Информационная безопасность

Открытые инструменты, которые сканируют Wi‑Fi и Bluetooth‑подключения.

Pi.Alert - сканирует устройства, подключённые к Wi‑Fi. Находит и уведомляет о неизвестных девайсах. Предупреждает о резком отключении устройств от сети, которые всегда была подключены.

WireTapper - находит беспроводные сигналы вблизи пользователя на предмет фишинга и передачи вредоносов. Сможет найти ВСЕ Wi‑Fi сети, устройства Bluetooth, даже скрытые камеры, автомобили, наушники, телевизоры и сотовые вышки.

MetaRadar - находит и в реальном времени отслеживает Bluetooth‑устройства поблизости. Сможет определить их тип, а также расстояние до них.

В соцсетях рассказали, как выявить сайт, который продаёт и сливает персональные данные — достаточно при регистрации написать в строке «Отчество» его название.

Кожаным вход запрещён! Что будет дальше с Moltbook?

Разбирая новости и сам проект, анализирую куда всё повернётся. Поделюсь взглядом — он может не оправдаться, воспринимайте это как мой сон.

Обогатятся лишь соратники-основатели. У сервиса своя крипта — впереди байки о «удачливых спекулянтах», стартовавших из развалюхи в глухом городишке, а ныне облюбовавших клочок рая в Карибском море.

Вполне вероятно: Трамп с Маском напишут о ней в соцсетях, взвинтив цену до нескольких десятков миллиардов. Окрестят «гениальным чудом» и «будущим уже сегодня».

Занятнее — впереди. Конкуренты адаптируют концепцию, опубликовав «собственные» версии. Назвав инновационными разработками, но под капотом это лишь перелицованный клон.

Развязка — типичная для крипты: взлёт на ажиотаже («эх, зря не вложился раньше!»). Влиятельные фигуры продадут активы взятые на старте — и моментальный спад.

Биография Мэтта Шлихта спорная. Доступные данные напоминают кейс Элизабет Холмс: от триумфа к краху.

P.S. Поддержать можно подпиской на телегам канал "Инфобез", рассказываю просто про информационную безопасность.

ГК InfoWatch получила лицензию ФСТЭК на создание СЗИ для гостайны

ГК InfoWatch получила лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, в том числе предназначенных для защиты гостайны.

Лицензия позволяет осуществлять разработку, производство, испытания, ремонт, сервисное обслуживание, установку, монтаж, настройку, наладку и реализацию СЗИ.

До получения новой лицензии компания могла разрабатывать только средства защиты конфиденциальной информации.

MiniFilter и Protector/Rejector (ObCallback) в одном драйвере с управлением через C#

В продолжение этого поста.

Предлагаю вашему внимаю мою поделку основанную на MiniFilter, ObCallback и Avalonia

Можно грабить корованы защищать от закрытия, регулировать доступ к файлам и запрещать запускать процессы.

C# код для управления драйвером:

using System;
using System.Diagnostics;
using Avalonia.Controls;
using Avalonia.Interactivity;
using Avalonia.Threading;
using SharpMiniFilter.Driver.MiniFilter;
using SharpMiniFilter.Driver.Protector;

namespace SharpMiniFilter.Protected;

public partial class MainWindow : Window
{
    private bool allowClose = false;
    
    public MainWindow()
    {
        InitializeComponent();
        this.Closing += (sender, args) =>
        {
            args.Cancel = !allowClose;

            if (!args.Cancel)
            {
                ProtectorClient.ReplaceProtectList(Array.Empty<string>());
                ProtectorClient.ReplaceRejectList(Array.Empty<string>());
                MiniFilterClient.CloseConnection();
                MiniFilterClient.DriverFilter -= DriverClientOnDriverFilter;
            }
        };
        
        MiniFilterClient.DriverFilter += DriverClientOnDriverFilter;
        
        if (MiniFilterClient.Connect())
        {
            ProtectorClient.ReplaceProtectList(new[] { $"PID:{Process.GetCurrentProcess().Id}" });
            ProtectorClient.ReplaceRejectList(new[] {  "*cmd.exe" });
            
