Информационная безопасность

Настройка КриптоПро HSM Client на Suse/RedHat/ROSA Linux

Подготовили пошаговую подробнейшую инструкцию со скриншотами для разработчиков информационных систем со встроенными СКЗИ по настройке КриптоПро HSM Client на Suse, RedHat и ROSA Linux (включая ошибки, которые позволяет обойти данное руководство) для того, чтобы использовать HSM как самостоятельный криптографический провайдер с выполнением всей математики на борту или в качестве надежного хранилища ключевого материала.

Заходите, читайте, сохраняйте в закладках.

ИБ-ДАЙДЖЕСТ INFOWATCH

Microsoft незаконно собирала биометрию в школах

В конце прошлого года корпорация в Новом Южном Уэльсе, штате Австралии, без уведомления Департамента образования начала сбор биометрических ПДн школьников, использующих Teams.

В Сеть утекли 16 млрд паролей

Исследователи из Cybernews обнаружили порядка 30 скомпрометированных баз данных из разных интернет-сервисов — набор из 455 млн записей, вероятно, относится к Российской Федерации, а набор из 60 млн записей может происходить из Telegram.

Утечка данных из проката автомобилей

Zoomcar Holdings в Бангалоре 13 июня подтвердила утечку ПДн около 8,4 млн клиентов — взлом не повлиял на бизнес-процессы, но пользователи могут стать жертвами фишинга.

Tesla судится с бывшим сотрудником

Компания подала иск к компании Proception и ее соучредителю Чжунцзе “Джея” Ли о краже конфиденциальных данных по созданию человекоподобных роботов Optimus.

Утекли ПДн всего населения Парагвая

Исследователи из Resecurity обнаружили в дарквебе базу данных с 7,4 млн записей конфиденциальной информации граждан Парагвая — хакер требует за нее выкуп в размере $7,4 млн.

23andMe оштрафовали за утечку

Компанию обязали выплатить 2,31 млн фунтов стерлингов за утечку ПДн около 6,9 млн пользователей, произошедшую в 2023 г.

Хакеры взломали Scania 

Злоумышленник “hensi” продавал на одном из форумов данные, украденные с сайта компании, а затем хакеры пытались получить за них выкуп у сотрудников Scania.

Настраиваем безопасный доступ пользователей к корпоративным приложениям с Yandex Identity Hub

Команда Yandex B2B Tech запустила сервис безопасности Yandex Identity Hub. С его помощью можно настроить доступ к своим веб‑приложениям с использованием технологии SSO и поддержкой многофакторной аутентификации. Решение работает по модели SaaS и может использоваться в организациях с разными типами инфраструктур: on‑premises, облачной и гибридной.

Специалисты Security Operation Center в Yandex Cloud проанализировали атаки за первое полугодие 2025 года и обнаружили, что 38% инцидентов начинаются с компрометации учетных записей.

По мнению экспертов, атаки на гибридные инфраструктуры становятся успешными из‑за слабого управления пользовательскими паролями, учетными записями и доступом к корпоративным сервисам. При этом делегирование аутентификации пользователей облачному провайдеру позволит компаниям снизить расходы на эксплуатацию.

Сервис Yandex Identity Hub был представлен 19 июня на Cloud Security Day — ежегодной конференции о безопасности в облаке. На мероприятии также анонсировали обновление сервиса для защиты от DDoS‑атак Yandex Smart Web Security: теперь он подключается перед инфраструктурой заказчика в качестве Reverse Proxy.

Посмотреть трансляцию конференции в записи можно на сайте Cloud Security Day.

Alfa AppSec Meetup #1

Приглашаем на первый митап команды AppSec Альфа-Банка! На реальных кейсах расскажем:

• чем живёт команда AppSec в банке,

• как внедряем AppSec-практики,

• разберём сервисную модель SSDLC на базе ASOC,

• обсудим, как развиваем MLSecOps, почему AppSec уделяет всё больше внимания безопасности ML,

• поделимся, как выстроили процессы в Offensive AppSec и как они помогают нам находить уязвимости до того, как это сделают другие.

Если вам интересно, как устроена безопасность приложений изнутри — в реальных проектах, в большом банке, — приходите. Будет полезно, местами остро, и точно не скучно.

Присоединяйтесь онлайн и офлайн — зарегистрироваться можно по ссылке.

Где: Москва, ул. Шарикоподшипниковской, д. 4, к. 4A., Exit Loft.

Встретимся через полчаса на вебинаре о лучших практиках сетевой безопасности

В 12:00 (мск) подключайтесь к трансляции вебинара «Сетевая безопасность: группы безопасности vs облачный файрвол» ➡️

Программа

• Обзор решений и сервисов для организации сетевой безопасности в Selectel;

• Обзор групп безопасности; 

• Обзор облачного файрвола;

• Группы безопасности vs облачный файрвол: варианты использования и комбинированные стратегии; 

• Практические кейсы настройки сетевой безопасности для разных задач;

• В конце мероприятия ответим на вопросы — задавайте их при регистрации и во время трансляции.

Задавайте вопросы во время трансляции — ответим на них в конце вебинара. За самые интересные подарим плюшевого Тирекса 🦖

Смотреть трансляцию:

📱 на YouTube

📱 в VK

DeepL заблокировали в России — это тотальный бан онлайн-переводчика от самой компании. Недоступен сайт, приложение и даже API. Вместо сайта теперь открывается лаконичная заглушка «Unavailable in your region». Никаких официальных комментариев нет. Базируется DeepL в Германии.

В первых числах июня я заметил новинку в интерфейсе Хабра, судя по всему незамеченную большинством пользователей. Этот пост создан для того, чтобы познакомить с изменениями в дизайне Хабра.

В соответствии с частью 7 статьи 15.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» уведомляем, что на основании решения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10.03.2025 № 2024-12-26-9056-СОБ указатель (указатели) страницы (страниц) сайта в сети "Интернет" https://habr.com/ru/articles/870110/ включен(ы) в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено», номер реестровой записи 3014324-РИ в связи с тем, что данный указатель (указатели) страницы (страниц) сайта в сети "Интернет" содержит запрещенную информацию о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации.

Сходу я нашел такие страницы, возможно вы найдете еще:

1. https://habr.com/ru/articles/911640/

2. https://habr.com/ru/articles/843928/

3. https://habr.com/ru/articles/870110/

4. https://habr.com/ru/articles/866572/

5. to be continue...

MITRE не принимает видео доказательства из YouTube

В декабре 2024 я обратился в MITRE для регистрации CVE. Среди прочего приложил ссылки на YouTube с демонстрацией уязвимости. Через месяц мне пришёл ответ о создании CVE-2024-57695. Его статус - RESERVED. Более мне ничего не сообщали. Спустя 5 месяцев я решил поинтересоваться в связи с чем статус не меняется - в прошлый раз процесс регистрации публично доступного CVE занял около 2-х недель. И ответ пришёл неожиданный:

We do not currently accept youtube videos as the initial public reference.

Что мешало сообщить об этом в течение полугода - непонятно. Так что имейте ввиду, если соберётесь регистрировать CVE.

OpenRedirect в IBM Instana (NotCVE-2025-0002)

Instana - платформа для мониторинга приложений и инфраструктуры. Эту особенность я нашёл пару месяцев назад совершенно случайно. Забавно, что год назад на собеседовании я не смог ответить на вопрос: что такое OpenRedirect (описан в CWE-601) - растерялся. А сейчас вот сам нашёл. Проблема довольно тривиальна: с помощью специально сформированной ссылки можно заставить браузер жертвы выполнить произвольный GET-запрос. Жертва должна быть авторизована в Instana. Пример ссылки:

https://instana.com/auth/signIn?returlUrl=https%3A%2F%2Fsite.com%2Fchangepassword%3Fuser%3Dadmin%26newpassword%3Dtest

На рисунке ниже виден результат перехода по подобной ссылке: сервер отвечает кодом 302 и через location перенаправляет пользователя на нужный ресурс.

Изначально я пытался зарегистрировать CVE. Продукт Instana принадлежит IBM. А IBM является CNA партнёром MITRE (подробнее про CNA). Т.е. для регистрации CVE нужно обращаться не к MITRE, а к IBM напрямую. Что я и сделал. Ответ от IBM был таков:

We need to see more impact beyond phishing. If you are able to chain this issue with further exploitation (ex: token theft, xss bypass, SSRF, etc…) then please let us know. You will see that other vulnerability programs (example: google) take a similar stance on open redirects.

We recommend taking a look at the following external resources for further information on open redirect issues we would be interested in addressing:

• https://www.youtube.com/watch?v=84nYxHwbCpU

• https://blog.detectify.com/industry-insights/the-real-impact-of-an-open-redirect/

We thank you for your efforts in helping keep IBM products secure. Please reference any further communication related to this issue via your original HackeOne ticket so we can better track this finding.

Нежелание признавать уязвимость со стороны разработчиков - не такая уж и редкость. В моей практике бывало, что разработчики даже пытались оспаривать CVE. Я решил вместо дальнейших исследований по повышению импакта обратиться в NotCVE - сервис как раз для подобных случаев (делал об этом сервисе заметку). Тем более уже был опыт взаимодействия с ними. И буквально через пару дней получил ответ, что уязвимости назначен идентификатор NotCVE-2025-0002.

Проблема замечена в версии User interface v1.293.809 + Backend Tag v3.293.425-0. В этой версии проблемы нет: User interface Tag 1.267.675 + Backend Tag 3.267.347-0

Upd: угрозе назначен идентификатор BDU:2025-12555

Опрос компаний про страхование киберрисков

Мы продолжаем исследовать ущерб от утечек данных. Теперь хотим узнать о страховании киберррисков — прежде всего тех, что привели к утечкам.

Пожалуйста, поделитесь опытом в коротком анонимном опросе, который займет всего несколько минут.

Это поможет нам сформировать объективную картину зрелости рынка страхования киберрисков.

Результатами поделимся в новых материалах.

Задача об анализе адреса

Задание будет интересно всем, кто любит CTF-турниры или просто не боится вызовов. Особенно — новичкам или опытным специалистам по информационной безопасности.

Условие
Вы — участник CTF-турнира. Ваша задача — как можно быстрее найти флаг.
Что известно: флаг находится на нестандартном порту сервера. Чтобы его получить, необходимо проанализировать адрес 79.141.77.70.

Задача
Найдите флаг — строку в формате slcctf{}.

Предлагайте свое решение в комментариях. Подсмотреть его можно в Академии Selectel.

NotCVE-2025-0001

Прошёл месяц с момента моего обращения в MITRE про нежелание разработчиков  делать CVE из-за фикса в Docker Engine 28.0.0. От MITRE никаких новостей больше не было. Поэтому я обратился в NotCVE (об этом сервисе я делал заметку). Спустя буквально пару дней меня оповестили о создании идентификатора NotCVE-2025-0001.
Проект NotCVE пока ещё мало известен. По этой причине по запросу "NotCVE-2025-0001" пока далеко не во всех поисковиках что-то можно найти (в Гугл нашёл 1 запись, в Яндексе и DuckDuckGo - ничего). Да и идентификаторов в NotCVE пока всего лишь 6. Очень надеюсь, что проект обретёт популярность и количество идентификаторов увеличится. И в первую очередь - из-за повышения осведомлённости об этом проекте и увеличении обращений (из-за нежелания разработчиков признавать проблему и создавать CVE). В данном случае показательно, что идентификатор NotCVE-2025-0001 завели по моему обращению несмотря на то, что проблему нашёл не я. Я просто не смог пройти мимо, увидев нежелание разработчиков регистрировать CVE.

ИБ-ДАЙДЖЕСТ INFOWATCH

Утечка ПДн миллионов пациентов

Исследователи группы Cybernews обнаружили в открытом доступе на облачном сервисе MongoDB профили около 2,7 млн пациентов из США и 8,8 млн записей о приемах у врачей.

Кибератака на медиагиганта

Группировка Qilin с помощью вируса-вымогателя украла у медиакомпании Lee Enterprises ПДн почти 40 тыс. человек и 120 тыс. документов общим объемом порядка 350 ГБ.

Columbia Sportswear судится из-за кражи информации

Производитель экипировки для активного отдыха обвиняет двух бывших топ-менеджеров в краже 4700 файлов конфиденциальной информации.

The North Face призналась в утечке данных

Компания уведомила клиентов о взломе учетных записей и вероятной краже их ПДн, призвав сменить пароли и готовиться к отражению фишинговых атак.

Утечка ПДн клиентов Cartier

Люксовый бренд сообщил о хакерской атаке, в итоге которой злоумышленники похитили ПДн клиентов.

Хакеры взломали Deloitte

Злоумышленник с ником «303» заявил о взломе систем консалтинговой компании и краже данных — вероятно, речь также идет об учетные данные GitHub и исходной коде внутренних проектов.

Утекли данные о военном флоте Индии

Военного подрядчика арестовали за шпионаж — он передал агентам пакистанских спецслужб секретную информацию, включая сведения о 14 военных кораблях.

В Минцифры откажутся от СМС-кодов доступа к "Госуслугам"

Глава Минцифры Максут Шадаев в конце мая 2025 года сообщил, что Минцифры откажутся от СМС-кодов доступа к "Госуслугам" в течении некоторого переходного периода. Ранее с такой инициативой выступили депутаты Госдумы. На первом этапе по СМС будет нельзя верифицировать смену пароля в аккаунте.

Сейчас "Госуслуги" предлагают, по выбору пользователя, три вида "второго фактора" двухфакторной авторизации: TOTP, СМС и биометрия.

Причиной отказа от 2FA c применнием СМС названа уязвимость данного способа аутентификации в настоящее время: "Любой код, который приходит в СМС-сообщении, — это сейчас зло", — пояснил глава Минцифры. Наиболее перспективными для генерации "второго фактора" в Минцифры считают OTP-алгоритмы.

ГК InfoWatch — победитель премии CIPR Digital 2025 в номинации «Легенды инфобеза»

Рады поделиться новостью — проект ГК InfoWatch стал победителем премии CIPR Digital в номинации «Легенды инфобеза». Итоги подвели на ЦИПР-2025.

Для участия в премии компания представила кейс с крупным промышленным предприятием, где реализована интеллектуальная система защиты персональных данных сотрудников на базе DLP-системы InfoWatch Traffic Monitor. В основе проекта — новый способ автоматического анализа выгрузок из баз данных, который запатентован в 2024 году.

Разбор представленного на премию кейса — в нашем блоге на Хабре.

На GitHub опубликовали новый инструмент для обнаружения протоколов маскировки TLS Он получил название Aparecium и способен выявлять ShadowTLS v3 и REALITY, которые маскируют зашифрованный трафик под легитимный TLS 1.3.

Aparecium использует особенности реализации TLS, чтобы обнаружить аномалии в поведении протоколов маскировки. ShadowTLS и REALITY, например, часто не обрабатывают отправляемые сервером сообщения NewSessionTicket должным образом, что позволяет выявить их использование.

Серверы на базе OpenSSL отправляют два сообщения NewSessionTicket одинаковой длины в одном TCP‑пакете, что также является характерной особенностью, отсутствующей в протоколах маскировки.

Задача об анализе ответа сервера

Задача подойдет начинающим специалистам по информационной безопасности, а также всем, кто любит CTF-турниры или только готовится к участию в этих соревнованиях.

Условие
На веб-сервере спрятан флаг. Отправьте правильный запрос, чтобы получить к нему доступ. Будьте внимательны при анализе ответа.

Задача
Найдите флаг — строку в формате slcctf{}. Чтобы выполнить задание, перейдите на страницу http://attention.slcctf.fun/.

Делитесь решением в комментариях. А правильный ответ можно посмотреть в Академии Selectel.

Команда исследователей из Palisade Research опубликовала отчёт о возможностях современных ИИ в области наступательной кибербезопасности. Впервые системы искусственного интеллекта были допущены к полноценному участию в хакерских соревнованиях Capture The Flag — и не просто справились, а вошли в число лучших.

В соревновании «AI vs Humans» автономные агенты на базе ИИ попали в топ-5% лучших участников, а на масштабном конкурсе Cyber Apocalypse показали результат в топ-10%, конкурируя с десятками тысяч профессиональных игроков.

Главная идея исследования — протестировать, насколько эффективно можно использовать метод «elicitation» (максимальное раскрытие потенциала ИИ) за счёт краудсорсинга, то есть через открытые соревнования. Вместо того чтобы полагаться на закрытые тесты в лабораториях, Palisade позволила внешним командам и энтузиастам самостоятельно настраивать и запускать ИИ в условиях настоящих CTF‑турниров.

Результаты оказались неожиданными. Некоторые ИИ-агенты смогли решить 19 из 20 задач, не уступая топовым человеческим командам по скорости. Особенно хорошо ИИ справлялись с задачами по криптографии и реверс‑инжинирингу. На турнире Cyber Apocalypse, где участвовало более 8000 команд, ИИ смогли решать те задачи, которые занимают у опытного игрока около часа. Это соответствует оценкам других исследователей: современные языковые модели уже уверенно справляются с техническими задачами продолжительностью до 60 минут.

От визитных книг до Facebook: кто и как продавал ваши данные последние 100 лет

Юрист по информационной безопасности ГК InfoWatch Илья Башкиров написал статью об истории оборота и регулирования персональных данных.

Из статьи вы узнаете, как торговали персональными данными до цифровой эры, как нацисты использовали их для геноцида, и как визитные книги и телефония заложили основу для таргетирования рекламы.

Представлен дашборд для поиска в интернете данных по запросам ИБ CyberOSINT от геолокации до поисковых запросов в браузере пользователей, компаний по следам в интернете. Решенеи на базе конструктора Google Dork парсит информацию в открытых каналах.