Информационная безопасность

На прошлой неделе команда исследователей-безопасников Google Project Zero сообщила об изменениях в процедуре раскрытия информации об уязвимостях. Ранее, еще в 2021 году, Project Zero приняла существующую модель раскрытия информации: поставщикам ПО, в котором была обнаружена уязвимость, давалось 90 дней на выпуск патча, плюс 30 дней отводилось на распространение заплатки клиентам и партнерам. Теперь к этой процедуре добавился еще один пункт: через неделю после уведомления вендора о проблеме, Google Project Zero будет публично раскрывать информацию о том, что уязвимость в определенном продукте была обнаружена.

API-интерфейсы — основа современных приложений и одна из самых уязвимых частей инфраструктуры организации. Это делает их излюбленной целью злоумышленников.

Тревожно, что подобные уязвимости настолько легко эксплуатировать, что этому можно научить человека без технического образования за один день. И спустя три года команда безопасности Intruder всё ещё находит те же уязвимости в API крупных организаций, включая компании, входящие в индекс S&P 500.

Именно поэтому мы создали Autoswagger — бесплатный инструмент с открытым исходным кодом, который сканирует API на наличие уязвимостей авторизации.

Я занимаюсь внедрением требований 187-ФЗ с момента его появления. За это время я прошел путь от инженера до консультанта и видел десятки проектов изнутри. Сегодня я расскажу про ключевые ошибки в обеспечении безопасности КИИ, которые я наблюдал лично и которые регулярно приводят к проваленным проверкам ФСТЭК и огромным финансовым потерям.

Семь лет назад, когда 187-ФЗ только вступил в силу, рынок напоминал дикий запад. Все действовали интуитивно, пытаясь нащупать правильный путь. Казалось, время всё расставит по местам. Но мой опыт показывает, что фундаментальные ошибки, которые совершались тогда, до сих пор кочуют из проекта в проект, лишь меняя масштаб последствий.

Ниже — мой личный рейтинг просчетов, основанный на реальных проектах и их последующих аудитах.

Всем привет! Разбираем ключевые уязвимости июля. В прошлом месяце тон задала контора замечательных людей Cisco: компания отметилась очередным забытым тестовым аккаунтом в Unified CM и SME, а также дырявым API в ISE и ISE-PIC под RCE — обе CVE на 10 из 10.

Десяточку под RCE без авторизации также выбил Wing FTP Server, проверка концепции в наличии. Цепочку уязвимостей под удалённое выполнение кода исправили в Microsoft SharePoint Server. Mcp-remote отметился критической CVE под произвольные команды, в CrushFTP критическая уязвимость на доступ к серверу с правами админа, а в FortiWeb — на внедрение SQL-кода. Об этом и других главных уязвимостях июля читайте под катом!

Сказ про то, как уютно спамеры чувствуют себя в «Вымпелкоме» и про гостеприимно распахнутый почтовый сервер одного из крупнейших операторов связи.

В прошлом году мне повалил спам с адресов в домене @corbina.ru, а я люблю получать спам, больше я люблю только жаловаться на него в ФАС, а с недавних пор еще и судить спамеров (как-нибудь расскажу об этом).

Ну повалил – и повалил, я дежурно достал свежий комплект ссаных тряпок и сел писать жалобу: тогда-то, там-то при таких-то обстоятельствах я получил спам с адреса, кхм, webmaster@corbina.ru Согласно данным служебных заголовков, спам был отправлен с IP 95.29.140.112, кхм, который недвусмысленно указывает на 95-29-140-112.broadband.corbina.ru…

С этого момента стало интереснее: адрес отправителя подделать – как два байта переслать, но подставить «левый» адрес в том же домене, через SMTP-сервер которого отправляется письмо, в сети «Вымпелкома», are you ahueli tam seriosly?!