            Log_TextBox.Text += "Added current process to protection list." + Environment.NewLine;
            Log_TextBox.Text += "Added cmd.exe to reject list." + Environment.NewLine;
        }
        else
        {
            Log_TextBox.Text += "Connection to driver failed." + Environment.NewLine;
            MiniFilterClient.DriverFilter -= DriverClientOnDriverFilter;
        }
    }

    private void DriverClientOnDriverFilter(MinifilterEventArgs e)
    {
        Dispatcher.UIThread.Invoke(() =>
        {
            if (e.Path.Contains("test.txt"))
            {
                if (!Process.GetProcessById((int)e.ProcessId).ProcessName.ToLower().Contains("notepad"))
                {
                    e.SetHandled(true);
                    Log_TextBox.Text += "Minifilter: test.txt blocked" + Environment.NewLine;
                }
                else
                {
                    e.SetHandled(false);
                    Log_TextBox.Text += "Minifilter: test.txt not blocked for notepad.exe" + Environment.NewLine;
                }
            }
        });
    }

    private void Button_OnClick(object? sender, RoutedEventArgs e)
    {
        allowClose = true;
        this.Close();
    }
}

Бонусом - создание .cab файла для отправки в Microsoft на сертификацию при Release сборке.

Ссылка на репозиторий.

P.S. Если вам будет интересно, а у меня силы и карма - то расскажу, что там и как в отдельной статье. А теперь и ответ на всех мучающий вопрос: "Почему пингвин пошёл в горы?"

Тихий враг или молчаливый союзник: коротко о выравнивании в C++. Часть 2

Казалось бы, тайна выравнивания раскрыта. Вы победили невидимого врага — невыровненный доступ. Память под контролем, но производительность по-прежнему шепчет: "Есть ещё нюансы". Что? Нюансы? Какие? Пришло время посмотреть, что происходит, когда структуры начинают наследовать друг друга. Здесь всё становится... интереснее. Правила игры меняются.

Итак, путь ясен: мы погружаемся в мир наследования, чтобы услышать его диалог с памятью. Давайте сразу к делу. Приготовьтесь, правила только что усложнились. В статье поговорим о выравнивании, наследовании POD-структур и множественном наследовании.

Открытый инструмент OSINT‑разведки под названием TGSpyder парсит из Telegram: аудио, видео, участников, их ID, логины и даже номера телефонов, если те открыты. Сервис помогает выкачать историю сообщений даже из закрытых чатов и все пригласительные ссылки. Ищет юзеров по ID и логинам. Собирает все данные в один CSV‑файл и выдаёт в удобном виде. Работает ограничений и не нарушает правила мессенджера.

О поддержке opensource - как показателе безопасности

Случались ситуации, когда компании использовали open source, который перестал развиваться. И в этом open source находили уязвимости. Итог: компаниям сложно ликвидировать уязвимости в используемом open source. По этой причине рождались предложения: дабы не попасть в такую ситуацию - при выборе open source проверять, что проект ещё поддерживается. Мысль здравая. Но, и тут могут быть нюансы. Пример - проект JasperReports (для Java). Судя по репозиторию - проект поддерживается. 16 сентября 2025 была опубликована информация об уязвимости в проекте (критического уровня: 9.8 по шкале CVSS v3.1 - CVE-2025-10492). А 19 сентября 2025 разработчик сообщил, что фикс выйдет только для коммерческой версии.

Тихий враг или молчаливый союзник: коротко о выравнивании в C++

Представьте, ваша программа — образец чистого кода, прошедший ревью и покрытый тестами. Казалось бы, всё идеально. Но производительность не такая, на какую рассчитывали. Вы проверили всё, что знали. А что, если проблема в том, о чём вы могли не знать? Всё может упираться в выравнивание данных в памяти. Для многих этот механизм так и остаётся загадкой.

Предлагаю вам вместе попробовать разобраться в такой непростой теме в этой статье.

Проверьте своих близких. Как WB оформляет «кредиты Шрёдингера» (есть в чеке, нет в БКИ) под 85% годовых

Не успел я отдохнуть после статьи о Femida Search , так напоролся на новое приключение.

Саммари:

Если вы поставили пожилым родственникам полный самозапрет на кредиты через Госуслуги (ФЗ-31), это не гарантирует защиту от рассрочек на маркетплейсах. @WILDBERRIES через прокладку «ООО Престо» выдает деньги, игнорируя записи в БКИ.

Поэтому я сейчас готовлю расследование с разбором чеков, оферт и, надеюсь, ответов ЦБ и ФНС, но ситуация требует предупредить сообщество прямо сейчас.

Дано:

1. Мама-пенсионер (70 лет).

2. Активный полный самозапрет на кредитование в БКИ, установленный ещё в марте 2025 через Госуслуги.

3. Покупка товаров на Wildberries в январе 2026.

