Информационная безопасность

Тихий враг или молчаливый союзник: коротко о выравнивании в C++. Часть 2

Казалось бы, тайна выравнивания раскрыта. Вы победили невидимого врага — невыровненный доступ. Память под контролем, но производительность по-прежнему шепчет: "Есть ещё нюансы". Что? Нюансы? Какие? Пришло время посмотреть, что происходит, когда структуры начинают наследовать друг друга. Здесь всё становится... интереснее. Правила игры меняются.

Итак, путь ясен: мы погружаемся в мир наследования, чтобы услышать его диалог с памятью. Давайте сразу к делу. Приготовьтесь, правила только что усложнились. В статье поговорим о выравнивании, наследовании POD-структур и множественном наследовании.

Открытый инструмент OSINT‑разведки под названием TGSpyder парсит из Telegram: аудио, видео, участников, их ID, логины и даже номера телефонов, если те открыты. Сервис помогает выкачать историю сообщений даже из закрытых чатов и все пригласительные ссылки. Ищет юзеров по ID и логинам. Собирает все данные в один CSV‑файл и выдаёт в удобном виде. Работает ограничений и не нарушает правила мессенджера.

О поддержке opensource - как показателе безопасности

Случались ситуации, когда компании использовали open source, который перестал развиваться. И в этом open source находили уязвимости. Итог: компаниям сложно ликвидировать уязвимости в используемом open source. По этой причине рождались предложения: дабы не попасть в такую ситуацию - при выборе open source проверять, что проект ещё поддерживается. Мысль здравая. Но, и тут могут быть нюансы. Пример - проект JasperReports (для Java). Судя по репозиторию - проект поддерживается. 16 сентября 2025 была опубликована информация об уязвимости в проекте (критического уровня: 9.8 по шкале CVSS v3.1 - CVE-2025-10492). А 19 сентября 2025 разработчик сообщил, что фикс выйдет только для коммерческой версии.

Тихий враг или молчаливый союзник: коротко о выравнивании в C++

Представьте, ваша программа — образец чистого кода, прошедший ревью и покрытый тестами. Казалось бы, всё идеально. Но производительность не такая, на какую рассчитывали. Вы проверили всё, что знали. А что, если проблема в том, о чём вы могли не знать? Всё может упираться в выравнивание данных в памяти. Для многих этот механизм так и остаётся загадкой.

Предлагаю вам вместе попробовать разобраться в такой непростой теме в этой статье.

Проверьте своих близких. Как WB оформляет «кредиты Шрёдингера» (есть в чеке, нет в БКИ) под 85% годовых

Не успел я отдохнуть после статьи о Femida Search , так напоролся на новое приключение.

Саммари:

Если вы поставили пожилым родственникам полный самозапрет на кредиты через Госуслуги (ФЗ-31), это не гарантирует защиту от рассрочек на маркетплейсах. @WILDBERRIES через прокладку «ООО Престо» выдает деньги, игнорируя записи в БКИ.

Поэтому я сейчас готовлю расследование с разбором чеков, оферт и, надеюсь, ответов ЦБ и ФНС, но ситуация требует предупредить сообщество прямо сейчас.

Дано:

1. Мама-пенсионер (70 лет).

2. Активный полный самозапрет на кредитование в БКИ, установленный ещё в марте 2025 через Госуслуги.

3. Покупка товаров на Wildberries в январе 2026.

Что произошло:
При заказе был «случайно» (темные паттерны UI) активирован способ оплаты «Оплата частями». В итоге:

• Товар подменили (вместо Селена прислали Хром, который опасен при применении с препаратами для понижения сахара в крови при диабете). Ну эт ладно, не главное.

• На сумму 4 600 руб. накрутили «комиссию» 1 175 руб. (эффективная ставка ~85% годовых!!).

Я был уверен, что полный самозапрет в БКИ отсечет любые попытки выдать кредит. Но схема WB и их партнера ООО «Престо» работает вот так:

1. В оферте это называется «Договор поручения» (агентская схема, BNPL), якобы чтобы не попадать под регулирование ЦБ.

2. Но в кассовом чеке (ФНС) в теге 1214 («Признак способа расчета») прямым текстом стоит: «ПЕРЕДАЧА В КРЕДИТ» и «ОПЛАТА КРЕДИТА».

3. Самое забавное: В кредитной истории (БКИ) этот долг не отображается.

Они выдали «теневой кредит». Если бы они сделали запрос в БКИ (как обязаны по закону и как обещают в своем же договоре), они получили бы отказ из-за самозапрета. Поэтому они просто не делают запрос, но в чеке пишут «Кредит», чтобы легализовать деньги перед налоговой.

