Привет!
Меня зовут Джебарсон Иммануэль, мне 19 лет, я исследователь безопасности и охотник за уязвимостями. Мне посчастливилось помочь обеспечить безопасность более 50 организаций, включая такие гиганты, как Oracle, eBay и Bosch.
В этой статье я расскажу, как простое сканирование портов в Google привело к вознаграждению в $500.
Всем привет! Сегодня разбираем, как найти человека, зная только его телефонный номер. В этом помогут социнженерия, геолокаторы, OSINT и ADINT и прочие доступные методы.
И главное, объясним, как уберечься от такой слежки самому. А это вопросы приватности в соцсетях, готовность столкнуться с социальной инженерией и регулярная проверка своих устройств на предмет лишних разрешений и сомнительных приложений. В общем, все базовые вещи, которые необходимо знать любому, кто опасается слежки или просто заботится о своей приватности. Подробнее читайте под катом!
710 млн записей с персональными данными россиян утекли в сеть в 2024 году. Роскомнадзор официально зафиксировал 135 таких утечек.
Власти отреагировали на рост их числа: оборотные штрафы, усиленные санкции за утечку биометрии и много других новшеств. Рассказываем о рисках, штрафах и даже сроках. А также о действиях, которые помогут этого избежать.
В ПравоТех мы создаём решения для юристов, HR, управленцев и других специалистов, чья работа связана с конфиденциальными данными. Наши клиенты неизменно предъявляют высокие требования к информационной безопасности, и это закономерно отражается в договорах — целыми разделами об обработке данных, сроках обновления информации и многом другом.
Работая в такой среде, мы постоянно размышляем о культуре ИБ. Разработчики, тестировщики, DevOps и сисадмины, как правило, хорошо осведомлены об угрозах и осторожны. Но безопасность компании — это общее дело. Злоумышленники часто ищут лазейки там, где их меньше всего ждут, целенаправленно атакуя сотрудников, чья повседневная работа не связана напрямую с техническими деталями. Именно такие коллеги, в силу специфики своих задач и доверия к другим внутри компании, могут невольно стать мишенью для изощрённых атак.
Как же эффективно донести до всех сотрудников суть современных киберугроз? Как сформировать не просто список "что нельзя делать", а глубокое понимание тактик злоумышленников, их уловок и масок?
Вместе с нашей командой обучения (Tutors) мы нашли формат — короткие художественные истории. Они показывают, как обычные рабочие (и не только) ситуации могут обернуться серьёзными инцидентами безопасности. Сегодня публикуем первую историю из серии — «Антибонус». Это история о том, как мечта о заслуженной премии обернулась кошмаром из-за пары сообщений и одного неверного решения.
Знакомьтесь с героями:
Менеджер: Макс - типичный сотрудник, занятый своими задачами. Он не параноик, доверяет коллегам и системам, иногда может пойти навстречу или проявить неосторожность в спешке. Его цель — просто хорошо делать свою работу.
QA-инженер: Лена - коллега с техническим бэкграундом. Она знает "кухню" цифровых угроз и пытается предупредить ошибки, но не всегда её вовремя слышат.
Внедрение атрибутивной модели доступа (ABAC) в крупной корпоративной системе на микросервисах — это всегда испытание для архитекторов, разработчиков и бизнес-аналитиков. ABAC — одна из самых сложных областей IAM (Identity and Access Management) в корпоративных платформах, и даже простая модель может сломать мозг и пользователям, и инженерам. Рассказываю, как я реализовал масштабируемую систему с миллионами сущностей без потери производительности и сохранили простоту API для конечного разработчика.
Представьте себе, что вам надо собрать автомобиль. Когда вы решаете построить машину с нуля, вам нужно подобрать множество компонентов. Вы ищете лучший двигатель, самые надежные шины, удобные кресла и качественные материалы для салона. Но даже идеальные детали — это только половина дела.
Главная сложность — собрать все компоненты в работоспособную систему. Без грамотной интеграции можно получить либо сразу Формулу-1, либо кучу дорогущего хлама весом в пару тонн. А иногда возникают неожиданные проблемы — например, когда прекрасное кресло гоночного болида просто не помещается в салон.
Точно такие же вызовы стоят перед нами при развитии софта для автоматического обнаружения атак. Мы должны не просто выбрать лучшие технологии, но и обеспечить их слаженную работу. Под катом вы узнаете все подробности.
Всем привет! На связи снова Яков Филевский, эксперт по социотехническому тестированию Angara Security, поделился опытом общения с мошенниками
Telegram остается одним из наших основных мессенджеров, а аккаунт в нем — рабочим и социальным активом. Уверены, что сможете не потерять его при атаке мошенников? Представим человека, который увереннее среднего пользователя ориентируется в крипте и цифровой безопасности. Пара неверных действий — и даже он теряет доступ к своему аккаунту. Минус активы, минус аккаунт, а с ним — все переписки и половина рабочей/социальной жизни. Яков Филевский, эксперт по социотехническому тестированию Angara Security, рассказывает, как выглядит «угон „телеги“» с точки зрения социальной инженерии.