Что произошло:
При заказе был «случайно» (темные паттерны UI) активирован способ оплаты «Оплата частями». В итоге:

• Товар подменили (вместо Селена прислали Хром, который опасен при применении с препаратами для понижения сахара в крови при диабете). Ну эт ладно, не главное.

• На сумму 4 600 руб. накрутили «комиссию» 1 175 руб. (эффективная ставка ~85% годовых!!).

Я был уверен, что полный самозапрет в БКИ отсечет любые попытки выдать кредит. Но схема WB и их партнера ООО «Престо» работает вот так:

1. В оферте это называется «Договор поручения» (агентская схема, BNPL), якобы чтобы не попадать под регулирование ЦБ.

2. Но в кассовом чеке (ФНС) в теге 1214 («Признак способа расчета») прямым текстом стоит: «ПЕРЕДАЧА В КРЕДИТ» и «ОПЛАТА КРЕДИТА».

3. Самое забавное: В кредитной истории (БКИ) этот долг не отображается.

Они выдали «теневой кредит». Если бы они сделали запрос в БКИ (как обязаны по закону и как обещают в своем же договоре), они получили бы отказ из-за самозапрета. Поэтому они просто не делают запрос, но в чеке пишут «Кредит», чтобы легализовать деньги перед налоговой.

Что делать прямо сейчас: Зайдите в приложения Wildberries своих родителей/родственников:

1. Проверьте раздел «Покупки» -> «Чеки». Ищите чеки от ООО «Престо».

2. Если видите там слова «Комиссия сервиса» и «В КРЕДИТ» — знайте, это не просто рассрочка, это кредитный продукт, который может висеть «мимо» БКИ. Сохраните все чеки себе на комп, чтобы их не подменили задним числом!

3. Проверьте, не подключена ли у них «Оплата частями» без их ведома.

P.S. Я уже направил досудебные претензии и жалобу в ЦБ РФ с требованием проверить лицензию данного финтеха. И я заархивировал все доказательства. Полный технический и юридический разбор этой схемы («Кредит Шрёдингера») с комментариями юристов опубликую на Хабре через несколько дней, как только получу (или не получу) официальные ответы.

Берегите родителей, ребята!

Вебинар: Что ждет Службы ИБ в 2026 году. Главные тренды и вызовы
5 февраля в 11:00

В 2025 году атаки участились, регуляторы ужесточились, и многие службы до сих пор тонут в рутине — сборе доказательств, отчетах, контроле уязвимостей — и не успевают анализировать реальные угрозы.

Приглашаем на вебинар с практиками и экспертами отрасли. Разберём не только тренды, но и конкретные шаги для адаптации вашей ИБ-стратегии.

💬 Приглашенные гости:

• Николай Казанцев, CEO SECURITM

• Лука Сафонов, бизнес-партнёр ГК "Гарда"

• Александр Суслов, CISO ГК "Регион"

На вебинаре ответим на ключевые вопросы:

• Итоги 2025: главные уроки для ИБ-специалистов. Что устарело, а что стало критически важным?

• Тренды 2026: куда движется рынок? Почему SOC, Managed Security и SGRC растут быстрее рынка и как это использовать?

• Импортозамещение vs. Безопасность: как выбирать и тестировать российские решения без потери в защищённости?

• Финансы и аргументы: как обосновать инвестиции в ИБ руководству? На какие метрики и KPI делать упор в 2026?

• ИИ: защита или угроза? Как применять искусственный интеллект, не создавая новых уязвимостей?

  Регистрируйтесь прямо сейчас!

Топ-3 популярных заблуждения про NTA и NDR

Многие до сих пор думают, что NTA ‒ это просто «продвинутый IDS», а NDR вообще не работает без полного дампа трафика. Кто-то считает, что NDR ‒ это функция песочницы, а кто-то уверен, что NTA не может работать на базе NetFlow. В реальности дела обстоят несколько иначе.

Мы подготовили видео, в котором Станислав Грибанов, руководитель продукта «Гарда NDR» компании «Гарда», автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса», развенчивает три ключевых мифа про NTA и NDR.

Рекомендуем видео к просмотру всем, кто хочет понять, чем NDR отличается от традиционных средств защиты и когда он действительно нужен.

Еще больше видео о технологиях и трендах в сфере информационной безопасности ‒ на нашей странице «ВКонтакте» и на сайте.

