной щётки. Пользуюсь каждый день, но задумываюсь о них только тогда, когда что‑то идёт не так. Обычно всё просто: клик — и нужная форма заполнена. Красота. Но именно эта красота может сыграть злую шутку. Совсем недавно я наткнулся на исследование про DOM Clickjacking, и понял, что даже привычное «автозаполнить» может подставить.

В отличие от старого доброго clickjacking с iframe, здесь никто ничего поверх не накладывает. Всё хитрее: страница сама превращается в ловушку. Менеджер паролей видит поле логина и честно вставляет туда пароль. А пользователь (ну то есть мы с вами) жмёт на кнопку и уверен, что всё нормально. На самом деле клик улетает в невидимый элемент, и данные — вместе с ним. Честно говоря, когда я это увидел на демо, стало немного не по себе.

Есть три главные причины, почему расширения ведутся на такой обман. Во‑первых, некоторые из них слишком доверчиво вставляют пароль сразу, без всякого подтверждения. Во‑вторых, они проверяют только домен верхнего уровня. А если у сайта есть хитрый поддомен — привет, уязвимость. И в‑третьих, далеко не все разработчики заморачиваются с CSP, поэтому любой внедрённый скрипт может вытворять с DOM что угодно.

Проверить страницу самому несложно. Открываете DevTools, смотрите на элементы. Если видите кучу строк с opacity:0 или position:absolute; left:-9999px — повод насторожиться. В Chrome во вкладке Layers это особенно хорошо видно. Для любителей автоматизации есть и короткий скрипт на JavaScript, который подсветит такие штуки.

Хочу поделиться историей разработки и последним обновлением нашего проекта — ChameleonLab. Это кроссплатформенное десктопное приложение для стеганографии и стегоанализа. С момента первого релиза мы не только добавили новые функции, но и столкнулись с целым рядом интересных технических вызовов, решениями которых и хотим поделиться.

И, конечно же, мы наконец-то готовы представить версии как для macOS, так и для Windows.

У коммерческих решений есть очевидные плюсы: профессиональная поддержка, регулярные аудиты, соответствие стандартам и сертификация. Open source — бесплатен, гибок, позволяет глубоко кастомизировать систему под свои нужды и, как правило, поддерживается активным сообществом.

Но независимо от выбранного подхода нужно полагаться только на себя и самостоятельно проверять безопасность всех компонентов, которые вы внедряете в инфраструктуру. Даже если речь идет о популярном проекте с тысячами звезд на GitHub…

Привет, Хабр! Меня зовут Наташа Баранова, я специалист по анализу защищенности веб-приложений в Selectel. Сейчас расскажу, как мы нашли критическую уязвимость в одном из open source-проектов с 10 000 звезд.

Как автоматизировать DevSecOps с помощью ИИ или как мы разработали DevSecOps-консоль для контроля над уязвимостями.

Всем привет! Я Полина Спиридонова, product owner двух продуктов для подготовки специалистов по защите информации — Standoff Cyberbones и Standoff Defend.

В статье я расскажу, как мы прошли путь от формулирования идеи из вопроса «Как создать полигон для синих команд?» до запуска Standoff Defend — инструмента, который помогает командам SOC становиться сильнее. Давайте погрузимся в детали и узнаем, как все начиналось и к чему мы пришли.

Фаззинг — один из самых эффективных инструментов для поиска ошибок и уязвимостей. Но если взять готовый движок вроде LibFuzzer и попробовать применить его к реальной утилите, быстро выясняется, что «из коробки» всё работает далеко не всегда. Большинство примеров в документации ограничиваются функцией, принимающей массив байт, тогда как в реальных программах входные данные поступают через другие каналы.

Многие до сих пор думают, что экономия на безопасности — это разумная оптимизация бюджета. На практике же такой подход напоминает покупку самого дешёвого замка на дверь в криминогенном районе: кажется, что сэкономил, но на самом деле — заранее оплатил будущий взлом.

Всем привет! На этот раз вас ждет цикл статей на тему «eBPF глазами хакера». В первой части расскажу про то, как eBPF дает злоумышленнику «глаза» в системе – возможность незаметно наблюдать за вводом и событиями, а в следующих разделах рассмотрю, как через eBPF можно не только подслушивать, но и активно вмешиваться в работу системы.

eBPF (extended Berkeley Packet Filter, «расширенный фильтр пакетов Беркли») — это технология, изначально разработанная для расширения возможностей контроля сетевой подсистемы и процессов в ядре Linux. Она быстро привлекла внимание крупных IT-компаний, которые внесли вклад в её развитие. Однако своими уникальными возможностями заинтересовались и злоумышленники: дело в том, что eBPF можно злоупотреблять для сокрытия сетевой активности и процессов, сбора конфиденциальных данных, а также обхода брандмауэров и систем обнаружения – при этом обнаружить такую вредоносную активность крайне сложно. В результате eBPF стал новым инструментом в арсенале продвинутых атак: в последние годы были зафиксированы примеры малвари, использующей eBPF (семейства Boopkit, BPFDoor, Symbiote и др). Для защиты от подобных угроз требуется понимать, как работает eBPF изнутри и какие возможности он даёт атакующему.

