Информационная безопасность

Когда говорят про анонимность в интернете, тема быстро уезжает куда-то не туда. Одни сразу вспоминают криминал, другие начинают спорить про VPN, Tor и «мне нечего скрывать». В итоге нормальный бытовой вопрос теряется.

Собрать информацию об обычном человеке можно за считанные минуты, а о более скрытом пользователе уже потребуется несколько часов. Старый ник, забытый ВК, номер из объявления и подобная обыденная информация. Никакой магии. Просто кто-то достаточно злой и более чем нацеленный на ваше вычисление.

И самое мерзкое тут не в том, что кто-то узнает ваше имя. Имя и так часто не секрет. Проблема начинается, когда ищут ваш адрес, родственников и точки давления. В этот момент интернет перестаёт быть местом, где вы просто что-то написали, и начинает тянуть нитки в реальную жизнь.

Я решил разобраться, насколько вообще можно почистить свой цифровой след и что реально помогает против бытового деанона. Без обещаний полной невидимости. Без сказок про «удалиться из всех баз». Просто практичная уборка того, что торчит наружу и может однажды сыграть против вас.

Привет! С вами пентестер Ян. В этот раз я хочу поделиться с вами своим авторским переводом рассказа от компании Dark Wolf (оригинал тут).

Для тех кто не знает, физический пентест или как его еще называют RedTeam — это особая разновидность пентеста при котором разрешено атаковать не только IT‑системы, но и, как уже понятно из названия, проникать лично в офис заказчика и там искать зацепки для дальнейшей компрометации корпорации вцелом. К примеру, пароли на листочках на раскиданные по рабочим местам очень помогают...

Подробные отчеты о физическом пентесте — это большая редкость, так как этичных хакеров обычно сковывают NDA (договор о неразглашении). К примеру, я бы сам мог рассказать о как минимум дву‑трёх отличных кейсах, но увы договор есть договрор. Поэтому рад с вами поделиться хотя бы этим переводом.

В крупных корпорациях большинство инновационных разработок защищены даже не столько патентами, сколько внутренней документацией, относимой к категории «коммерческой тайны». Если сотрудник заберет для своих целей эти материалы и использует их, то его наверняка привлекут к ответственности. Примеров — масса. Вспоминаем самые громкие процессы.

Штрафы «за персональные данные»: кого и за что штрафуют на самом деле. Судебная практика по ст. 13.11 КоАП РФ.

В последние пару лет любой пользователь рунета научился различать “интернет дома” и “интернет в гостях у бабушки”. На одном провайдере YouTube открывается, на другом нет. Это ощущается как непредсказуемость, но за каждой такой деградацией стоят вполне конкретные технические механизмы. Запустил open-source инструмент dpi-checkers на трёх своих подключениях, разобрался с методами TCP 16-20 и CIDR-вайтлистами и расскажу, что технически происходит с вашим трафиком на L4 — от SNI-фильтрации до QUIC-блокировок.

Проблема с мобильными устройствами в том, что они по умолчанию находятся в агрессивно‑недружелюбной среде, и их подключения могут стать известны кому угодно. Как минимум они известны персоналу провайдеров wi‑fi или LTE, а это может поставить под угрозу атаки сервер приложений (или входящий прокси этого сервера). Как можно минимизировать потенциальный ущерб от такого знания?

Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings он начинает захлёбываться, в UI быстро не хочется заходить, а аналогов с человеческим интерфейсом и БДУ ФСТЭК «из коробки» в open source я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose up, миллион findings без тормозов (почти), обогащение из 7 источников, формула приоритизации, которая учитывает не только CVSS, но ещё EPSS, CISA KEV и БДУ ФСТЭК. В статье расскажу про архитектурные решения, грабли и почему я выкинул ORM ещё до первой строчки SQL.

Это не статья про готовый коммерческий продукт и не пиар-релиз. Скорее разбор того, как и почему был спроектирован Red Lycoris, open source платформа для централизованного хранения, дедупликации, обогащения и приоритизации уязвимостей. Я делаю её один, и если кому-то она пригодится, буду только рад. Если найдёте, где я ошибся в архитектуре, буду рад вдвойне.

Оригинал опубликован The Week 14 мая 2016 года. Текст старый, но сегодня читается почти острее: это история не только про IP‑геолокацию, а про то, как одно неудачное значение по умолчанию в базе данных может годами ломать жизнь реальным людям.

В часе езды от Уичито, в маленьком городке Потвин, есть участок земли площадью 360 акров, и у этого не очень большого участка есть одна очень большая проблема.

В такие места переезжают, когда хотят сбежать от всего: до ближайшего соседа — около мили, ближайший более‑менее крупный город насчитывает всего 13 тысяч жителей. Это настоящая сельская Америка. Более того, от точного географического центра США туда всего два часа на машине.

Но вместо спокойной жизни люди, живущие на земле Джойс Тейлор, оказались внутри технологического кошмара.

Кратко о себе: в прошлом разработчик смарт-контрактов (с 2017 года), с 2022 года работаю аудитором смарт-контрактов. Эта статья для тех, кто так или иначе интересуется информационной безопасностью и непосредственно аудитом смарт-контрактов (да и процессом аудита в целом).