ФАС, с которым я поделился своей радостью от получения спама, сперва бодро взялся за дело, но вскоре втихую прикрыл его, и вот почему:

По традиции продолжаем делиться необычными и поучительными ИБ-инцидентами. В июльской подборке: блюститель порядка украл биткоины у преступника, сотрудник ИТ-компании пошел на сомнительную сделку, а мстительный админ разгромил сеть работодателя.

Аналитики компании F6 вскрыли сеть доменов группировки, которая распространяет вредоносное ПО, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры.

Безопасность с Astra Linux: ресурсы для специалиста ИБ

Представленный материал систематизирует ключевые ресурсы для специалистов ИБ, работающих с Astra Linux. Позволяет сократить время на поиск документации и избежать ошибок при проектировании защищённых систем.

Возможно, найдено самое прибыльное использование AI-агентов на сегодняшний день.

Исследователи из Университетского колледжа Лондона (UCL) и Университета Сиднея (USYD) в Австралии разработали систему агентов, которая автономно обнаруживает и использует уязвимости в смарт-контрактах Solidity. Генератор эксплоитов продемонстрировал высокую потенциальную прибыль, сумев взломать 26 контрактов на сумму $9,33 млн.

Киберразведка по-русски: как развивается отечественный Threat Intelligence

Сфера CTI — киберразведки — в России активно развивается, но разобраться в отечественных решениях бывает непросто.

Как инженер-исследователь и энтузиаст этой темы, я изучил 9 ключевых TI-продуктов: от Kaspersky и PT ESC до R-Vision и Angara.

В статье — функциональное сравнение, советы по выбору, особенности для КИИ, а также взгляд в будущее: отраслевые центры, обмен разведданными, роль AI.
Рекомендации, интеллект-карта, наглядные таблицы — всё для того, чтобы TI в России стал ближе и понятнее.

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

Столько взломов, сколько было на этой неделе, я не припомню. Я думаю, что если на следующей неделе взломы будут продолжаться в такой же динамике, то можно начинать говорить о начале Первой Международной Кибервойны (WCW1).

Ещё на этой неделе Президентом было подписано несколько спорных поправок в законы, Великобритания запустила свой чебурнет раньше России, с 1 августа мобильного спама может стать меньше, Positive Technologies отчитался за 1 полугодие с убытком и с сокращением персонала, а также другие только самые важные и интересные новости из мира информационной безопасности.

В ближайшем будущем мы станем свидетелями того, как агенты — автономные программы на базе ИИ — перестанут сидеть в дата-центрах и обретут свободу перемещения по интернету. Они будут заходить в почтовые ящики, обновлять CRM-системы и обрабатывать данные на веб-панелях без какого-либо вмешательства человека после единовременной настройки. Уже сейчас заметно, что привычная схема создания учётных записей и управления паролями не подходит для машин.

Потребность в новом уровне авторизации назрела: нужен единый реестр доверенных агентов, где каждый из них получил бы собственный криптографический идентификатор и прописанные права доступа. Это будет нечто большее, чем просто OAuth для людей — речь пойдёт о стандарте для «машинных аккаунтов», гарантирующем безопасность и удобство одновременно. Агент сможет один раз зарегистрироваться и затем беспрепятственно авторизовываться на любых сервисах-участниках этой экосистемы.

В наше время многие интересуются биржами, акциями, облигациями, а некоторые даже имеют свои портфели (речь не про школьников). Существует множество технологий и инструментов для автоматизации торговли. А теперь представьте, к каким убыткам могут привести ошибки в исходном коде такого программного обеспечения. Поэтому давайте посмотрим на потенциальные ошибки в популярном торговом движке Lean.

В 2024 году мы — команда практического анализа защищенности «Инфосистемы Джет» — выполнили 130 проектов и выяснили, что в среднем достаточно 10 часов, чтобы вывести крупные суммы со счетов, остановить производство или слить критичную информацию. В работе мы используем сложные методы, но из-за низкой защищенности организаций часто хватает базовых техник[1] и общедоступного ПО. Наши наблюдения подтверждаются исследованиями кибератак[2]: в 83% случаев злоумышленники добивались успеха за счет «простых» методов — фишинг, эксплуатация уязвимостей по умолчанию или слабые пароли. State of art атаки с поиском 0-day — это скорее исключение. Обычно компании взламывают куда более прозаичными способами.

