Обновить

Информационная безопасность

Сначала показывать
Порог рейтинга

РБПО по ГОСТ Р 56939—2024: вебинар №30 из 30 — Сертификация процессов РБПО: требования ФСТЭК России, новые стандарты и практика

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "Сертификация процессов РБПО: требования ФСТЭК России, новые стандарты и практика". На YouTube. Слайды.

Финальный дополнительный вебинар прошёл при участии ведущих экспертов: Дмитрия Шмойлова, Алексея Щербакова и Виталия Вареницы. Участники обсудили практику сертификации, новые национальные стандарты и методику подготовки, опыт компаний, а также подводные камни аудита и преимущества внедрения РБПО.

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

НЕкурс про РБПО

Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.

Теги:
0
Комментарии0

Доброго. Не прошло и года, как я писал статью о mail.ru https://habr.com/ru/posts/940422/ и вот новая. Назвал бы я это фразой "Очередные проделки mail.ru или агрессивное удержание клиентов".

Итак к сути. Достаточно давно к mail.ru привязан мой домен с бесплатной услугой "Почта для домена" от mail.ru. Изначально, к слову, на бесплатном тарифе можно было использовать неограниченное (во всяком случае точно больше 5) почтовых ящиков. Несколько лет назад лимит ящиков на бесплатном тарифе уменьшили до 5. Уменьшил, и так это всё работало у меня до 29.06.2026 примерно до 15:00 мск. Кстати, почтой пользуюсь исключительно через почтового клиента по протоколам pop3/smtp. Ну и сразу напишу, что какой бы то ни было ощутимой нагрузки на сервера не создаю, почтой пользуюсь исключительно я и только я, с одного и того же компьютера и никто другой. Периодичность отправки/получения со всех 5 ящиков примерно 1-2 письма в день, но нередко бывают дни, даже несколько дней с полным отсутствием приёмом/отправкой писем по электронке. Последнее пишу, чтобы было представление о том, создаю ли я вообще какую-либо нагрузку на почтовые сервера.

И, примерно 29.06.2026 ~15:00 мск. в логах почт. клиента появились записи:

29.06.2026, 15:00:00: ******-ERR Net dostupa na vashem tarife. Skachaite prilozhenie VK WorkSpace

...и почта в перестала работать. Кстати, примерно несколькими неделями ранее я видел новость, что mail.ru подумывает запретить использование почтовых клиентов на бесплатных тарифах. Похоже это оно. Ну и кстати, посмотрел условия платных тарифов и, мягко говоря, был удивлён аппетитам mail.ru, приводить не буду, желающие найдут.

Самым логичным, в моей ситуации было решение - уйти на сторонний почтовый хостинг. Платный, кстати.Сказано - сделано. В админке аккаунта mail.ru домен был удалён, однако mail.ru написал, что, дескать они его удалят окончательно только через 14 дней.

Тем не менее, начал перепривязывать свой домен для стороннего почтового хостинга, а именно обновил записи DNS домена в частности MX, TXT записи.

Примерно менее чем через час, я уже мог отправлять письма с почтовых адресов своего домена кому бы то ни было, НО вот с получением почты возникли нюансы, а именно: Я могу получать почту со (!)всех почтовых доменов, (!)КРОМЕ почтовых доменов mail.ru - @mail.ru, @inbox.ru, @bk.ru, @list.ru. Этим, кстати, исключается вариант неправильной настройки DNS записей домена, иначе я бы не смог получать почту вообще от кого бы то ни было.

Справедливости ради следует написать, что для смены DNS записей домена у разных хостеров и провайдеров требуется время и происходит это не мгновенно (кстати по личному опыту максимум было несколько часов, вообще), но была информация, что обновление записей может длиться до 3-х суток максимум. На данный момент с момента изменения мной DNS записей домена прошло уже более (!)74 часов, что составляет время более чем трое суток.

Разумеется за это время было написано как обращение к платному хостеру почтового сервера, так и в тех поддержку mail.ru. На последних (mail.ru), по печальному предыдущему опыту я не особо рассчитывал, что практически и оправдало в негативном смысле мои предположения - сразу после обращения от mail.ru получил автоматический ответ с присвоением номера заявки и что они обязательно ответят не более чем через 10 часов. На данный момента с изначального момента обращения прошло более 50 часов, ничего более от них не получил!

Тех. поддержка платного почтового хостинга несколько раз отвечали, сейчас вопрос находится до сих пор в работе, но субъективно это не их вопрос и к ним у меня вопросов нет, ибо с не mail.ru адресов почта доходит без проблем. Более того, как док-во того, что проблема в mail.ru - если я отправляю письмо с одного из @mail.ru почт.серверов на ранее существующий адрес своего домена, когда я хостился в mail.ru - письмо просто не доходит, а если на не существующий адрес - получаю письмо-автоответ, "Ошибка 550 User Not Found", что говорит о том, что сервера mail.ru не обновили информацию о домене.

