Информационная безопасность

Прежде чем перейти к простой рекомендации, как искать грамотного специалиста в сфере недвижимости, объясню, почему статья посвящена именно специалистам IT-сферы и почему я размещаю её на платформе Хабр.

Почему именно IT-аудитория

1.        Для подавляющей части покупателей недвижимости нет больших проблем с выбором риэлтора. Некоторые вообще самостоятельно покупают квартиры, не имея ни знаний, ни опыта. Просто не осознают сложность вопроса. Один психолог-конфликтолог как-то объяснил мне это так: чем меньше у человека знаний, тем больше уверенности, что он всё понимает. Чем больше знаний — тем больше осознание, сколько всего ты не знаешь. То есть границы малого знания имеют небольшое соприкосновение с неизвестность.

2.        Кто-то ищет риэлтора только по знакомству, полагаясь на авторитет источника. Но это часто приводит к ошибкам. Например, когда человек сдавал квартиру в аренду, ему помогала агент Валя. Позже он советует её другому знакомому — уже для покупки дорогой квартиры в Москве. Но аренда и покупка — это разные сегменты, требующие разных компетенций. Тем не менее, формально "риэлтор есть", и этого как будто достаточно.

3.        Другая часть покупателей просто обзванивает агентства и выбирает то, где дешевле. В их логике "услуга риэлтора" — это как стандартный товар в супермаркете. Главное — цена по акции.

Но IT-специалисты действуют иначе. Да, они тоже могут искать по рекомендациям, но уже ориентируются на тонкие характеристики: кто этот специалист, откуда он, как работает.

В тот летний вечер я всего-то хотел дождаться выхода очередного релиза своего какафон-рок проекта — он традиционно выкатывается в 00:01 по мск, а потом надо раскидать релиз по чатам-каналам и лечь спать.

Но вместо спокойного вечера с сериальчиком мне прилетела задачка от одного крупного госзаказчика: «Касперский кладёт в карантин IP-адрес фронта, когда ваша СКИПА PentOps его мониторит — что делать?»

С развитием облаков, появлением гибридных инфраструктур и мультиоблачных сред изменился взгляд ИБ на то, что важно защищать: от безопасности периметра фокус сместился к безопасности учётных записей. Злоумышленники меньше занимаются фишингом и перебором паролей, а всё чаще охотятся на забытые API-ключи и неверно сконфигурированные сервисные аккаунты. По данным Google Cloud Threat Horizons Report, эксплуатация злоумышленниками таких непользовательских сущностей (или non‑human identities, NHI) остаётся в топе угроз, при этом тактики атак постоянно усложняются.

В ответ на это некоммерческая организация OWASP в 2025 году выпустила отдельный рейтинг по топ-10 атак для NHI: OWASP Non‑Human Identities Top 10.

Меня зовут Дмитрий Лютов, я занимаюсь продуктами безопасности в Yandex Cloud и в этой статье я пройдусь по основным угрозам из рейтинга OWASP. Покажу, каким образом владельцы облаков могут позаботиться о безопасности инфраструктуры.

Хабр, привет! На связи Александр Леонов из Экспертного центра безопасности Positive Technologies (PT Expert Security Center), дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили 3 трендовые уязвимости.

Этот вводная часть открывает серию статей о уязвимостях агентов ИИ, в которых изложены ключевые риски безопасности, например инъекция подсказок ввода и исполнение кода. Также заложены основы для будущих частей, где будут подробно рассмотрены недостатки исполнения кода, утечки данных и угрозы доступа к базам данных.

После успешной сдачи OSCP и OSCP+ я решил изучить поближе пентест Active Directory с точки зрения red teaming. Я выбрал курс Certified Red Team Professional (CRTP) от Altered Security, потому что он подходит для новичков и плюс можно протестировать среду с включенными системами защиты на всех машинах, включая Microsoft Defender, что на мой взгляд более близко к реальным условиям. В пентест сертификациях PNPT и OSCP на всех машинах выключен AV по умолчанию. Кроме того, я хотел не просто научиться новым техникам, но и понять образ мышления настоящих атакующих, уделяя внимание операционной безопасности (OpSec).