В этой статье мы разберем реальные кейсы из нашей практики, покажем, какие уязвимости не устранялись годами, и объясним, почему настройки по умолчанию и стандартные пароли — это хорошо для нас то, что делать не надо.

Привет, друзья!

Меня зовут Дмитрий, и я инженер отдела Compliance и безопасности данных в Ozon. Моя работа сфокусирована на разработке, введении и при необходимости модернизации требований ИБ к контрагентам, выстраивании процессов взаимодействия с партнерами.

В условиях стремительного развития информационных технологий и постоянного роста числа киберугроз особенно актуальным для средств обеспечения информационной безопасности становится usability (удобство использования). Этот термин подразумевает не только легкое и интуитивно понятное взаимодействие пользователя с программным или аппаратным средством защиты, но и возможность быстрого и эффективного применения его функционала — как для предотвращения угроз, так и для оперативного реагирования на инциденты без длительных подготовительных действий.

В статье подробно рассмотрим и сравним актуальные методы установки программных средств обеспечения ИБ. Так как именно от выбранного способа установки зависит скорость и простота внедрения решения, возможности масштабирования и обеспечения отказоустойчивости, а также нагрузка на специалиста, ответственного за разворачивание того или иного продукта.

Привет, Хаброжители! Дистрибутив Kali Linux, включающий сотни встроенных
утилит, позволяет быстро приступить к тестированию безопасности. Однако наличие такого количества инструментов в арсенале Kali Linux может ошеломить. Во втором издании описываются обновленные возможности утилит и подробно рассматриваются цифровая криминалистика и реверс-инжиниринг.

Автор не ограничивается рамками тестирования безопасности и дополнительно рассказывает о криминалистическом анализе, в том числе анализе дисков и памяти, а также базовом анализе вредоносных программ.

Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности — Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня — первая часть обзора Главы 3 CyBOK, в которой даются вводные принципы законодательства и юридических исследований.

Привет! Это команда отдела защиты бренда Angara SOC. В прошлой части мы рассмотрели сценарий мошеннической схемы, разобрали связь между веб-страницами и Telegram-ботами. В этой части мы рассмотрим, как злоумышленники пытаются скрыть фишинговый контент.

Раньше домены, созданные для мошеннической активности, содержали страницу авторизации портала «Госуслуги», но для увеличения времени обнаружения таких страниц мошенники начали прятать контент, например, под простой игрой «Угадай правильную ячейку». Пользователю, который зашел случайно на такой ресурс, не будет понятно, для чего конкретно служит страница.

Рассмотрим пример с доменом sort-center135523.icu, на котором содержится игра.

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, сообщает о новой угрозе для российских организаций — программе‑вымогателе Pay2Key. Весной 2025 года было зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и строительства.

По данным аналитиков департамента киберразведки компании F6, вымогательский сервис Pay2Key распространяется на киберпреступных русскоязычных форумах по модели RaaS (Ransomware as a Service) с конца февраля 2025 года. Несмотря на запрет многих теневых площадок атаковать российских пользователей, злоумышленники применяли шифровальщик для атак целей в России. Так, система F6 MXDR обнаружила и заблокировала рассылки, относящиеся как минимум к трем фишинговым кампаниям, которые были нацелены на российских пользователей. Мартовская и майская кампании были направлены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов.

Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины».

Кроме фишинговых рассылок в арсенале атакующих были обнаружены самораспаковывающиеся архивы, легитимные инструменты и продвинутые способы обхода антивирусной защиты. Сама вредоносная программа Pay2Key построена на базе Mimic — семейства ВПО с одной из самых сложных схем шифрования, которое активно используется для атак на российский малый бизнес.