Как социальный инженер сразу скажу: обмануть можно кого угодно, мошеннику нужно лишь оказаться в нужное время в нужном месте. Зачастую это не так сложно, как кажется. Здесь будет история человека, которая, надеюсь, убедит вас внимательнее относиться к безопасности в Telegram. Особенно если вы решились на эксперименты с криптой.
Привет! 👋 Меня зовут Алина. Я маркетолог и давно работаю в ИТ, но с безопасной разработкой познакомилась только когда пришла в продуктовую студию по кибербезопасности Axel PRO. И знаете, эта область заинтересовала меня в процессе работы. А еще у меня есть интересное хобби — я люблю играть в Dungeons&Dragons, иначе говоря — ДНД 🎭. И вот что я заметила: процесс разработки ПО очень похож на эту игру. Сейчас расскажу, почему.
Представьте, что разработка ПО — это ваша игра в Dungeons&Dragons. Вы собрали отряд: разработчиков, тестировщиков, продакт‑менеджеров, выбрали для них роли и отправились в приключение — создавать крутой продукт 🚀.
Но вот загвоздка: пока вы исследуете подземелья (пишете код) 🏰, на каждом шагу вас поджидает разная нечисть — уязвимости‑ловушки 🕳️, баги‑драконы 🐉 и орки‑ошибки конфигурации 🪓. Если вы не взяли с собой защитные свитки с политиками и шаблонами безопасности 📜, зелья исправления уязвимостей 🧪 и доспехи из безопасных практик 🛡️ — ваша команда рискует быстро проиграть.
Собираем команду
Как и в мире ДНД, в безопасной разработке у каждого участника команды есть своя уникальная роль и задачи. Например:
⚔️ Бэкенд‑разработчик — это воин, который создает и защищает код, отражая атаки.
🧙♂️ Тестировщик — маг, исследующий систему с помощью «заклинаний» тестов, чтобы найти слабые места.
⛩️ Администратор инфраструктуры — жрец, поддерживающий стабильность и безопасность серверов и окружения
🎶 HR‑менеджеры и менеджеры проекта — подобно бардам, поддерживают коммуникацию и помогают команде достигать общих целей.
Всем привет!
Это уже 5-й блок заданий из серии Starting Point. В нем вкратце разберем протокол RDP.
Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.
Всё самое интересное из мира кибербезопасности /** с моими комментариями.
На этой неделе новости про то, почему теперь свой телефон лучше вообще никому не давать, про критическую уязвимость в sudo, про молодой талант, который работает на Microsoft, про планируемые нововведения в IOS и другие только самые важные и интересные новости из мира информационной безопасности.
Волна поддельных страниц CAPTCHA, которые обманывают пользователей, заставляя их вставлять вредоносные команды в диалоговое окно «Выполнить» (Windows Run). Используются файлы (например, MP3, PDF) с внедрённым запутанным JavaScript, распространяемым через фишинговые письма, вредоносную рекламу (malvertising) или SEO-отравление. Загрузки исполняются в памяти с использованием mshta.exe или PowerShell, что позволяет часто обходить традиционную файловую детекцию. Эти атаки обеспечивают эксфильтрацию данных, кражу учётных данных, удалённый доступ, развертывание загрузчиков через такие вредоносные программы, как Lumma Stealer, Rhadamanthys, AsyncRAT, Emmenthal и XWorm.
Всем привет! Подводим итоги июня дайджестом ключевых ИБ-новостей. В середине месяца прогремела беспрецедентная 16-миллиардная утечка паролей, которой не было — сенсация оказалась не более чем журналистской уткой.
Из реальных событий, Claude показал неплохие результаты в сценарии с багхантингом. Mr.d0x представил перспективные варианты популярной атаки ClickFix. Исследователи обнаружили, что микрофоны ноутбуков и других устройств испускают радиосигналы с записанным звуком, которые легко перехватить. И наконец, четвёрке участников REvil вынесли приговоры, а во Франции поймали IntelBroker’a и ShinyHunters. Об этом и других интересных событиях июня читайте под катом!
Если в компании налажен контроль доступа к внутренним ИТ-ресурсам, хорошо не только спецам по ИБ, но и многим другим. Например, лидам, которые отвечают за доступы к базам данных в своих командах. И новым сотрудникам, избавленным от необходимости вручную собирать логины-пароли, а затем где-то их самостоятельно хранить.
