Интервью с человеком, который провёл несколько сотен p2p-сделок по продаже и покупке USDT на Bybit и наступил на разные грабли. Пятничная история, чтобы читатели были предупреждёнными и осторожными.
Анализ и контроль рабочего времени многими воспринимается как механизм для тотального контроля и выявления отлынивающих от работы сотрудников. На деле это так и есть, но также с точки зрения информационной безопасности это и механизм предотвращения угроз и своевременной профилактики. Человеческий фактор занимает не последнее место как в утечках и взломах, так и в потерях доходов компаний.
В продукте «СёрчИнформ КИБ» — DLP‑системе, которая контролирует почту, мессенджеры и другие информационные каналы, есть встроенные аналитические инструменты, необходимые как для поиска нелояльных сотрудников или бездельников, так и контроля доступа к их рабочим местам в любое время.
Они позволяют собирать данные в виде Журнала рабочего времени и формировать статистику о приложениях и веб‑ресурсах, с которыми работал сотрудник, его графике в целом. Инструменты устанавливаются непосредственно на рабочую станцию и незаметны для пользователя.
Расскажем подробнее, как можно их использовать.
В российской ИТ-компании «Криптонит» (входит в «ИКС Холдинг») криптографы представили модель для анализа безопасности протоколов анонимной аутентификации, применяемых в сетях 5G. Разработка, получившая название sigmaAuth (σAuth), направлена на повышение устойчивости мобильных сетей к кибератакам и защиту цифровой идентичности пользователей.
Предложенная модель позволяет выявлять уязвимости в протоколах связи и подтверждать их стойкость с помощью строгих математических доказательств. σAuth уже может применяться для анализа отечественных решений 5G-AKA-GOST и S3G-5G, которые сейчас проходят этап стандартизации в техническом комитете ТК26. Ожидается, что модель станет основой для дальнейшего совершенствования протоколов, обеспечивающих защиту от атак на анонимность, повторное использование сообщений и компрометацию ключей.
Согласно отчёту GSMA Intelligence, в конце 2024 года число подключений в сетях 5G по всему миру достигло 2 миллиардов. При этом 5G обеспечивает подключение не только смартфонов, но и промышленных систем, транспорта, датчиков, что создаёт широкую поверхность атаки. Одним из уязвимых элементов является процесс аутентификации: злоумышленники могут перехватывать сообщения, отслеживать пользователей или подделывать цифровые идентификаторы.
«Модель σAuth формализует понятие анонимности и учитывает сценарии, при которых нарушитель, например, может получить доступ к IoT-оборудованию. Это особенно важно сегодня, когда защита постоянных идентификаторов, таких как IMSI и SUPI, играет ключевую роль в обеспечении безопасности», — комментирует Владимир Бельский, заместитель руководителя лаборатории криптографии компании «Криптонит».
Эта статья описывает изощренную технику обхода Content Security Policy (CSP) на основе nonce-значений через эксплуатацию механизмов кеширования браузера. Автор демонстрирует, как комбинация CSS-инъекций, CSRF-атак и особенностей работы bfcache и дискового кеша может привести к выполнению произвольного JavaScript-кода даже при наличии строгой CSP.
В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения.
Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.
Данная статья посвящена уязвимости в Power Dependency Coordinator (CVE-2025-27736), исправленной Microsoft в апреле этого года.
В описании CVE сказано, что баг связан с раскрытием информации (адресов ядра).
Exposure of sensitive information to an unauthorized actor in Windows Power Dependency Coordinator allows an authorized attacker to disclose information locally.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-27736
Exploiting this vulnerability could allow the disclosure of certain memory address within kernel space. Knowing the exact location of kernel memory could be potentially leveraged by an attacker for other malicious activities.
В контексте изменений Windows 11 24H2 с ограничением NtQuerySystemInformation для определения адресов объектов, баги такого типа становятся еще более актуальны, поэтому мне стало интересно посмотреть пример такой уязвимости.
Из инструментов потребуются IDA Pro, BinDiff, WinDbg, для тестирования - Windows 11 или Windows 10 x64 с обновлениями до апреля 2025 (для тестирования работоспособности PoC) и актуальными обновлениями (для тестирования PoC после обновления).
