Информационная безопасность

Привет, защитники! На связи Pensecfort.

В видео я разобрал, что такое SCA (Security Configuration Assessment) в Wazuh — ваш личный системный аудитор, который автоматически проверяет серверы на соответствие стандартам безопасности (CIS, NIST, PCI DSS и вашим внутренним политикам).

Wazuh из коробки даёт отличные политики на основе CIS Benchmarks. Но что делать, если у вас:

• специфичный корпоративный стандарт?
• нужно проверять кастомные приложения?
• хочется убедиться, что разработчики не оставили debug: true в продакшене?

Ответ один — писать свои кастомные политики.

Сегодня я разберу анатомию SCA-политик от и до, покажу все подводные камни и в конце дам готовый мощный пример для SSH Hardening. Также вот ссылка на официальную документацию.

В этом месяце: роутеры Keenetic обновляются самостоятельно, Microsoft борется с KMS-активацией Windows, Минцифры дополнило «белые списки» сайтов, маршрутизаторы Asus подверглись массовому взлому, исследователи сумели собрать личные данные 3,5 миллиарда пользователей WhatsApp, а также другие важные и интересные события ноября.

28 ноября 2025 года для многих началось с жалоб на WhatsApp. Текстовые сообщения и медиафайлы у части пользователей не доходят, а также при попытке голосового или видеовызова клиент бесконечно висит на статусе «Подключение», после чего сбрасывает звонок.

Операторы связи («МегаФон», «Билайн») рапортуют о штатной работе сети. И технически они не врут: связность есть, IP-адреса Meta (по большей части) доступны. Проблема лежит глубже — на уровне L7 фильтрации ТСПУ.

Ни на один стикер не влезут пароли от десятка root-учеток в разных сервисах, JWT-токены, API-ключи и другие секреты, с которыми работает IT-команда. С задачей куда лучше справится корпоративное хранилище паролей.

Нужно ли его резервировать, как правильно защищать, где и какие секреты хранить — в экспертном разборе практических кейсов.

Привет, Хабр! 30 ноября отмечается международный день защиты информации. Мы как ИБ-компания не можем оставить этот факт без внимания. В этом году событие выпадает на воскресенье, на которое у всех точно будут свои планы, поэтому предлагаем отметить профильный праздник уже сегодня, 28 ноября.

Мы решили собрать наших ИБ-специалистов и устроить дискуссию в формате ask me anything в комментариях — просто заглядывайте в статью, оставляйте свои вопросы по ИБ нашим экспертам, а мы постараемся оперативно на них ответить.

Сегодня в эфире:

- Илья Башкиров, юрист по информационной безопасности, будет отвечать на все вопросы, связанные с законодательством в инфобезе, тонкостями и юридическими аспектами, которые важно учесть при работе с персональными данными. 

- Николай Берко, развивает продукты по анализу и защите данных и готов прокомментировать любые вопросы, связанные с защитой информации, от классических способов до более изощрённых историй.

- Эликс Смирнов, эксперт-консультант и ведущий кейс-аналитик, кажется, знает всё про внутряки инфобеза: ухищренные сливы, расследование инцидентов, мошеннические схемы, кибершпионаж и, конечно, способы противодействия всему этому. 

- Роман Сафиуллин, руководитель отдела защиты информации в InfoWatch ARMA, подразделении ГК InfoWatch по обеспечению кибербезопасности АСУ ТП и защите сетевой инфраструктуры бизнеса. Задавайте вопросы Роме, если хотите обсудить внешние и внутренние угрозы с точки зрения ИБ: хакерские атаки, внутренних нарушителей, способы проникновения в инфраструктуру, риски для бизнеса. В фокусе экспертизы Романа также вопросы про атаки на различные виды ML-систем и способы защиты решений на базе ИИ. 

В статье мы хотим символически подвести итоги уходящего ИБ-года: расскажем про самые значимые обновления наших продуктовых линеек, сделаем подборку интересных историй про уязвимости и инциденты и поделимся кратким обзором самых важных регуляторных обновлений в ИБ.

В условиях растущих киберугроз и ограниченных бюджетов вопрос обоснования инвестиций в информационную безопасность становится ключевым для CISO. В этой статье на основе 10-летнего опыта рассматриваются три практических подхода к формированию бюджета ИБ: от рисков, от требований и от отраслевых бенчмарков. Вы узнаете, как перевести разговор с руководством из плоскости «стоимости» в плоскость «ценности» и защиты бизнеса, а также получите готовый шаблон для структурирования вашего следующего бюджетного запроса.

Голография, как метод восстановления волнового фронта, может быть использована не только для записи и восстановления трехмерных изображений объекта. Фундаментальное свойство голографии – делимость голограммы (возможность восстановления полного изображения объекта по фрагменту голограммы) – представляет интерес для помехоустойчивого кодирования произвольных сообщений. Свойство делимости может эффективно использоваться при передаче информации по каналу связи с большим уровнем шума и/или при недостаточном уровне сигнала, когда могут быть искажены или утрачены большие фрагменты сообщения.

В этой связи интересен перенос принципов голографической обработки изображений на кодирование произвольных цифровых данных и разработка голографических методов помехоустойчивого кодирования, позволяющих корректировать множественные ошибки.

Принципиальным отличием помехоустойчивого кодирования от задач обработки изображений, обладающих внутренней избыточностью и допускающих приемлемую потерю точности, является требование точного соответствия декодированного блока данных исходному.  Рассмотренный метод основан на представлении исходного цифрового блока произвольных данных как изображения и расчете интерференционной картины волнового фронта, создаваемого этим изображением.

Кодирование информации (моделирование голограммы) и декодирование (восстановление цифрового массива) требует достаточно больших вычислительных ресурсов. Сложность вычислений можно значительно сократить, если использовать для представления исходного блока цифровой информации не двоичный, а единичный позиционный код. В этом случае оптическим объектом, для которого строится голограмма, является точечный источник на черном фоне, а информация закладывается в координаты точки на поле объекта. Результатом кодирования является простейшая голограмма – зонная пластинка Френеля, координаты центра которой несут кодируемую информацию.

Во время расследования инцидентов мы, команда Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке департамента Threat Intelligence (PT ESC TI) обнаружили следы использования вредоносного ПО (ВПО) KrustyLoader. Впервые ВПО было описано в январе 2024 года экспертами из команд Volexity и Mandiant. Оно было замечено в атаках с использованием RCE-уязвимостей нулевого дня в продукте Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан под Linux, однако позже появились версии под Windows. Примечательно, что на момент исследования загрузчик использовался только одной группировкой, которую мы называем QuietCrabs.

Дальнейшее расследование позволило обнаружить в инфраструктуре жертвы активность другой группировки. Интересно, что ее деятельность, вероятно, помешала QuietCrabs реализовать атаку и стала причиной, по которой на эту атаку обратили внимание. Мы предполагаем, что второй группировкой являются хакеры Thor.

В статье мы покажем цепочки атак, обнаруженные нами во время расследования, и расскажем про сами инструменты, которые использовали злоумышленники.

Привет, Хабр!

Меня зовут Виктор Пронин, я старший аналитик киберугроз в центре компетенций группы компаний «Гарда». Мы формируем для Гарда Threat Intelligence Feeds данные об угрозах на основе обезличенной телеметрии из наших инсталляций, а для получения более полной картины обращаемся, в том числе, и к информации из открытых источников.

В статье я расскажу об автоматизированной обработке публикаций по информационной безопасности. Кейс будет полезен аналитикам киберугроз и специалистам, интересующимся применением ML в ИБ.

Мы опросили 100 жертв и изучили методы, на которые они повелись
Нам удалось пообщаться с реальными мошенниками и заглянуть внутрь этих процессов.

Сначала обсудим основные этапы обмана, а потом изучим схемы с реальными диалогами и примерами.

18 ноября 2025 года вступили в силу изменения в порядок категорирования объектов критической информационной инфраструктуры. Постановление Правительства Российской Федерации №1762 полностью перестраивает подход к определению объектов КИИ, их значимости и последующим обязанностям субъектов. Фактически государство перезапускает весь механизм категорирования: от выявления объектов до контроля соблюдения требований.

Актуальная редакция порядка категорирования объектов критической информационной инфраструктуры уже доступна в сервисе SECURITM. Но нужно отметить, что факт публикации документа — только начало. Компании столкнутся с необходимостью пересматривать методики, документы, процессы мониторинга и всю архитектуру учета объектов КИИ.

Мы разобрались, что именно меняется и как организациям подготовиться к переходу на новую систему.

Постановление №1762 меняет важное

Если раньше категорирование строилось вокруг понятия «критических процессов», которые нужно выявить, описать, оценить и на их основе определить значимость объектов ИТ-инфраструктуры, то теперь этот элемент исключён полностью. В новой редакции нет анализа процессов, значимость больше не исходит из потребностей конкретной компании и не зависит от того, как она структурирует свои сервисы.

В этой статье мы расскажем, как использовать сторонние библиотеки PAM непосредственно из кода для делегирования задач достаточно гибким способом. В прошлом у нас уже была статья про разработку и применение простого PAM модуля для работы со смарт-картами. Рекомендуем ознакомиться для полного понимания.

Раньше мы уже рассказывали, как непросто подружить разработчиков и AppSec, безопасников и коллег из ИТ. На этот раз давайте посмотрим, какие сложности могут возникнуть внутри компании при взаимодействии людей с разным подходом к работе: стратегическим и операционным.

Здравствуйте, меня зовут Анна Мелехова. Я старший архитектор в отделе развития архитектуры KasperskyOS. В статье я хочу поделиться практическим опытом системной разработки, которой я занималась сначала в проекте по виртуализации, а теперь в «Лаборатории Касперского», где мы делаем микроядерную операционную систему с повышенными требованиями к безопасности – KasperskyOS. Когда вы работаете в такой среде, быстро понимаете: харденинг – это не красивые галочки в чек-листе, а набор очень конкретных, очень практических решений, которые должны и защищать, и минимально снижать производительность. О них я и расскажу, а в конце дам личный топ самых полезных харденингов, которые бустят security и не снижают performance.

Привет! Меня зовут Артур, я специалист по пентестам в компании Xilant. В этой статье разберём одну из наиболее опасных уязвимостей, обнаруженных в XWiki — CVE-2024-31982, которая позволяет добиться удалённого выполнения произвольного кода (RCE) через, казалось бы, безобидную функциональность поиска.

XWiki давно занимает ключевое место среди корпоративных Wiki-платформ благодаря гибкой архитектуре и мощной системе шаблонов. Однако именно эта гибкость сыграла против неё: некорректная обработка пользовательского ввода в механизме рендеринга шаблонов привела к появлению критической SSTI-уязвимости.

В материале я покажу, как устроена брешь, как она эксплуатируется и как выглядит автоматизированный PoC, который я написал на основе анализа опубликованного исследования автора jacaba с портала Vicarius.io.

В статье автор делится опытом создания собственного гибридного протокола шифрования ObscuraProto с нулявсего за два выходных дня. Проект, начавшийся как вызов самому себе для простого мессенджера, превратился в полноценную библиотеку на C++ с использованием libsodium.

Автор подробно разбирает архитектуру протокола, который сочетает асимметричную и симметричную криптографию. Описывается трехэтапный процесс «рукопожатия» (handshake) с использованием эллиптических кривых (X25519) для безопасного обмена ключами и обеспечения Perfect Forward Secrecy (PFS). Также объясняется выбор симметричного шифра ChaCha20-Poly1305 для быстрой и безопасной передачи данных и его преимущества перед AES‑GCM на устройствах без аппаратной поддержки.

Статья раскрывает детали реализации, включая структуру зашифрованных пакетов, защиту от replay‑атак с помощью счетчика сообщений и использование KDF для генерации сессионных ключей. Теоретические концепции подкрепляются наглядными примерами кода на C++. Эта статья будет интересна для тех, кто интересуется криптографией и любит создавать «велосипеды» в образовательных целях.

Перед каждой презентацией одна и та же история: собираешь инфраструктуру вручную, молишься богам DevOps и придумываешь отговорки на случай внезапных багов. С DevSecOps особенно весело: мало установить сам продукт, нужен целый зоопарк из GitLab, Kubernetes, сканеров безопасности и систем управления уязвимостями.

Поэтому мы собрали DevSecOps-песочницу, которая разворачивается одной кнопкой: подождал 15 минут — готово. Всё крутится на одной виртуальной машине с K3s, управляется через Terraform и Cloud-init, а главное — воспроизводится с гарантированным результатом.

Расскажу, как устроено это решение, с какими проблемами столкнулись и почему без автоматизации инфраструктуры сегодня никуда.

Над проектом работала команда из К2 Кибербезопасность: я, Максим Гусев, инженер по защите ИТ-инфраструктуры, и мои коллеги — Максим Виноградов и Александр Лысенко.

Привет! Меня зовут Виталий Шишкин, я эксперт продукта PT Container Security. За годы работы над продуктом MaxPatrol 10 мы строили аудит Linux на базе подсистемы auditd, которая решала свою задачу и достаточно просто настраивалась, но ситуация поменялась с появлением контейнеров, которые auditd корректно поддерживать не умеет. Поэтому эта задача потребовала не просто смену решения для аудита системы, но и создание целого продукта, который сможет учитывать особенности Kubernetes и используемые им технологии ядра Linux.

В настоящий момент, exiftool является мощным инструментом для анализа и изменения различной информации о файлах. Недавно, экспериментируя с файлами формата PNG и exiftool, я обнаружил одну занятную вещь, связанную с тем, что exiftool в стандартном режиме не считывает кастомные чанки PNG. В данной статье рассмотрим структуру файлов PNG и способ как вписывать невидимые для стандартного режима exiftool чанки в PNG.

Привет, Хабр! Я Ильдар Ишкинин, ведущий инженер Центра компетенций Innostage. В этой статье хочу поделиться результатами нагрузочного тестирования отечественного NGFW «Континент 4», которое мы провели в нашей лаборатории INSI (Innostage Security Infrastructure).