Теги:
+5
Комментарии11

DDoS-атака не всегда очевидна. Резкий рост нагрузки может оказаться как настоящей атакой, так и вполне легитимным всплеском трафика после рекламной кампании или важного инфоповода. В совместном материале с ITSumma разбираем, как быстро отличить одно от другого, на какие метрики смотреть в первую очередь и какие действия предпринимать в первые минуты после обнаружения проблемы.

Если вы отвечаете за стабильную работу сайта, интернет-магазина или корпоративного сервиса, эта статья поможет лучше понять логику реагирования на DDoS-инциденты и выбрать подходящую стратегию защиты. 

Отдельное внимание уделяем двум основным моделям защиты — Always-On и On-Demand. Рассматриваем, чем они отличаются, в каких случаях каждая из них эффективнее, а также какие компромиссы приходится учитывать при выборе между постоянной фильтрацией трафика и подключением защиты только во время атаки.

Теги:
+4
Комментарии0

Неделю назад КиберËж проводил CyberWeekend (где там правда викенд они нашли в начале недели, я не знаю 😂) и, в том числе, пригласили меня побеседовать про Программно-аппаратный хакинг как одно из самых сложных и интересных направлений в кибербезопасности, объединяющее знания из программирования, электроники, сетей, встроенных систем и реверс-инжиниринга.

В рамках диалога мы с Павлом осветили такие темы, как:
* Почему специалистов в этой области так мало и чем они занимаются на практике.
* Почему искусственный интеллект пока не способен заменить экспертов по аппаратному хакингу: работа с реальными устройствами требует опыта, интуиции и нестандартного мышления.
* Как после 2022 года изменились основные направления атак и почему всё больше внимания уделяется IoT-устройствам и объектам физической инфраструктуры.
* Какие навыки стоит развивать уже сегодня тем, кто интересуется IT, электроникой и информационной безопасностью.

Могу с уверенностью сказать, что доклад будет полезен начинающим специалистам, студентам технических направлений и всем, кто хочет понять, как устроена одна из самых редких и востребованных профессий в сфере кибербезопасности.

Ну и конечно же, интервью можно легко посмотреть в 📺 ВКвидео.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Теги:
-1
Комментарии0

РБПО по ГОСТ Р 56939—2024: вебинар №29 из 30 — Системы с конструктивной информационной безопасностью (ГОСТ Р 72118—2025)

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "Системы с конструктивной информационной безопасностью". На YouTube. Слайды.

С помощью приглашённого эксперта Екатерины Рудиной, аналитиком департамента перспективных технологий "Лаборатории Касперского", мы разобрались, в чём сходство и различие таких систем с безопасным ПО, как соотносятся создание систем с КИБ и разработка безопасного ПО, чем полезен в работе специалистов по ИБ новый ГОСТ Р 72118—2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки".

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

НЕкурс про РБПО

Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.

Теги:
+4
Комментарии0

Узнайте, как использовать новые требования к КИИ как конкурентное преимущество

Работаете с ГИС или объектами КИИ и ищете способ выполнить регуляторные требования, не теряя в гибкости и скорости? Эксперты Cloud.ru разберут, как облачная инфраструктура закрывает вопросы защиты и при этом становится реальным инструментом развития.

На вебинаре разберем:

  • Актуальные изменения в требованиях к ГИС и КИИ — что важно учесть прямо сейчас.

  • Какие сценарии возможны с решением «Облако для КИИ» и что оно дает.

  • Способы применения: от защищенной инфраструктуры до ускорения цифровых сервисов.

Будет полезно инженерам инфраструктуры, руководителям ИБ-направлений, менеджерам цифровой трансформации и всем, кто планирует работать с ГИС и КИИ.

📅 Когда? 7 июля в 11:00 мск.

📍 Где? Онлайн. Зарегистрируйтесь, чтобы задать вопросы спикеру в прямом эфире.

Теги:
+4
Комментарии0

Вебинар уже через 20 минут: расскажем, как защищать данные в S3

В 12:00 мск на вебинаре разберем все: от базовых Bucket Policies и версионирования до продвинутых Conditional Write, Object Lock (WORM) и клиентского шифрования. Расскажем, как комбинировать эти инструменты для защиты от случайного удаления и кибератак. Объясним, как соответствовать регуляторным требованиям. Вебинар практический, так что вы увидите реальные примеры настройки S3 через API и CLI.

Вы узнаете

  • Какие уровни защиты данных в S3 существуют 

  • Как настраивать версионирование, Conditional Write, Object Lock, шифрование с реальными командами и примерами кода 

  • Какие границы и подводные камни существуют у каждого инструмента 

  • Как комбинировать механизмы для защиты от ransomware, случайного удаления, взлома ключей и соответствия 152-ФЗ 

Подключайтесь: 

📹 на YouTube;

📹 во ВКонтакте.

Теги:
+8
Комментарии0

Как я перестал бояться опенсорсить свои поделки

для тех, кто пишет код в VS Code, не помнит наизусть флаги git filter-repo и считает, что IDE — нормально. Если ты из лагеря «настоящие программисты сидят в vim и пишут всё в Makefile» — просто пролистай

git-private2public как .gitignore, но чтобы сделать зеркало приватного репо одной git push.

Что это

CLI-тулза. Держит два репо в синхроне: приватный (ваш рабочий бардак) и публичный (чистая версия). При пуше автоматически вычищает секреты и обновляет публичный mirror.

Конфиг — папка .gitpublic/, как .gitignore. По одной маске на строку, без YAML.

.gitpublic/
  config      — source / target / push
  ignore      — что НЕ публиковать
  replace     — что заменить (==> без кавычек)
  scan        — что не должно попасть, иначе падаем
  allow       — но конкретно эти можно пропускать в пуш,  

Файла нет → настройки нет. Просто.

Автопуш через git hook

pip install git-private2public
cd ~/my-private-repo
git-private2public init

init создаёт пять пустых файлов с закомментированными примерами. Дальше правите то, что нужно:

Easy — только ignore:

.env
secrets/
*.key
credentials.json

Medium — добавляете replace:

10.0.0.5          ==> 203.0.113.5
real-token-here   ==> ***

Hard — добавляете scan (защита от факапов):

# scan
regex:github_pat_[A-Za-z0-9_]{30,}
regex:192\.168\.

Если в коде найдётся паттерн из scanpublish падает, ничего не пушится.

git-private2public scan      # dry-run
git-private2public publish   # реальный пуш

Автопуш через git hook

Это та фича, ради которой я и начал. Никакого CI, никаких GitHub Actions.

git-private2public hook enable

Ставит pre-push хук. Теперь обычный git push — отправляет в приватный репо и автоматически чистит-пушит в публичный mirror.

git-private2public hook status    # проверить
git-private2public hook disable   # выключить

Работает офлайн, на любом хостинге.

Почему не git filter-repo или BFG

Я ими пользовался. Они мощнее, но мне нужны были четыре вещи в одной тулзе:

Не нашёл — написал.

Установка (ещё раз, коротко)

pip install git-private2public

Если pip не вариант — single-file: скачал git_private2public.py, chmod +x, готово (нужны git-filter-repo и pyyaml).

Ссылки

TL;DR

pip install git-private2publicinit → редактируешь .gitpublic/ignorepublish. Если хочешь автопуш — hook enable.git push. Всё.

Теги:
+8
Комментарии0

Приглашаем на вебинар "Информационная безопасность корпоративных систем: практика, требования ФСТЭК и опыт Luxms BI"

Дата и время: 2 июля, четверг, в 16:00 по мск

Информационная безопасность сегодня — базовое требование, а не «опция». Основные угрозы — не "суперхаки", как в кино, а системные слабости: небезопасные сборки, слабый контроль доступа, уязвимости, и, конечно же, человеческий фактор.

На вебинаре эксперты Техконсур, ГИС, Аренадата, РОССИННО и Luxms BI обсудят современные угрозы для корпоративных систем, практику применения уровней доверия ФСТЭК и подходы к разработке и эксплуатации защищенного программного обеспечения:

  • как изменился ландшафт угроз для корпоративных систем в 2026 году;

  • для каких организаций и проектов действительно важны уровни доверия ФСТЭК;

  • как требования регулятора влияют на процессы разработки, сборки и поставки программного обеспечения;

  • какие механизмы контроля, протоколирования и администрирования необходимы современной корпоративной платформе;

  • как выстроить развитие продукта с учетом требований информационной безопасности.

📍Предварительная регистрация

Вам придет напоминание, а после вебинара пришлем ссылку на запись:)

Теги:
+3
Комментарии0

РБПО по ГОСТ Р 56939—2024: вебинар №28 из 30 — Безопасность frontend-приложений: особенности, угрозы и анализаторы класса FAST

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "Безопасность frontend-приложений: особенности, угрозы и анализаторы класса FAST (Frontend Application Security Testing)". На YouTube. Слайды.

Frontend-приложения (личные кабинеты, онлайн-банки, маркетплейсы, сайты, лендинги и т. д.) выполняются в браузере пользователя — традиционной "слепой" зоне для безопасности. В вебинаре рассмотрены актуальные угрозы, крупнейшие инциденты, построение модели угроз и то, как применение анализатора класса FAST (Frontend Application Security Testing) снижает риски и делает frontend-приложения безопасными. Объясняется, почему классические анализаторы имеют низкую достоверность для frontend-приложений, и как использовать FAST-анализатор в процессах РБПО по ГОСТ Р 56939—2024.

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

НЕкурс про РБПО

Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.

Теги:
+2
Комментарии0

Представлен открытый сервис Aliens Eye, который ищет всевозможную информацию в соцсетях, на сайтах и других ресурсах, предоставляя полный отчёт:

  • 840 различных OSINT-инструментов для анализа сайтов, соцсетей, других ресурсов, хостингов, доменов и даже физических устройства;

  • все сервисы работают по одному клику. При этом интерфейс интуитивно понятен;

  • отчёты предоставляет в JSON, CSV, HTML и Markdown форматах;

  • без ограничений, без дополнительных установок.

Теги:
+6
Комментарии0

Прошло почти два месяца с публикации статьи.

Разраб действительно поправил часть олдовых багосов, но, как оказалось, снова забыл про базовую безопасность дев-инфры.

На одном из хостов (привет, 89.167.7.127!) наружу торчит почта: 220 mimolet ESMTP Exim 4.97 Ubuntu

После EHLO сервер сам несет на блюдечке:

  • 250-CHUNKING

  • 250-STARTTLS

  • 250-AUTH PLAIN LOGIN CRAM-MD5

Переход в TLS оставляет CHUNKING доступным.

Некими проверками выясняется, что набор признаков указывает на наличие CVE-2026-45185 с CVSS 9.8. Повезло, что уязвимость свежая, сканеры не дремлют.

Друзья-кодеры, безопасность - не мелкие фиксы, а полный пересмотр всего.

Писал разрабу в очередной раз, ЧСВ у него знатное, до сих пор считает что дыры - база, фиксы я вряд ли увижу.

Теги:
-4
Комментарии3

Эффект замыленного глаза: как бороться с выгоранием просматривая тысячу файлов в день


Привет читатели! Первая статья залетела неплохо, а значит я, Катя DLPшка, пишу все это не просто так. И пока собираюсь с мыслями для следующей статьи, поделюсь личными лайфхаками

Я уже писала, что работаю аналитиком в информационной безопасности и отвечаю за DLP-систему. В целом всё нравится. И хотя смотреть логи по восемь часов в день – это порой забавно, но чаще все-таки монотонно и муторно. Для себя я выделила три режима просмотра инцидентов, и к каждому у меня припасен свой антидот от выгорания

№1: «В офисе штиль» (или когда все пользователи вымерли)

Бывает такое: тишина, ни одного алерта, продуктивность упала ниже плинтуса. Я просмотрела все отчеты, файлы и настройки, а делать ну совсем нечего. Скука смертная. Особенно перед праздниками

Как говорила моя мама: лучший отдых – это смена деятельности. И пока пользователи пытаются расшевелиться, я переключаюсь на другие задачки. Ну и, конечно, занимаюсь своим любимым офисным развлечением – социальной инженерией в мирных целях. Люблю наблюдать за коллегами, например, кто под какой трек работает, а кто забыл заблокировать экран, уходя на обед... Если вижу беззащитный монитор, то ставлю на рабочий стол обои с огромным кабачком хехехе. Наказания могут быть веселыми.

№2: «Шквальный огонь» (глаза в кучку)

А бывает наоборот: сотрудников много, алерты прилетают в бесконечном режиме, как из пулемета. Вы, конечно, скажете: «Настрой правила получше, и будет тебе счастье». Но давайте не забывать то, что сегодня считается утечкой, завтра уже нормальный рабочий сценарий (кстати если хотите статью или пост про False Positive, то опишитесь в комментах). В такие моменты замыливаются не только глаза, но и мозг плывет 🫠 Но я не расстраиваюсь, делаю вдох-выдох и следую паре простых правил:

  • Меняю фокус. Не смотрю на один и тот же тип алертов часами. Отсмотрела скриншоты – переключилась на переписку, потом на файлы. Мозгу нужна встряска

  • Использую таймер. 40 минут работы – 5 минут отдыха с шортсами или кофе. Серьезно, метод Pomodoro спасает даже в ИБ

  • Включаю фон. Если не нужно вслушиваться в аудио – музычка или подкаст помогают не сойти с ума от бесконечной ленты событий

№3: «Режим детектива» (мой личный кайф)

Этот вид вырастает из второго. Среди потока находится что-то странное: файл или кусок сообщения. И тут начинается мое любимое – я превращаюсь в Шерлока. Ищу зацепки: слежу за временными рамками, смотрю, какие сайты посещались незадолго до алерта, с кем велся диалог, какие файлы открывались параллельно.Самые очевидные вещи лежат на поверхности, а ты их в упор не видишь. Можно, конечно, по тысяче раз все перепроверять, но тогда есть риск упустить уже новые события.

Мой лайфхак: взять листок бумаги и, как в старые добрые, начать выписывать всё, что нашла. Одно дело – держать улики в голове, и совсем другое – видеть их на бумаге, соединять стрелочками и кружочками. Графическое представление помогает выстроить цепочку событий и быстрее придумать, куда копать дальше.

тупо я
тупо я

P.S. Для самых дотошных: свои «записки сумасшедшего» я храню в шкафчике под ключом, а когда они больше не нужны – кидаю в шредер, которй стоит прямо у моего стола. Конспирация? Нет, проф деформация)

Надеюсь, теперь вы не пойдете по каноничному путь зумера: новая работа → выгорание за три месяца → увольнение → новая работа.

P.S.S А я уж точно, слишком мне нравится нынешний коллектив, а молодая девушка-руководитель тем более. Мы с ней примерно из одного поколения, поэтому говорим на одном языке: она не давит бюрократией, а наоборот, с искренним интересом поддерживает любые мои инициативы, даже самые безумные. Это сильно меняет отношение к работе

 

Теги:
+5
Комментарии1

Ближайшие события

VKCipher: сквозное шифрование для переписки ВКонтакте

Это браузерное расширение, которое добавляет end-to-end шифрование в веб-версию ВКонтакте(и в pwa мессенджер). Работает везде: iPhone /Windows / Mac / Linux / Android

Что умеет:шифрует сообщения, картинки и видео.В планах еще голосовухи.

Репозиторий: VKCipher

Работает через Tampermonkey / Userscripts: Chrome на пк, Safari на iPhone, Firefox на Android. Открываете vk.com, vk.ru или web.vk.me, заходите в чат — в поле ввода появляются кнопки шифрования и управления ключами.

Зачем

У ВК есть огромный плюс: он уже установлен у миллионов людей. У него же есть очевидный минус: обычная переписка не является end-to-end encrypted

VKCipher закрывает именно этот слой. Не пытается заменить мессенджер, не делает VPN, не обещает анонимность. Он делает одну вещь: содержимое сообщения уходит в ВК уже зашифрованным.

ВК, браузерный интерфейс, логи, бэкапы, случайный доступ к аккаунту или серверной стороне видят не текст, а строку вида:

ENC[key<id>:base64(iv ciphertext tag)]

Без ключа это не сообщение, а мусор.

Как устроено?

Криптография не самописная. Используется AES-256-GCM через нативный Web Crypto API браузера. Для каждого сообщения генерируется новый 12-байтный IV/nonce. GCM-tag проверяет целостность: если шифротекст повредили или подменили, расшифровка падает.

Ключи можно получить двумя способами:

  1. Seed-фраза Пользователь вводит фразу, из неё через PBKDF2-SHA256 генерируются k1…k4.

  2. 64-hex ключ Можно добавить свой ключ вручную или сгенерировать временный [РЕКОМЕНДУЮ ВРЕМЕННЫЙ НА КАЖДЫЙ ЧАТ И РОТИРОВАТЬ ЕГО РЕГУЛЯРНО].

Seed-фраза не сохраняется.

Сейчас VKCipher умеет:

  • шифровать исходящие сообщения кнопкой;

  • автоматически шифровать сообщение при Enter;

  • расшифровывать входящие(текст/картинки/видео) прямо в чате;

  • переключать [шифр] / [текст];

  • работать в личках, беседах и групповых чатах;

  • использовать несколько слотов ключей;

  • генерировать временный ключ;

  • кодировать шифротекст не только Base64, но и emoji-алфавитом.

Последнее не про криптографию, а про UX. Иногда приятнее видеть стену из эмодзи, чем технический Base64. А вероятность такого текста в обычной переписке выше, чем обычного Base64.

Почему не Telegram / Мой_Любимый_Мессенджер?

Потому что это другой сценарий. В Telegram сквозное шифрование есть только в секретных чатах, а обычные чаты — не зашифрованы(Многие этого не знают).VKCipher нужен не для того, чтобы спорить, какой мессенджер «правильный». Он нужен для ситуации, где люди уже сидят во ВК и не хотят/не могут переезжать.

Приватность должна быть не религиозным выбором мессенджера, а функцией, которую можно включить там, где уже идёт общение.

Threat model

VKCipher защищает содержимое сообщений.Он не скрывает:

  • факт переписки;

  • участников переписки;

  • время отправки;

  • размер сообщения;

  • IP-адрес;

  • сам факт использования ВК;

  • текст, если устройство уже скомпрометировано;

  • ключ, если пользователь сам отправил его в тот же чат.

То есть это не Tor, не VPN и не «режим невидимости». Это именно E2EE-слой поверх существующего транспорта.

Почему открытый код важен

Криптографический инструмент без открытого кода — это «поверьте нам». Мне такой подход не нравится. Поэтому код открыт. Можно проверить реализацию. Плюс можно добавить Макс/Телеграм/Мой_Любимый_Мессенджер

Если найдёте проблему — issue/PR приветствуются.

Итог

VKCipher — это маленький слой приватности поверх ВК. Не новый мессенджер, не новый клиент. Не самодельный шифр. Не магия. Не анонимность.

Просто нормальный AES-256-GCM в привычном чате, с открытым кодом и установкой за несколько секунд.

Репозиторий: VKCipher
Расширение не является продуктом ВКонтакте.

UPD: Все спрашивают банят ли аккаунты? Уже 2 месяца 50к сообщений с друзьями написали, банов нет. Но используйте доп аккаунт (ВК FAQ:Как добавить несколько профилей)
UPD 2: VKEncrypt было занято другим (закрытым) расширением, переименовал в VKCipher

Теги:
+13
Комментарии28

Среди радиолюбителей и SDR-энтузиастов самой желанной "игрушкой" является продукция компании Ettus Research (работающей под брендом NI). Их оборудование USRP: Universal Software Radio Peripheral, Универсальное программно-определяемое радиоустройство - представляет собой если не эталон, то близкий к идеалу образец программно-определяемого радио.

Цена у аппарата соответствующая: за самый бюджетный и уже устаревший USRP B200 компания просит $1.420 (~106.500 руб.), а его обновленная версия USRP B206mini-i стоит $1.820 (~136.500 руб.). Вместе с тем, за продвинутые устройства USRP серии Х можно вполне купить квартиру в ближнем Подмосковье - $51.360, что составляет примерно 3.8 миллиона рублей.

Если все-таки имеется желание и, самое главное, возможность приобрести USRP, я бы предложил заказать его напрямую через друзей из-за границы, так как Российские компании-импортеры устанавливают на них маржу в 2-2.5 раза. Самый дешевый ценник, который я нашел: компания из Екатеринбурга готова поставить USRP B200mini-i за 200.000 рублей, а распространенная сеть радиокомплектующих за абсолютно тот же SDR просит 269.300 рублей...

Но если нельзя, но очень хочется, то можно

На помощь нам в очередной раз приходят поднебесные партнеры: они "разработали" и выпустили на рынок SDR-устройство TZT B200-mini-i. 
Как заявляет производитель: 

плата разработки радиочастотного программного обеспечения USRP заменяет Ettus B200Mini/B210, индекс производительности, соответствует импортированной версии, и ее стабильность лучше

Устройство полностью совместимо со всем программным обеспечением для оригинального Ettus USRP и в компьютере определяется соответствующе.
Ценник тоже не может не радовать, который на всех доступных нам маркетплейсах стартует от 38 тысяч рублей, что бюджетно по меркам оригинального.

Что касается качества приема/передачи и чистоты сигнала - ничего не могу сказать, так как сам лично руками не "щупал". Интернет и видеохостинги тоже скупы на обзоры: нашел только 1 (одно) видео, в котором автор хвалит новомодное устройство за качество сигнала, а также Wiki AliExpress, в котором обозревают фактически свой же продукт.

В общем, тут на личное усмотрение, готовы ли вы за китайскую копию отдать 40 тысяч рублей. Лично я уже намучился с аналогом HackRF, с его шумами и кривым приемом, поэтому лишний раз не хочу портить себе нервы. В данном случае я бы посоветовал немного поднакопить, и взять оригинал того же LimeSDR или BladeRF.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Теги:
+2
Комментарии2

Вебинар «Киберустойчивость на основе управления данными», практический сценарий

2 июля в 11:00 проведём вебинар о том, как выстроить управляемую и безопасную работу с данными в корпоративной дата-платформе.

Сегодня одних платформ хранения и обработки данных уже недостаточно: без прозрачности, понимания связей между данными, зон ответственности и рисков такие системы становятся одной из ключевых точек киберриска. На вебинаре разберём, как совместное использование Cardinal Platform и Arenadata Data Catalog помогает выстроить дополнительный слой контроля и повысить киберустойчивость дата-ландшафта.

Что обсудим:

✔️ почему платформы работы с данными становятся зоной повышенного риска;

✔️ какую роль играет каталог данных в обеспечении прозрачности, управляемости и безопасности;

✔️ как интеграция Cardinal Platform и Arenadata Data Catalog позволяет видеть, где находятся данные, кто за них отвечает и как они связаны;

✔️ как выстраивать процессы data governance, контроля доступа, аудита и управления чувствительной информацией;

✔️ как учитывать требования ИБ, регуляторов и внутренних политик;

✔️ как повысить киберустойчивость корпоративной дата-платформы.

Практическая часть

Покажем демонстрационный сценарий, в котором Arenadata Data Catalog используется для управления данными и рисками, а Cardinal Platform — для выстраивания контроля, аудита и дополнительного уровня защиты вокруг дата-платформы.

Для кого: руководители ИТ и ИБ, CDO и владельцы данных, архитекторы, команды data governance и специалисты по безопасной эксплуатации данных.

Спикеры: Мария Двоеносова, владелец продукта Innostage Cardinal Platform; Артем Шмарев, руководитель Центра компетенций по управлению данными, Юникон Бизнес Солюшнс; Денис Кириченко, Архитектор решений Arenadata Catalog.

2 июля, 11:00–12:00

Запись вебинара

Теги:
+3
Комментарии0

АИ-95 с вредоносной присадкой

В середине июня команда киберразведки экспертного центра безопасности Positive Technologies обнаружила сразу несколько ресурсов, использующих «топливную» тему для вредоносных целей.

  1. В рамках первой кампании производится угон Telegram‑аккаунтов. От имени крупной нефтегазовой организации, предоставляющей услуги по продаже топлива физическим лицам, предлагается «забронировать» время для покупки топлива без очередей. В процессе бронирования злоумышленники просят предоставить код подтверждения, который на деле является кодом двухфакторной аутентификации от Telegram‑аккаунта. Отметим, что исходный код ресурсов изобилует комментариями, характерными для кода, сгенерированного большими языковыми моделями.

  2. Вторая кампания заманивает «актуальными» данными о доступности топлива, предлагая скачать APK‑файл. На вредоносном сайте отображается карта со сведениями о наличии топлива на разных заправках по всей стране. Статус заправки на карте при этом определяется детерминированным алгоритмом на основании ее координат:

const deterministicStatus = (station) => {
  const base = Number(station.id ?? station.lat * 1000 + station.lon * 1000);
  const pseudo = Math.abs(Math.sin(base)) % 1;
  if (pseudo < 0.58) return 'green';
  if (pseudo < 0.85) return 'yellow';
  return 'red';
};

Под капотом приложения — инфостилер, среди функций которого сбор с устройства фотографий и текущей геопозиции с последующей отправкой в S3-хранилища, что впоследствии может использоваться для шантажа жертвы и иных целей.

Рекомендации

Не сообщайте третьим лицам и не вводите на сторонних ресурсах никакие коды, приходящие на ваши устройства.

Не устанавливайте незнакомые мобильные приложения, а если очень хочется — хотя бы предварительно используйте анализ через песочницу (например, в PT Sandbox 😉).

Относитесь критически к любому ресурсу, обнаруженному в интернете, особенно если он эксплуатирует «горячую» тему.

Покупайте электричку.

Индикаторы компрометации

ru‑lukoil.online

tes‑td.site

voentoplivo.site

gdebenzin.org

sverdlova.online

mobilecash.club

https://s3.eu‑central-003.backblazeb2.com/centbrinben/benzin/

https://storage.tacticlib.com/uploads/benzin/

b192114cc04b872095015bcb0d7f708c34680eafbd43ff5393df791ea0dc04e9 140ecec54f6249370cec2f6dc0e5f485af359295bb27f6f458c5b3cf30260e3e

462611f6f8e65229e8b729038438785d447bc4da386a74fafae095b65578525c 51e18c21203e930ab3ca13327dc7d67a404e597fcf3a99f8901fdbfb169da63c

81a623c9a3b3f4a9340dd4c6bdfb5299f247b54f81ae1d39671afcf24229859a f4102ea1718653528c503dcaaef3a2ea05ddaf6ad782e84ee7d7b2e6b073ffae

15174043fc56ca9fd8c47d2bfc0e0a2f491a17a8805afcc5eb58b8252677ef69

(Источник: https://t.me/ptescalator)

Теги:
+5
Комментарии0

РБПО по ГОСТ Р 56939—2024: вебинар №27 из 30 — PVS-Studio Atlas — новая платформа контроля качества кода

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "PVS-Studio Atlas — новая платформа контроля качества кода". На YouTube. Слайды.

В ходе бонусного вебинара команда PVS-Studio представила новый продукт — PVS-Studio Atlas, предназначенный для работы с результатами анализа кода: просмотра, аналитики, разметки и формирования отчётов для сертификационных лабораторий и ФСТЭК.

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

PVS-Studio — статический анализатор кода для поиска критических и типовых ошибок

Также приглашаю всех познакомиться с нашим статическим анализатором PVS-Studio, который может закрыть не только 10-й процесс ГОСТ Р 56939, но и будет полезен по другим направлениям:

  1. Обучение сотрудников (п.5.2). Формирование у программистов понимание антипаттернов и уязвимых конструкций, что улучшает их техническую экспертизу;

  2. Моделирование угроз и разработка описания поверхности атаки (п.5.7). Дополняет процесс, выявляя потенциальные уязвимости, которые формируют поверхность атаки;

  3. Экспертиза исходного кода (п.5.9). Позволяет усилить проверку стороннего кода, который команда включает в проект. Например, его можно использовать для выбора сторонних библиотек, оценивая качество их кода;

  4. Поиск уязвимостей в программном обеспечении при эксплуатации (п.5.24). Можно просматривать ранее отключённые предупреждения PVS-Studio с целью дополнительного выявления дефектов в коде.

Скачать PVS-Studio.

Основные характеристики:

Теги:
+11
Комментарии0

Вышел 8-й номер журнала Paged Out, который включает в себя различные материалы на тему этичного хакинга и информационной безопасности. Издание публикуется в формате: 1 страница — 1 статья. Все остальные Paged Out выпуски можно скачать с сайта проекта.

Теги:
+6
Комментарии0

ГОСТ Р 56939-2024 на практике: что мы сделали, чтобы получить сертификат РБПО

🔎 Контекст
У Cloud.ru есть платформа, созданная специально для заказчиков, которые обязаны соблюдать особые требования к хранению данных и разработке ПО. Вся инфраструктура, которую они используют, должна быть аттестована на соответствие стандартам безопасности, а платформенные сервисы должны пройти жесткую проверку у регуляторов. Ранее платформа уже получала сертификат ФСТЭК России №4979, но при внесении определенной массы изменений в продукт, процесс требуется пройти заново, а сделать это невозможно без привлечения сторонней лаборатории и многомесячных ожиданий. Чтобы иметь возможность развивать продукт более оперативно, требовалось сертифицировать не только платформу для создания частного, гибридного или распределенного облака Cloud.ru Evolution Stack, но и все процессы вокруг нее, т.е. подтвердить соответствие ГОСТу Р 56939-2024.

🚀 Задача
Стандарт требует выстроить 25 взаимосвязанных регламентов и поддерживать более 200 артефактов в актуальном состоянии постоянно. Но этого мало: ведь стандарт есть, но конкретной методологии его реализации не существует, нужно было приземлить элементы процесса на орг.структуру нашей компании. Осложнялось всё тем, что в любой крупной ИТ-компании команды непрерывно перетасовываются, ответственные меняются, а любое кадровое изменение должно быть тут же отражено во всей документации сразу.

Аудиторы во время сертификации проверяют всё: опрашивают разработчиков, смотрят трекер задач, оценивают стек применяемых технологий, сверяют, соответствуют ли реальные процессы тому, что закреплено «на бумаге». Соответственно, ситуации, когда документация устаревает быстрее, чем обновляется, а новые исполнители не успевают вникнуть в свои обязанности, нужно было истребить полностью.

☁️ Что мы сделали
Применили существующую в компании BPM-систему как единый источник правды: описали в ней ключевые процессы РБПО, зафиксировали роли, связали их с командами через орг.структуру, разместили все артефакты, точки контроля и указали их взаимосвязи. Следующим этапом автоматизировали конвертацию и публикацию свежих документов: по расписанию из BPM-модели экспортируется HTML, который автоматически конвертируется в Markdown и публикуется во внутреннюю Wiki. Изменился владелец роли — один раз вносишь правки в BPM, все документы актуализируются и тут же становятся доступны всем и каждому. Чтобы новички не впадали в ступор от количества регламентов, поверх Wiki добавили ассистента с RAG под капотом. Можно написать в корпоративный чат любой вопрос и получить структурированную информацию о том, кто за что отвечает и как действовать в любой ситуации, причем сразу со ссылками на конкретный документ в базе знаний. 

🦾 Что получили в итоге
В компании появилась полная живая и взаимосвязанная база элементов, включающая организационные единицы, роли, артефакты и инструкции по процессам. То есть на аудите мы показываем не просто набор Word'овских файлов, а живую модель с автоматически собранными артефактами. Каждый сотрудник, причастный к процессу безопасной разработки ПО, четко знает, что в какой ситуации делать и уверен в том, что данные не устарели. ИИ-ассистент сокращает время погружения в регламенты и процессы с дней до пары десятков минут, что значительно упрощает онбординг при смене роли. 

Также такой подход позволил снизить затраты на устранение уязвимостей, поскольку их выявление предусмотрено на самых ранних стадиях процесса. Мы получили подтверждение качества платформы и стали первым облачным провайдером в России с сертификатом РБПО. У нас появилось больше контроля над собственным релизным циклом и теперь мы можем планировать обновления на годы вперед. 

🧠 Рефлексия
Можем смело рекомендовать аналогичный пайплайн командам, которые: 

  • сами готовятся к сертификации процессов РБПО;

  • хотят упростить адаптацию сотрудников на новых ролях; 

  • хотят убрать «слепые зоны» из разработки;

  • ищут способ более предметно демонстрировать работу руководству или инвесторам. 

Теги:
+5
Комментарии1
1
23 ...