По итогам аудита могут возникнуть два серьёзных вопроса: «Почему мы ничего не успели?» и «Почему мы ничего не нашли?». И самая страшная ситуация, когда оба эти вопроса возникают одновременно. Опишем это одним ёмким словом: «Провал».

В данной статье я попробую описать типовой процесс проведения аудита на примере систем смарт-контрактов — от самого начала до итогового отчета.

Вирусы-вымогатели (ransomware) — это вредоносные программы, шифрующие данные жертвы или похищающие их с угрозой публикации, в обмен на выкуп. В 2025 году публично известных атак стало на 47% больше, чем годом ранее, а суммарные выплаты — упали. Группировки в ответ перестраивают тактику: разбираем три ключевых тренда на 2026 год, на которые стоит обратить внимание защищающимся.

Привет, Хабр! Меня зовут Артём Зеленкин, приятно познакомиться! Я работаю техническим писателем около 20 лет, сейчас занимаюсь документированием в подразделении ARMA компании Infowatch. Для создания и поддержки актуальности документации по продуктам линейки ARMA мы используем docs-as-code. Что из этого получается, можно посмотреть на сайте с документацией (там же можно скачать pdf-версию, чтобы сравнить, как оно выглядит в разных форматах при тех же исходных данных).

В данной статье я не пытаюсь рассказать, что такое docs-as-code (думаю, статей по теме достаточно), а рассказываю, как этот принцип реализован у нас. Может, вам тоже пригодится.

Прошедший 2025 год стал периодом, когда регуляторы в лице ФСТЭК и ФСБ России окончательно перешли от политики «общих требований» к формированию жестких, методологически выверенных показателей эффективности защиты. Для специалистов, работающих в сфере мониторинга ИБ, это означает, что главным трендом стали автоматизация контроля и непрерывность взаимодействия с государственными системами.

В статье рассмотрим ключевые изменения нормативной базы, вступившие в силу в 2025 и начале 2026 года, которые трансформируют подходы к мониторингу информационной безопасности объектов критической информационной инфраструктуры. Проведем анализ новой методики оценки уязвимостей от ФСТЭК России, свежих приказов ФСБ России в области ГосСОПКА, а также усиление ответственности за использование средств защиты информации. Покажем ключевые изменения, которые должны реализовать владельцы КИИ и центра мониторинга информационной безопасности.

30 апреля на PyPI обнаружили новую версию PyTorch Lightning, которая при импорте скачивала Bun и запускала 11,4 МБ опасного JavaScript-вора. Цель — браузеры, облачные API, GitHub-токены. Всего одна строчка импорта: import lightning — и все ваши API-ключи и данные будут скомпрометированы! Полный разбор инцидента внутри.

Автоматическая регистрация агента через веб-интерфейс Wazuh — это удобно. Но не тогда, когда за спиной NAT, VLAN, split-horizon DNS или корпоративные файерволы с загадочными правилами. В таких сценариях manage_agents остаётся единственным надёжным инструментом. Рассказываю, как вручную зарегистрировать агента, получить ключ, импортировать его и победить типичные ошибки подключения.

Статья обзор на «лучшую профессию» современности и будущего — «информационная безопасность».
Идея статьи пришла мне в голову, когда я готовила презентацию для студентов колледжа — будущих специалистов по информационной безопасности.

Здесь мои рассуждения о плюсах «лучшей профессии», которые не исключают минусов. И если вы не студент, которого можно заинтересовать выбором специальности, то, возможно, как специалисту в области информационной безопасности, я подарю вам немножечко мотивации.

Найди одно отличие которое поможет избежать проблем. Новый тип атак на невнимательных пользователей.

Практический разбор того, как я вынес security-проверки Java-проектов из разрозненных CI/CD-скриптов в переиспользуемый Gradle plugin

Единый плагин для сканирования на безопасность Java проектов. Maven. Или как проверять кучу микросервисов на безопасность управляя этим в одном месте

Привет, Хабр! Меня зовут Максим Кишмерешкин, я ведущий аналитик центра мониторинга и реагирования «Инфосистемы Джет». Сегодня мы поговорим про довольно старую, но до сих пор остающуюся популярной тему — LOTL. Напомню, что LOTL (living on the land), или как я его называю «жизнь на подножном корме» — это использование в атаке инструментов, которые уже есть в системе жертвы. Мы поделимся тем, как мы этот класс атак встречали в реальных кейсах, какие процедуры и техники выявляли, и расскажем, как их можно детектировать.

Приветствую, Хабр!  В анализе криптографических алгоритмов достаточно часто используется понятие оракула. Оракул – это некоторая гипотетическая вычислительная сущность, которая может мгновенно выполнять конкретные требуемые криптоаналитику операции. Например, выдавать истинно случайные числа (случайный оракул), или зашифровывать/расшифровывать данные на некотором априори известном оракулу ключе шифрования (соответственно, оракул зашифрования/расшифрования). 

Предлагаю в этой статье пойти дальше и рассмотреть оракул, способный найти прообраз (точнее, совокупность возможных прообразов) заданного хеш-кода конкретной хеш-функции. Поскольку хеш-функции часто используются в более сложных конструкциях, предлагаем посмотреть и порассуждать, как наличие такого оракула влияет на свойства вышележащих криптографических механизмов. В качестве их примера рассмотрим конструкции HMAC (Hash-based Message Authentication Codes – коды аутентификации сообщений на основе хеширования).