Типичная проблема новичков при изучении языка программирования — они тонут в море учебных материалов. Интернет предлагает тонны статей, курсов и книг по C++, но как выбрать действительно стоящие?
Меня зовут Владислав Столяров, я руководитель команды анализа безопасности продуктов в мультипродуктовой экосистеме МойОфис. Наши решения — Документы Настольные и Документы Онлайн — во многом работают благодаря C++, так что мне есть чем поделиться. В этой статье расскажу, что делать, если вы вдруг решили залететь в плюсы, но уже чувствуете, как накрывает экзистенциальный кризис от обилия информации.
В этом разборе подробно рассматривается решение седьмого задания, сочетающего реверс-инжиниринг и анализ .NET Native AOT-приложения, создание FLIRT-сигнатур и криптоанализ эллиптической кривой.
Порядок генераторной точки оказался составным, что позволило применить метод Полига–Хеллмана и восстановить приватные ключи. После расшифровки сетевого трафика был извлечён флаг.
Эта задача удачно объединяет технический анализ исполняемого файла с практическим применением методов криптоанализа.
Самозанятые и ИП в большинстве своем являются операторами персональных данных. Да, даже в том случае, если нет сайта, нет рассылки. Мы по умолчанию становимся операторами просто оказывая услуги своим клиентам и так или иначе обрабатывая персональные данные клиентов.
Операторы обязаны подавать уведомление в РКН до начала обработки персональных данных. Это старая норма, нет, она не появилась только в этом году. Просто до 30 мая действовали старые штрафы (около 500 рублей), а с 30 мая появилась отдельная статья за неподачу уведомления и стали действовать новые:
Ранее в блоге beeline cloud мы рассказывали про веб-приложения компаний: почему они часто становятся целями злоумышленников и что способны им противопоставить решения WAF — Web Application Firewall. Сегодня рассмотрим несколько инструментов такого класса от разработчиков из Китая, Франции и Италии.
Мы в Beget традиционно делаем ставку на безопасность и стабильность предоставляемых сервисов. Именно поэтому ещё в 2017 году запустили собственную программу поиска уязвимостей, а в прошлом году присоединились к инициативе BI.ZONE Bug Bounty, где продолжаем активно взаимодействовать с исследователями со всего мира.
Около четырёх месяцев назад один из участников программы нашёл критическую уязвимость в архивном, но всё ещё популярном веб-почтовом клиенте RainLoop. Мы оперативно отправили багрепорт в апстрим и, как выяснилось позже, сам багхантер также напрямую уведомил разработчиков проекта.
RainLoop мы долгое время предлагали пользователям как альтернативный почтовый клиент. Однако после обнаружения уязвимости приняли решение полностью отказаться от его использования и перевели всех активных пользователей на основной, поддерживаемый интерфейс.
Согласовав публикацию с автором находки, мы рады представить полный технический разбор атаки без изменений. Получился увлекательный отчёт, в котором нашлось место и для криптографии, и для нестандартных подходов к эксплуатации.
Если вы интересуетесь безопасностью PHP-приложений, работой с legacy-софтом или просто любите хорошие багхантерские истории — этот текст определённо для вас.
В этой статье я поделюсь своим опытом в создании паролей для разных сайтов, а также некоторыми методиками, которые я использую, чтобы обезопасить себя и снизить риски подбора/кражи пароля. Сразу говорю, что я не претендую на абсолютную истину и не гарантирую, что мои решения будут действительно хорошими. Это лишь то, что делаю я сам. Возможно какой-нибудь эксперт в области инфобезопасности раскритикует мою статью – и в таком в случае в самом конце статьи я добавлю раздел "Upd.", куда помещу известные проблемы.
Приятного чтения!
Продолжаем серию обзоров законов, приказов, постановлений и инициатив регуляторов, касающихся информационной безопасности. В этой серии – о том, что изменилось в ИБ-регулировании во 2 квартале 2025 года.