Требования по регистрации событий ИБ часто выглядят формально и обобщенно. Но именно здесь во внедрении возникает больше всего вопросов, рисков и договоренностей, которые важно зафиксировать заранее.

Мы поговорили с Лизой, аналитиком по информационной безопасности, о том, как она работает с этими требованиями и что помогает избежать разночтений с заказчиком.

Почему регистрация событий ИБ — это всегда вызов

Событие ИБ — состояние системы, указывающее на важное с точки зрения безопасности действие, например, нарушение политики ИБ или сбой. 

Звучит просто, но в реальности возникает множество проблем:

• требования часто сформулированы абстрактно — «иные действия пользователей», «события, связанные с безопасностью»;

• невыполнение требований ИБ может заблокировать весь проект;

• нет универсальной базы — нормативные документы дают общее направление, а у каждого заказчика есть свои внутренние требования и особенности.

Откуда берутся требования

Во внедрении я сталкиваюсь сразу с несколькими источниками:

• требования по защите персональных данных — например, приказ ФСТЭК № 21;

• документы регуляторов с описанием инцидентов и состава событий;

• отдельные требования финансовых организаций;

• внутренние документы заказчика, к которым не всегда есть доступ;

• особые режимы — государственные информационные системы, требования, которые важно учитывать еще на этапе пресейла.

Недавно в нормативке появились практические ориентиры. ФСТЭК выпустил рекомендации по базовой настройке регистрации событий безопасности — с примерами настройки логирования в ОС.

Как я структурирую требования по событиям ИБ

Чтобы работать с этим массивом, я условно делю требования на четыре группы.

Общие требования


Сроки хранения архивов журналов, источники событий, уровни системы: от ПО до сетевого оборудования.

Общий перечень событий

Самый опасный пункт — «иные действия пользователей». Моя тактика: фиксировать конкретный список событий, показывать демо и добиваться согласования, чтобы исключить разночтения.

Состав полей события безопасности

Важно понимать не только что регистрируется, но и какие атрибуты попадают в лог. Я всегда ставлю себя на место специалиста SOC: хватит ли этих данных, чтобы расследовать инцидент?

Мониторинг и передача в SIEM-систему

Даже здесь возникают сложности — неподдерживаемые протоколы, требования к формату полей и событий, особенности интеграции. Формулировки должны быть максимально точными.

Что я вынесла из практики

1. Требования в ТЗ — это только часть картины, всегда нужно копать глубже.

2. Требования меняются по ходу проекта и это нормально.

3. Все договоренности важно фиксировать письменно.

4. Нужно учитывать не только нормативные документы, но и локальные требования заказчика.

5. Про SIEM-интеграцию стоит думать сразу, чтобы не пришлось переделывать позже.

6. Важно заранее договориться, кто и сколько хранит логи.

→ Подробнее своим опытом Лиза поделилась в статье.

Представлен легковесный инструмент Crawlee, который может спарсить информацию с сайтов, соцсетей и других ресурсов, а также обходит защиту от ботов. Может скачать аудио, видео, изображения, метаданные, документы и прочие нужные файлы. Скрипты решения написаны на Python, имитирует поведение человека на сайтах, в соцсетях и других ресурсах. Инструмент поддерживает мультизадачность и не теряет при этом скорость. Можно собирать несколько видов данных одновременно. Работает полностью локально.

Открытый проект SubTrackr ищет и мониторит текущие подписки, отслеживает переводы и напоминает о датах списаний:

• показывает подписки в одном месте;

• поможет на раз отписаться от ненужных сервисом и не тратить деньги впустую;

• мониторит траты, даты списаний, а также тематики подписок и их полезность;

• дает рекомендации;

• имеет понятный интерфейс и несколько тем для кастомизации;

• работает полностью локально.

Открытый загрузчик Telegram Files позволяет скачать файлы из Telegram даже из закрытых чатов, включая аудио, видео, картинки, голосовые, гифки, документы и прочие файлы. Поддерживает сразу несколько аккаунтов в Telegram. Можно скачивать файлы из разных чатов одновременно и вообще не терять в скорости. Поддерживает превью файлов во время скачивания.Работает локально, не нарушает политику мессенджера.

Онлайн сервис проверки конфига nginx на безопасность (Gixy-Next)

На Хабре уже упоминался Gixy как средство проверки безопасности\хардеринга nginx (статья раз, статья два). Недавно появился ещё один проект, основанный на форке Gixy: Gixy-Next (репозиторий, сайт проекта). Из интересного: прямо на сайте есть возможность проверить конфиг nginx (если по какой-то причине не хочется устанавливать приложение). В тексте найденных проблем - ссылки на страницы с подробным описанием типа ошибки.