В течении всего июля 2025 в интернете хайпила тема новых предложенных поправок в закон, которые вводят новые штрафы за передачу SIM, поиск экстремистских материалов и рекламу VPN.

Эта статья - это моя точка зрения на эти поправки, а также разбор того, как в РФ принимают законы, чтобы вы могли чётко понимать, когда закон принят, а когда ещё нет.

Полагаю, что большинство читателей знают, о том, что команда sudo может быть использована для выполнения других команд с правами другого пользователя, которым обычно является root.

Привет, Хабр. Сегодня я хочу поделиться историей одного небольшого, но увлекательного расследования. Все началось, как обычно, с малого — с одного подозрительного IP-адреса. А закончилось вскрытием целой сетки фишинговых доменов и отправкой финального «письма счастья» хостинг-провайдеру.

Это не рассказ о взломе Пентагона с помощью 0-day. Это реальный кейс, показывающий, как с помощью базовых инструментов, OSINT и капельки терпения можно пресечь деятельность мошенников, которые, как выяснилось, работали с размахом.

Всем привет!

Это команда Amnezia, и мы тут, чтобы ответить на самые часто задаваемые вопросы в связи с участившимися блокировками.

Мы уже две недели активно изучаем текущую ситуацию, тестируем разные технологии и можем рассказать о том, что нам удалось узнать и что мы сделали, чтобы наши сервисы работали как и прежде.

Если интересно только то, что сейчас работает - перейдите в конец статьи.

Привет, Хабр! По горячим следам нашей большой статьи про векторы атак ESC1-ESC15 мы — команда PT Cyber Analytics — решили подробно разобрать относительно новый вектор атаки ESC16. Возможность обнаружения и эксплуатации этого вектора была добавлена в майском обновлении ПО Certipy.

Долгие годы вендоры работали над тем, чтобы сделать UI в SIEM удобным, эффективным и простыми для аналитиков SOC, а теперь аналитики хотят код, git, vim. Упс.

Привет! Меня зовут Павел Таратынов, я лид аналитиков L3 в VK SOC, и в этой статье я расскажу, почему и зачем мы перешли на Detection as code, какие бенефиты от этого получили и стоит ли игра свеч. Поехали!

Всем привет!

Какая технологическая "начинка" стоит за киберучениями и киберчемпионатами? Как разрабатываются сценарии киберучений и как оцениваются навыки участников в соревнованиях Blue team? Об этом и многом другом LexxNimoff из редакции Habr пообщался с техническим директором департамента "Киберполигон" Сергеем Кулаковым из "Солара".

Хорошим материалом всегда приятно поделиться!

Статьи про багхантинг часто говорят о пользе для резюме, багбаунти, повышении безопасности продуктов, доступе на закрытые мероприятия. Информация о проблемах во взаимодействии с разработчиками в процессе багхантинга упоминается лишь изредка (и часто - вскользь). Но, это тоже важная часть багхантинга: начинающим бахгантерам полезно знать, с какой реакцией разработчиков они могут столкнуться. Всё-таки, это определённая психологическая нагрузка. Я хочу показать на личном примере прекрасную иллюстрацию того, насколько различны в оценке проблемы разработчики и багхантер. Случай уникален тем, что мне удалось задокументировать многие тезисы разработчиков в их первоначальном виде (в т.ч. попытку отозвать CVE). И подсветить важный момент: уже сам факт оформления CVE по проблеме, которую вендор не признаёт, может вызвать раздражение у вендора.

В статье покажу этапы, очень похожие на стадии принятия Кюблер-Росс (отрицание, гнев, торг, депрессия и принятие), которые я наблюдал у разработчиков в процессе нашего с ними общения. Мы пройдём путь от отрицания наличия проблемы, через благодарность за информирование (о проблеме) до негодования в адрес MITRE (и мой адрес, не стесняясь выражений). Помимо оформления CVE, за эту уязвимость я попал в Топ-10 Pentest Award 2025 (№9 Out Of Scope).