Обычно я пишу про статический анализ, баги и оформление кода. Однако сейчас меня притянуло к тематике РБПО (разработка безопасного программного обеспечения). Это связано с тем, что статический анализ является одним из основополагающих процессов безопасной разработки.
Всё началось с цикла публикаций про ГОСТ Р 56939-2024 в моём Telegram-канале "Бестиарий программирования". Мой внимательный читатель Виталий Пиков из УЦ МАСКОМ, увидев это, пришёл и сказал: "А давай больше!" Он предложил запустить целый цикл совместных вебинаров, где последовательно разобрать все 25 процессов, описываемых в ГОСТ Р 56939-2024. И идея мне понравилась.
Российский рынок Bug Bounty переживает интересные времена. После ухода таких гигантов, как HackerOne, отечественные площадки начали развиваться гораздо активнее. Интерес к локальным платформам растет и со стороны компаний, и со стороны исследователей. Всё больше багхантеров начинают присматриваться: что вообще происходит на рынке? Какие платформы на слуху? И почему Bug Bounty вдруг стал интересен не только крупным корпорациям, но и среднему бизнесу?
На связи Алексей Гришин, директор по развитию сервисов кибербезопасности в Бастионе. В этой статье — честный разбор того, как устроен российский рынок Bug Bounty с точки зрения исследователя. Я расскажу, какие нюансы стоит учитывать при работе с отечественными платформами, чем наши площадки отличаются от зарубежных аналогов, и каковы перспективы развития этого направления в России.
Готовы погрузиться в мир белого хакинга по-русски? Тогда начнем!
Резидентный прокси — это прокси-соединение, использующее интернет-устройство конечного пользователя (ПК, смартфон, умный телевизор, роутер и др.) для предоставления сетевого доступа третьим лицам. Такой доступ может быть как с согласия владельца, так и — что чаще — без его ведома. В результате создаётся иллюзия, что интернет-активность исходит от обычного домашнего пользователя, а не от злоумышленника. Это позволяет киберпреступникам маскироваться и обходить системы защиты, расширяя теневой рынок хостингов и прокси.
Привет, Хабр! Меня зовут Андрей, и в Компании «Актив» я отвечаю за развитие направления многофакторной аутентификации. В 2023 году мы выпустили линейку первых и (пока) единственных отечественных устройств на базе технологии FIDO2 – Рутокен MFA. Хотя FIDO2 в мире существует уже 7 лет и многие отечественные бигтехи (вроде Яндекса и VK) уже внедрили ее в свои сервисы, отечественные потребители слабо знакомы с этой технологией.
Как первопроходцам, нам, как компании, и мне лично пришлось заниматься евангелизмом и просвещением, что же это за такая технология, как она упрощает жизнь пользователям и какие преимущества несет. Самый популярный вопрос, который мне приходил – «А в чем разница с PKI?».
Сравнение двух технологий – читайте ниже во всех подробностях.
Атака осуществляется через браузер, когда вы используете его для копирования кода со StackOverflow или ChatGPT. Я называю это clipjacking («перехват буфера обмена»), это как clickjacking, но круче. Расскажу о нескольких полезных техниках, которые могут пригодиться при создании Proof‑of‑Concept (PoC) для атак на клиентской стороне.
Рассмотрим, как дорогостоящие и труднодоступные проприетарные решения для визуализации электронной подписи могут быть заменены собственной разработкой. Я расскажу о пути создания десктопного приложения на C# с использованием КриптоПро SDK, способного не только накладывать визуальную метку на PDF-документы, но и осуществлять их криптографическую подпись сертифицированными средствами.
На прошлой неделе компания Stratascale опубликовала информацию сразу о двух уязвимостях в утилите sudo, повсеместно используемой в дистрибутивах на базе Linux для временного изменения набора привилегий пользователя. С помощью sudo можно выполнять команды от имени суперпользователя либо от имени любого другого пользователя в системе. Обе проблемы в некоторых случаях приводят к возможности выполнения локальным пользователем команд с привилегиями root, даже если у него нет на это прав. Уязвимости также являются следствием ошибок в логике работы sudo, которые оставались незамеченными достаточно долго: в одном случае два года, в другом больше 10 лет.