Что делать прямо сейчас: Зайдите в приложения Wildberries своих родителей/родственников:

1. Проверьте раздел «Покупки» -> «Чеки». Ищите чеки от ООО «Престо».

2. Если видите там слова «Комиссия сервиса» и «В КРЕДИТ» — знайте, это не просто рассрочка, это кредитный продукт, который может висеть «мимо» БКИ. Сохраните все чеки себе на комп, чтобы их не подменили задним числом!

3. Проверьте, не подключена ли у них «Оплата частями» без их ведома.

P.S. Я уже направил досудебные претензии и жалобу в ЦБ РФ с требованием проверить лицензию данного финтеха. И я заархивировал все доказательства. Полный технический и юридический разбор этой схемы («Кредит Шрёдингера») с комментариями юристов опубликую на Хабре через несколько дней, как только получу (или не получу) официальные ответы.

Берегите родителей, ребята!

Upd (2026-02-09). Текст моей статьи готов, сейчас его проверяют юристы. Полную версию я опубликую на своём сайте (66 минут чтения), а на Хабре более ужатую, чтобы люди хоть могли прочитать.

Upd (2026-02-17) Полная версия статьи готова. Её младшая версия тоже.

Вебинар: Что ждет Службы ИБ в 2026 году. Главные тренды и вызовы
5 февраля в 11:00

В 2025 году атаки участились, регуляторы ужесточились, и многие службы до сих пор тонут в рутине — сборе доказательств, отчетах, контроле уязвимостей — и не успевают анализировать реальные угрозы.

Приглашаем на вебинар с практиками и экспертами отрасли. Разберём не только тренды, но и конкретные шаги для адаптации вашей ИБ-стратегии.

💬 Приглашенные гости:

• Николай Казанцев, CEO SECURITM

• Лука Сафонов, бизнес-партнёр ГК "Гарда"

• Александр Суслов, CISO ГК "Регион"

На вебинаре ответим на ключевые вопросы:

• Итоги 2025: главные уроки для ИБ-специалистов. Что устарело, а что стало критически важным?

• Тренды 2026: куда движется рынок? Почему SOC, Managed Security и SGRC растут быстрее рынка и как это использовать?

• Импортозамещение vs. Безопасность: как выбирать и тестировать российские решения без потери в защищённости?

• Финансы и аргументы: как обосновать инвестиции в ИБ руководству? На какие метрики и KPI делать упор в 2026?

• ИИ: защита или угроза? Как применять искусственный интеллект, не создавая новых уязвимостей?

  Регистрируйтесь прямо сейчас!

Топ-3 популярных заблуждения про NTA и NDR

Многие до сих пор думают, что NTA ‒ это просто «продвинутый IDS», а NDR вообще не работает без полного дампа трафика. Кто-то считает, что NDR ‒ это функция песочницы, а кто-то уверен, что NTA не может работать на базе NetFlow. В реальности дела обстоят несколько иначе.

Мы подготовили видео, в котором Станислав Грибанов, руководитель продукта «Гарда NDR» компании «Гарда», автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса», развенчивает три ключевых мифа про NTA и NDR.

Рекомендуем видео к просмотру всем, кто хочет понять, чем NDR отличается от традиционных средств защиты и когда он действительно нужен.

Еще больше видео о технологиях и трендах в сфере информационной безопасности ‒ на нашей странице «ВКонтакте» и на сайте.

Требования по регистрации событий ИБ часто выглядят формально и обобщенно. Но именно здесь во внедрении возникает больше всего вопросов, рисков и договоренностей, которые важно зафиксировать заранее.

Мы поговорили с Лизой, аналитиком по информационной безопасности, о том, как она работает с этими требованиями и что помогает избежать разночтений с заказчиком.

Почему регистрация событий ИБ — это всегда вызов

Событие ИБ — состояние системы, указывающее на важное с точки зрения безопасности действие, например, нарушение политики ИБ или сбой. 

Звучит просто, но в реальности возникает множество проблем:

• требования часто сформулированы абстрактно — «иные действия пользователей», «события, связанные с безопасностью»;

• невыполнение требований ИБ может заблокировать весь проект;

• нет универсальной базы — нормативные документы дают общее направление, а у каждого заказчика есть свои внутренние требования и особенности.

Откуда берутся требования

Во внедрении я сталкиваюсь сразу с несколькими источниками:

• требования по защите персональных данных — например, приказ ФСТЭК № 21;

• документы регуляторов с описанием инцидентов и состава событий;

• отдельные требования финансовых организаций;

• внутренние документы заказчика, к которым не всегда есть доступ;

• особые режимы — государственные информационные системы, требования, которые важно учитывать еще на этапе пресейла.