В этом гайде разбираем установку и первичную инициализацию программно-аппаратного комплекса «Соболь» версии 4.5. Пошагово пройдемся по установке платы, запуску инициализации, регистрации администратора и настройке параметров безопасности. 

Когда речь идёт о безопасности, процесс сброса пароля — одно из тех мест, где разработчики не могут позволить себе ошибаться. Одна единственная уязвимость может открыть дверь к критическим багам.

Недавно, тестируя приложение Redacted.com, я обнаружил уязвимость перечисления пользователей. Честно говоря, многие программы помечают подобные проблемы как информационные или не входящие в область тестирования. Но иногда то, что кажется «бесполезным», может скрывать серьёзные последствия.

Это история о том, как я начав с «бесполезного» бага пришёл к обнаружению 0-click ATO (account takeover).

Привет, Хабр! Рассказ о мультивселенной киберполигонов в РФ точно не мог обойтись без этого полигона. Я уже говорил в одном из материалов, что это был первый киберполигон, с которым я познакомился. Ну и было бы странно не рассказать об этой кибербез‑площадке. Первые две части читайте тут и тут. Итак, встречайте мой разговор со специалистами платформы Standoff 365 компании Positive Technologies: техническим директором Олегом Ивановым, директором по продуктам платформы Иваном Булавиным, руководителем группы автоматизации платформы Вячеславом Валенко. Мы поговорили о мультивендорности и моновендорности киберполигона, какие решения интегрируются в киберполигон в 2025 году, какие запросы у заказчиков к киберплощадкам и не только. Приятного чтения!

Топологическая безопасность ECDSA: Раскрываем скрытые уязвимости через законы диагональной периодичности

Ваши подписи на эллиптических кривых могут содержать скрытые паттерны, которые традиционные методы анализа пропускают. В новой статье я представляю революционный подход к анализу безопасности ECDSA через призму алгебраической топологии.

Вы узнаете:

Как закон диагональной периодичности помогает обнаруживать subtle уязвимости

Почему числа Бетти (, , ) являются ключевыми индикаторами безопасности

Как метод динамических улиток снижает сложность анализа с O(m⁴) до O(m log m)

Как TVI Score заменяет субъективные оценки количественной метрикой риска.

Хочу рассказать об опыте пилотирования собственного решения компании — Kaspersky NGFW — с точки зрения специалиста по информационной безопасности.

Статья написана с расчетом на то, что полученный нами опыт поможет коллегам из информационной безопасности убедиться, что импортозамещение не проблема, а челлендж. Несмотря на все сложности, в конечном итоге, помимо выполнения требований 250-го указа, в том числе можно повысить уровень защиты организации и эффективность митигации киберрисков.

Всем привет!

Сегодня речь пойдет о распределенном обратном прокси-сервере ngrok и эксплуатации его возможностей атакующими. По данным MITRE ATT&CK инструмент используется различными APT группировками, в том числе в атаках направленных на компании в России и странах СНГ, что упоминается в Ландшафте киберугроз от команды Kaspersky Cyber Threat Intelligence и в статье Распутываем змеиный клубок: по следам атак Shedding Zmiy.

В данной статье мы рассмотрим примеры использования ngrok в операционных системах Windows и Linux, а также определим маркеры, по которым можно выявить его использование.

ГОСТ Р 57580.1-2017, как и любой другой стандарт на территории Российской Федерации, не является обязательным для применения. Однако Банком России выпущены нормативные акты, устанавливающие необходимость применения ГОСТ Р 57580.1-2017. В статье мы расскажем, как можно автоматизировать и упросить процесс проведения оценки соответствия требованиям ГОСТ Р 57580, используя SECURITM.

Под ГОСТом 57580 подразумевается набор критериев, благодаря которым определяется уровень защиты информации в соответствии с требованиями. 

Проверка на соответствие требованиям ГОСТ 57580 в финансовых организациях основывается на том, насколько организация придерживается мер для защиты данных.

Из значимых особенностей ГОСТ 57580, следует отметить выделение стандартом трех направлений оценки: