Информационная безопасность

Сегодня история на грани техники, психологии и детектива. Расскажу о том, как мы (я и мой коллега) попали во внутренние чаты мошенников и что из этого вышло.

Когда мы вспоминаем о потерях из-за информационной безопасности, чаще всего в голове начинают крутиться крупные утечки, взломы или штрафы от контролирующих органов. Но реальность куда менее эффектная и куда более болезненная. Бизнес теряет деньги не только из-за громких инцидентов, а ежедневно — из-за ИБ-рутины, хаоса в процессах, неэффективной организационной модели и отсутствия единой системы управления. Это те потери, которые не попадают в новости, даже редко учитываются в самих компаниях, но именно они незаметно вымывают ресурсы бизнеса.

Часто встречаются ситуации, когда организация годами наращивает парк средств защиты, нанимает новых сотрудников, проходит аудиты — и всё равно продолжает жить в мире бесконечных инцидентов и «затыкания дыр». Давайте разберём, где и почему бизнес теряет деньги из-за неэффективной ИБ, какие маркеры указывают на системные проблемы и как автоматизация процессов всё это может изменить.

Почему оборудование и люди не спасают, а ИБ превращается в кошмар

В российском корпоративном секторе давно сформировался миф: если купить больше средств защиты, инцидентов станет меньше. На практике компании увеличивают бюджеты, нанимают специалистов, внедряют отдельные решения, но итоговый уровень защищённости остаётся низким. Аудиты фиксируют год от года одни и те же замечания, инциденты продолжают происходить, а ИБ-службы тратят всё больше времени на рутину, вместо того чтобы управлять рисками.

Основная причина — не в недостатке денег и даже не в нехватке кадров. Проблема в том, что процессы не выстроены как система. Когда каталог пользователей заполнен «мусорными» учётными записями, когда на серверах отсутствует базовая гигиена, когда межсетевые экраны работают по правилам пятилетней давности, ни один, даже самый модный продукт не спасёт. Большинство инцидентов в таких организациях происходят не из-за сложных атак, а из-за банальных ошибок: забытые пароли, неотключённые доступы, компьютеры без антивируса, невыданные или неотозванные права.

В июле 2024 года был опубликован блог об исследовании специалистами Threat Intelligence компании F6 активности VasyGrek и его сотрудничестве с продавцом ВПО Mr.Burns. После публикации F6 VasyGrek прекратил сотрудничество с этим поставщиком вредоносных программ.

Аналитики департамента киберразведки F6 продолжили отслеживать атаки злоумышленника, который не прекращал свою активность и осуществлял новые фишинговые рассылки в адрес российских организаций. Целью киберпреступника был доступ к конфиденциальным данным для их дальнейшего использования. Как правило, VasyGrek применял вредоносное ПО, разработанное пользователем хак-форумов PureCoder. Также специалисты F6 заметили, что в некоторых атаках в дополнение к ВПО от PureCoder шел шифровальщик Pay2Key.

В новом блоге аналитики F6 рассказали об инструментах и атаках VasyGrek в августе-ноябре 2025 года с техническими деталями и индикаторами компрометации.

Сегодня трудно представить жизнь без смартфона. Мы доверяем ему личную переписку, фотографии, платежные данные и доступы к финансовым и медицинским сервисам. Но задумываетесь ли вы, насколько надежно защищены ваши данные?

Ответ во многом зависит от операционной системы — именно она определяет уровень вашей безопасности. Ваши личные «сокровища» защищают две основные системы: iOS от Apple и Android от Google. Их принципы работы различаются, поэтому отличаются и слабые места, и способы защиты.

В этой статье мы не будем советовать, какой смартфон выбрать. Зато подробно сравним защиту iOS и Android по ключевым параметрам: от безопасности и удобства до экосистемы и функциональности.

Система быстрых платежей (СБП) существует достаточно давно, но бытовые переводы «по номеру телефона» всё ещё регулярно вызывают ошибки, путаницу и лишние действия.
Если открыть комментарии под любой статьёй на эту тему — гарантированно найдёшь реплики вида:

«Но ведь можно просто скопировать контакт? Или показать QR из банка. Зачем вообще что-то ещё?»

Проблема в том, что в инженерных рассуждениях мы часто видим идеальные сценарии, а в реальной жизни всё намного менее стерильно.

В этой статье — разбор, почему бытовые переводы по номеру на практике всё ещё далеки от идеала, с точки зрения UX, безопасности, разрозненности банковских реализаций и человеческого фактора.
И почему альтернативные способы (vCard, контакт, QR из приложений банков) не всегда закрывают эту бытовую рутину.

Здесь нет рекламы и нет призывов пользоваться каким-то конкретным инструментом.

Это исследование проблемы, которая всплывает каждый день у людей вне IT-пузыря.

У мошенников нет ничего святого! Хакеры взялись за Google: подделка подписей теперь не обязательна, ведь можно заставить Google подписывать фишинговые письма валидным DKIM самостоятельно. Если раньше опытный ИБ-специалист мог сходу разобраться, где фишинговое письмо, а где — нет, сейчас это сделать в разы сложнее. И дело вовсе не в популярных нейронках, изощренном социальном инжиниринге или слитых базах.

Несем вам горячий кейс о том, как мошенники научились злоупотреблять настройкой OAuth-приложений, используя официальные инструменты Google для отправки поддельных писем от no-reply@accounts.google.com.

Спойлер: хотя Google уже устранил возможность вставлять произвольный текст в название OAuth-приложений, сама техника повторного использования легитимной DKIM-подписи никуда не делась. На её основе по-прежнему можно реализовать сценарии, позволяющие обходить DKIM-аутентификацию.

Управление секретами — одна из наиболее критичных задач в корпоративной ИТ-инфраструктуре. От того, насколько надежно и централизованно хранятся ключи API, пароли, токены и сертификаты, зависит не только безопасность сервисов, но и устойчивость всего бизнеса.

С ростом популярности отечественных решений особое внимание уделяется возможности интеграции с российскими СУБД. В этом материале команда «Онланты» делится опытом тестирования StarVault — системы управления секретами — в связке с Postgres Pro в лабораторных условиях.

Цель эксперимента — проверить, насколько Postgres Pro подходит для использования в качестве внешнего хранилища StarVault, оценить производительность и устойчивость конфигурации, а также проработать сценарии аварийного восстановления.

Как выглядит веб-приложение с точки зрения злоумышленника?

Чтобы ответить на этот вопрос, сегодня мы возьмем заведомо уязвимое приложение и на его примере разберемся, как искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить в исходном коде.

Вы можете развернуть учебную среду на своей машине, повторять команды и проверять результаты их выполнения на вашем экземпляре приложения. Для демонстрации техник разведки и инструментов я использую общеизвестные уязвимые ресурсы: demo.testfire и testphp.vulnweb. Их URL я положил в workshop/urls.txt в репозитории проекта.

Дисклеймер: статья носит ознакомительный характер, и любые попытки злоупотребления данной информацией незаконны и могут повлечь за собой уголовное преследование в соответствии со статьями 272 и 273 УК РФ.

Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000 репозиториев через npm с кражей учетных данных на этапе preinstall. Вредоносные (троянизированные) пакеты npm загрузили в реестр между 21 и 23 ноября 2025 года.

Подобно атаке Shai-Hulud, выявленной в сентябре 2025 года, нынешняя версия также публикует украденные секреты в GitHub, но теперь с описанием репозитория «Sha1-Hulud: The Second Coming» — «Sha1-Hulud: Второе пришествие».

Такая вот незатейливая формула. Спрут 1 – это Test Access Point и Data Diode в одном флаконе. КДПВ перед Вами.

В последние годы вопросы защиты персональных данных в образовании вышли на первый план из-за участившихся инцидентов. Регулятор требует, чтобы детские сады оформляли все документы по новым правилам и не допускали утечек данных воспитанников. К тому же родители стали более осведомлены о своих правах: жалобы в случае разглашения информации о ребенке могут привести к проверке и санкциям. Одной публикации на сайте списка детей или фотографий без согласия достаточно, чтобы создать проблемную ситуацию. Таким образом, владеть базовыми знаниями о 152-ФЗ сегодня необходимо каждому руководителю ДОУ. Поэтому, а еще потому что у большинства детских садов нет собственного специалиста по защите персональных данных, а приглашать внешнего эксперта часто не позволяет бюджет я решил написать эту статью. Надеюсь она поможет разобраться ответственным лицам (заведующим, директорам, юристам дошкольных образовательных учреждений (ДОУ)).