Инструментальное средство PVS-Studio разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207—2024. Выявляет критические ошибки и может использоваться при разработке безопасного программного обеспечения по ГОСТ Р 56939—2024.

Я подготовил развёрнутый материал, посвящённый функциональным возможностям PVS-Studio на начало 2026 года с точки зрения перечисленных стандартов, приказа ФСТЭК №117, методического документа "Профиль защиты" и т. д.

Обзор PVS-Studio получился большой и явно не формата статьи для Хабра. Это вообще, скорее, мини-справочник на 66 страниц. В общем, я вас предупредил :) Тех, кто не испугался, а наоборот, заинтересовался, приглашаю познакомиться с материалом по ссылке:

Статический анализатор кода PVS-Studio в 2026: ГОСТ Р 71207, ГОСТ Р 56939, приказ ФСТЭК №117

Что можно найти в документе:

• как связаны между собой PVS-Studio и различные ГОСТы;

• требования к статическим анализаторам кода и насколько им соответствует PVS-Studio;

• разбор технологий анализа, реализованных в PVS-Studio;

• примеры выявляемых критических ошибок и что это такое;

• характеристики анализатора: языки, поддерживаемые операционные системы, скорость работы, форматы отчётов;

• и т. д.

Если вас заинтересовали озвученные здесь темы или у вас появились вопросы, то напишите нам.

P.S. Команда PVS-Studio будет со стендом на ТБ Форум 2026 (18–20 февраля 2026, МВЦ "Крокус Экспо", павильон 2, зал 10). Я там тоже буду. Приходите задавать вопросы на тему публикации, стандартов и вообще.

Скрытые уязвимости в CI/CD: что мы упускаем и как защитить процесс доставки

CI/CD давно перестал быть просто удобным способом ускорить релизы. Сегодня это критическая часть цепочки поставки, через которую проходит весь код, зависимости и инфраструктурные изменения. Именно поэтому пайплайн всё чаще становится целью атак, при этом многие уязвимости остаются незаметными годами.

Одна из самых недооценённых проблем — избыточные права. Токены доступа, используемые в пайплайнах, часто имеют больше разрешений, чем требуется для конкретного шага. Компрометация такого токена даёт атакующему доступ не только к репозиторию, но и к облачной инфраструктуре, артефактам и секретам.

Вторая зона риска — зависимости и сторонние экшены. Автоматизация строится на готовых шагах и шаблонах, которые редко проходят полноценный аудит. Обновление популярного экшена или контейнерного образа может незаметно внести вредоносный код в процесс сборки, и он будет исполняться с доверенными правами.

Отдельного внимания заслуживает хранение секретов. Даже при использовании секретных хранилищ они нередко утекaют в логи, артефакты или кэши. Проблема усугубляется тем, что логи CI часто доступны большему кругу людей, чем production-системы.

Неочевидная, но опасная категория уязвимостей — доверие к окружению сборки. Самохостинг раннеров без изоляции, повторное использование виртуальных машин и отсутствие очистки после джобов позволяют атакующему закрепиться в системе и влиять на последующие сборки.

Защита CI/CD начинается с принципа минимальных привилегий. Каждый токен, сервисный аккаунт и ключ должен иметь строго ограниченный набор прав и короткий срок жизни. Второй шаг — контроль цепочки зависимостей: фиксация версий, проверка хэшей, собственные зеркала и регулярный аудит используемых экшенов и образов.

Важно также относиться к пайплайну как к коду: проводить ревью изменений, логировать подозрительные действия и мониторить аномалии. Изоляция окружений, одноразовые раннеры и автоматическая ротация секретов значительно снижают потенциальный ущерб от атаки.

CI/CD — это не просто автоматизация, а часть поверхности атаки. Чем раньше это осознаётся, тем меньше шансов, что уязвимость проявится уже после успешного релиза.

А какие риски в своих пайплайнах вы обнаружили только со временем?

Представлен открытый проект MatrixDefender-4.2, который помогает убрать майнеры на ПК или ноутбуке, а также различные сетевые угрозы и прочий мусор. Сервис написан на Python, устанавливается за пару кликов. Проект находит и удаляет майнеры, лечит от LimeRAT, QuasarRAT и другие угрозы, блокирует С2-сервервы, которые управляют атаками на ПК.