В Сравни больше 300 технических спецов, и в силу тематики наших продуктов зачастую они работают с чувствительными данными. Нам требовалось решение, которое поможет не просто централизованно управлять политиками доступов, но и проводить полноценный аудит всех действий в системе (предыдущий процесс логирования явно нуждался в модернизации).
Под обе эти задачи заточены так называемые PAM-инструменты (Privileged Access Management). Под катом рассказываем, как мы обеспечили контроль доступов и аудит инфраструктуры с помощью одного из них. В том числе об особенностях его внедрения, возможностях и некоторых ограничениях, выявленных на практике.
Привет! Меня зовут Павел Козяев, я ведущий специалист по анализу киберугроз в BI.ZONE. Эта статья посвящена компрометации домена на FreeIPA. Разберемся с событиями FreeIPA, которые полезны для мониторинга, и векторами компрометации домена, когда злоумышленник получает доступ к ключевым компонентам. Расскажу про привилегии, которые есть у группы admins и учетной записи admin, про уязвимость CVE-2024-3183 (FreeIPA Roasting), про возможности злоупотребления HBAC- и Sudo-правилами, а также риски, связанные с учетной записью Directory Manager. А еще увидим, как включение одного параметра при создании разрешения может открыть доступ ко всем пользовательским паролям. Бонус в конце статьи — набор правил детектирования для SOC.
ак вы думаете, какой элемент вашей IT инфраструктуры самый главный? Межсетевой экран, сертифицированный ФСТЭК? VPN шлюз с российской криптографией? Сервер на базе процессора 1891ВМ038 Эльбрус-16С или Байкале BE-S1000?
Нет! Главный элемент информационной безопасности — это ваша клавиатура! Ведь именно клавиатура первой узнает ваш новый пароль, знает какие сайты вы посещаете и что вы пишете в мессенджерах. Вы уверены, что это вы стучите по клавишам, а не ваша клавиатура «стучит» куда-то на вас? Особенно, если эту клавиатуру вам подарили.
Если вы работаете в сфере физической безопасности, вы наверняка сталкивались с этим: камера, система контроля доступа или устройство обнаружения вторжений, установленные несколько лет назад и до сих пор функционирующие без единого обновления. Это распространённая ситуация, которую специалисты по безопасности привыкли считать «нормой». Но реальность такова: такое отношение напрямую подвергает организацию серьёзному риску.
Идея этого материала была у меня давно, ещё в 2021 году, когда я впервые попал на Standoff, и тогда я даже записал интервью с представителем Positive Technologies, но в итоге не получилось, потому что звук оказался очень плохим, даже с диктофона. Поэтому по прошествии четырёх лет я решил сделать серию материалов про киберполигоны. Я думал, материал получится в стиле NGFW, где у всех компаний есть типовые решения, отличия только в удобстве собственного ПО на железках, вендорах самого железа и интеграции с собственными разработками (у компании A интеграция в первую очередь с её ПО, у компании B — с её и так далее). Но киберполигоны меня удивили. Возможно, тех, кто прочитает всю серию интервью, и нет, но я тоже не ИБ-специалист с 50-летним стажем, и есть чему удивляться.
Итак, встречайте мой разговор с руководителем киберполигона и центра развития навыков компании Innostage Дмитрием Матвеевым. Мы поговорили о киберполигоне Innostage, его особенностях и нужно ли заказчику обосновывать затраты на разворачивание киберполигона внутри инфраструктуры. Приятного чтения!
Приветствую, Хабр! Вчера меня усадили за Win-машину и попросили посмотреть смартконтракт на Solidity в Cursor. Я зашел во встроенный магазин расширений и установил соответствующий плагин из топа поиска. Из заголовка понятно, что ничего я не получил, а лишь заразился в два клика.
Всем привет!
В этом материале мы подводим итоги IV Международного киберчемпионата
по информационной безопасности. Он стал рекордным по количеству участников:
мы собрали 190 заявок из 26 стран мира, из них отобрали 117 команд (40 команд было
в 2024 году). За победу сражались около 500 киберзащитников. Финал киберчемпионата состоялся на ежегодной конференции ЦИПР-2025 в Нижнем Новгороде, и мы уверены,
что он добавил динамики в международную программу форума.
Благодарим Минцифры России за поддержку киберчемпионата и МИД России за помощь в привлечении иностранных команд и продвижении формата киберучений в самых неожиданных уголках нашей планеты. И конечно же особая благодарность нашему технологическому партнеру – «Лаборатории Касперского».
Привет, Хабр! Меня зовут Ирина Созинова, я эксперт по информационной безопасности в Авито. Моя прошлая публикация была о том, как мы выстраиваем в Авито процесс оценки рисков безопасности. В этой же статье рассказываю, на какой функционал стоит обратить внимание при выборе инструмента в целом и что было важно конкретно для нас. А еще — разбираю плюсы и минусы системы класса GRC для управления рисками.