Большинство общих обзоров закона о персональных данных, к сожалению, мало пригодны для решения практических задач в детском саду. Моя цель – изложить требования максимально прикладным языком, с акцентом на реальных ситуациях ДОУ. Предположу, что читателю уже знакомы базовые понятия: кто такой оператор и лицо, действующее по поручению оператора, какие принципы обработки данных установлены законом, что включает в себя политика оператора по ПДн, а также общие меры защиты информации. Не вдаваясь глубоко в теорию, сконцентрируюсь на специфике дошкольных учреждений и дам пошаговые рекомендации. Статья структурирована так, чтобы ее можно было легко прочитать и использовать как справочник – вы сможете цитировать отдельные разделы или пересылать коллегам.

Специалисты «Лаборатории Касперского» опубликовали на прошлой неделе свежую статью, в которой подробно описывается работа ботнета Tsundere. Имплант данного ботнета использует для коммуникации протокол WebSocket, а для первоначального соединения с командным сервером задействует необычный механизм с применением смарт-контрактов в криптовалютной сети Ethereum.

Исследователям не удалось достоверно определить первоначальный вектор заражения данным вредоносным кодом. В одном задокументированном случае имплант был установлен с помощью файла pdf.msi, который, в свою очередь, был загружен со скомпрометированного веб-сайта. По имеющимся названиям других образцов можно также предположить, что организаторы атаки используют в качестве приманки популярные игры для Windows, в частности Valorant, Counter-Strike 2 и Tom Clancy’s Rainbow Six Siege X. Распространяется имплант как в виде инсталлятора MSI, так и в формате скрипта PowerShell.

Эти выходные прошли под эгидой Connection Reset. Пока новостные каналы писали расплывчатое «пользователи жалуются на сбои», мы в чатах и на тестовых стендах пытались понять физику процесса.

Если бы кто-то создал кнопку «Сделать безопасно», то заработал бы миллиарды. Но увы — такой не существует, приходится всё делать вручную.

Привет, Хабр! Меня зовут Анна Лучник. Последние два десятилетия я реализую сложные и безопасные ИТ-проекты.

В этой статье расскажу:

От каких угроз может защитить внедрение Service Mesh в теории и на практике.

Какие конфигурации и решения обесценивают включение mTLS, на какие конфигурации стоит обратить внимание, чтобы всё корректно работало.

Поговорим о том, чем mTLS отличается от обычного TLS.

К каким сбоям и проблемам может привести режим strict mTLS. И что делать, чтобы безопасность на стала причиной того, что у нас ничего не работает. 

В современном мире, где киберугрозы становятся всё более изощрёнными, а квантовые компьютеры угрожают взломать традиционные криптографические алгоритмы, возникает острая необходимость в новых подходах к защите информации. Волновая криптография на основе геометрической волновой инженерии (ГВИ) предлагает новое решение, основанное не на математической сложности, а на физических законах.

На связи CISO Дмитрий Бабчук, и сегодня я хотел бы поговорить о метриках информационной безопасности — о том, какие из них действительно доносят ценность ИБ до бизнеса, а какие остаются просто техническими цифрами в отчетах.

На протяжении многих лет спутники на геостационарной орбите (ГСО) были основным средством обеспечения высокоскоростной связи с удалёнными объектами. Они используются для телевидения и интернета, в том числе через WiFi на борту самолётов, а также для связи с GSM-вышками в удалённых районах.

Однако недавнее исследование показало, что этот трафик часто передаётся незашифрованным и доступен для перехвата на недорогом оборудовании:

спутниковая антенна ($185);

крепление на крышу ($140);

мотор для крепления ($195);

тюнер ($230).

Весь эксперимент они описали в научной работе для конференции ACM.

Disclaimer: Эта статья предназначена исключительно для образовательных целей и повышения осведомлённости о киберугрозах. Любое использование описанных техник в злонамеренных целях строго запрещено и преследуется по закону.

Security Support Provider Interface (SSPI) - программный интерфейс в Microsoft Windows между приложениями и провайдерами безопасности.

В статье рассмотрим:
1. Как устроен SSPI и зачем нужны провайдеры
2. Разбор и создание кастомного SSP для перехвата учетных данных
3. Где искать следы в системе: реестр, логи, артефакты
4. Методы обнаружения и защиты

В начале года мы отметили тенденцию на общий рост количества и мощности кибератак. Сегодня посмотрим, что произошло за последние месяцы — взглянем на актуальные работы исследователей и отчеты профильных компаний по данной теме.