Дисклеймер: в статье приведены скриншоты из моих личных переписок с разработчиками. Публикация таких переписок одной из сторон не требует согласия другой (согласно законодательства РФ).

Привет, Хабр! Продолжаю рассказывать о российской мультивселенной киберполигонов. В первом материале мы рассмотрели полигон компании Innostage. Если пропустили, можете прочитать здесь. Теперь поговорим о киберплощадке для учений от группы компаний (ГК) «Солар». Вопросы в этом материале немного другие, но полигоны тоже разные.

Мы побеседовали с техническим директором департамента «Киберполигон» ГК «Солар» Сергеем Кулаковым. Кулаков рассказал об инфраструктуре полигона, эффективности киберучений и разработке сценариев для киберплощадки компании. Надеюсь, вам будет интересно. Приятного чтения!

Всем привет! У нас новая статья по мотивам актуальных событий. В ней мы собрали топ приложений, которые можно использовать офлайн при отключении интернета или нестабильном доступе к нему.

От очевидных вещей вроде офлайновых карт и переводчиков (вы ведь в курсе, что многие из них доступны локально?) до мессенджеров и соцсетей на mesh-технологиях. А также приватные аналоги SMS-сообщений, приложения для передачи файлов и peer-to-peer файлообменник. Бонусом рассмотрим инструменты безопасности, которые превратят смартфон в детективный набор и позволят заняться полезным делом в отсутствие интернета. Пополняйте свой инструментарий, делитесь известными вам приложениями — за подробностями добро пожаловать под кат!

За последние годы я всё чаще сталкиваюсь с тем, что среди покупателей недвижимости, с кем я сотрудничаю, преобладают представители инженерных и технических профессий: IT-специалисты, инженеры телекоммуникационных компаний, специалисты по строительству мостов и заводов. 

Это позволило мне сравнивать и наблюдать, как различные типымышления отражаются на безопасности сделок с недвижимостью. Если раньше мне приходилось объяснять покупателям базовые вещи, то сейчас технически подготовленные люди зачастую быстро и глубоко схватывают суть возможных угроз и задают глубокие вопросы.  

Работать с такой аудиторией особенно удобно: разговор строится на языке логики, алгоритмов и последовательностей. Технический клиент не просто слушает эксперта — он выстраивает собственную схему проверки, формулирует гипотезы, ищет и тестирует слабые места в процессе. Такой подход не только облегчает коммуникацию, но и значительно повышает уровень безопасности сделки и коммуникаций.  

Данная публикация - перевод серии статей от Pepe Berba - Hunting for Persistence in Linux.

! Все приведённые в данном материале примеры эксплоитов предназначены исключительно для изучения и проработки мер безопасности. Их использование в злонамеренных целях строго запрещено и противоречит законодательству. Автор и источник не несут ответственности за неправомерные действия, совершённые с использованием данной информации. !

Я работаю в сервисной компании, и в своей работе мы часто используем российские SD-WAN-решения. Делаем крупные и нестандартные внедрения, а также предоставляем сеть по «подписочной модели», в том числе и SD-WAN. В целом технология сама по себе довольно молодая, но за два года работы мы накопили довольно большой и интересный опыт.

В данной статье я хочу поделиться способом конфигурирования NAT на СРЕ от Kaspersky SD-WAN, который пригодится в случае подключения сетей с одинаковым адресным диапазоном. В статье вы не найдете рассказ про технологию SD-WAN в целом, сравнения решения разных вендоров, преимущества и недостатки сервиса, а также какое решение является «более настоящим» SD-WANом, а какое – только оптимизацией выхода в интернет. Потому что, возможно, все это будет темой для следующих статей. Здесь сфокусируюсь только на технических деталях конфигурирования.

Это была очередная обыкновенная ночь. Мой друг попросил меня зайти поиграть в Valorant — типичный вечерний ритуал. Но по какой-то причине я отказался. Вместо этого я запустил Burp Suite и начал искать баги (мое лучшее решение когда-либо, потому что в ту ночь я нашел три бага в TikTok, которые в итоге принесли мне $3,000).