Недавно в нормативке появились практические ориентиры. ФСТЭК выпустил рекомендации по базовой настройке регистрации событий безопасности — с примерами настройки логирования в ОС.

Как я структурирую требования по событиям ИБ

Чтобы работать с этим массивом, я условно делю требования на четыре группы.

Общие требования


Сроки хранения архивов журналов, источники событий, уровни системы: от ПО до сетевого оборудования.

Общий перечень событий

Самый опасный пункт — «иные действия пользователей». Моя тактика: фиксировать конкретный список событий, показывать демо и добиваться согласования, чтобы исключить разночтения.

Состав полей события безопасности

Важно понимать не только что регистрируется, но и какие атрибуты попадают в лог. Я всегда ставлю себя на место специалиста SOC: хватит ли этих данных, чтобы расследовать инцидент?

Мониторинг и передача в SIEM-систему

Даже здесь возникают сложности — неподдерживаемые протоколы, требования к формату полей и событий, особенности интеграции. Формулировки должны быть максимально точными.

Что я вынесла из практики

1. Требования в ТЗ — это только часть картины, всегда нужно копать глубже.

2. Требования меняются по ходу проекта и это нормально.

3. Все договоренности важно фиксировать письменно.

4. Нужно учитывать не только нормативные документы, но и локальные требования заказчика.

5. Про SIEM-интеграцию стоит думать сразу, чтобы не пришлось переделывать позже.

6. Важно заранее договориться, кто и сколько хранит логи.

→ Подробнее своим опытом Лиза поделилась в статье.

Представлен легковесный инструмент Crawlee, который может спарсить информацию с сайтов, соцсетей и других ресурсов, а также обходит защиту от ботов. Может скачать аудио, видео, изображения, метаданные, документы и прочие нужные файлы. Скрипты решения написаны на Python, имитирует поведение человека на сайтах, в соцсетях и других ресурсах. Инструмент поддерживает мультизадачность и не теряет при этом скорость. Можно собирать несколько видов данных одновременно. Работает полностью локально.

Открытый проект SubTrackr ищет и мониторит текущие подписки, отслеживает переводы и напоминает о датах списаний:

• показывает подписки в одном месте;

• поможет на раз отписаться от ненужных сервисом и не тратить деньги впустую;

• мониторит траты, даты списаний, а также тематики подписок и их полезность;

• дает рекомендации;

• имеет понятный интерфейс и несколько тем для кастомизации;

• работает полностью локально.

Открытый загрузчик Telegram Files позволяет скачать файлы из Telegram даже из закрытых чатов, включая аудио, видео, картинки, голосовые, гифки, документы и прочие файлы. Поддерживает сразу несколько аккаунтов в Telegram. Можно скачивать файлы из разных чатов одновременно и вообще не терять в скорости. Поддерживает превью файлов во время скачивания.Работает локально, не нарушает политику мессенджера.

Онлайн сервис проверки конфига nginx на безопасность (Gixy-Next)

На Хабре уже упоминался Gixy как средство проверки безопасности\хардеринга nginx (статья раз, статья два). Недавно появился ещё один проект, основанный на форке Gixy: Gixy-Next (репозиторий, сайт проекта). Из интересного: прямо на сайте есть возможность проверить конфиг nginx (если по какой-то причине не хочется устанавливать приложение). В тексте найденных проблем - ссылки на страницы с подробным описанием типа ошибки.

Инструментальное средство PVS-Studio разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207—2024. Выявляет критические ошибки и может использоваться при разработке безопасного программного обеспечения по ГОСТ Р 56939—2024.

Я подготовил развёрнутый материал, посвящённый функциональным возможностям PVS-Studio на начало 2026 года с точки зрения перечисленных стандартов, приказа ФСТЭК №117, методического документа "Профиль защиты" и т. д.

Обзор PVS-Studio получился большой и явно не формата статьи для Хабра. Это вообще, скорее, мини-справочник на 66 страниц. В общем, я вас предупредил :) Тех, кто не испугался, а наоборот, заинтересовался, приглашаю познакомиться с материалом по ссылке:

Статический анализатор кода PVS-Studio в 2026: ГОСТ Р 71207, ГОСТ Р 56939, приказ ФСТЭК №117

Что можно найти в документе:

• как связаны между собой PVS-Studio и различные ГОСТы;

• требования к статическим анализаторам кода и насколько им соответствует PVS-Studio;

• разбор технологий анализа, реализованных в PVS-Studio;

• примеры выявляемых критических ошибок и что это такое;

• характеристики анализатора: языки, поддерживаемые операционные системы, скорость работы, форматы отчётов;

• и т. д.

Если вас заинтересовали озвученные здесь темы или у вас появились вопросы, то напишите нам.

P.S. Команда PVS-Studio будет со стендом на ТБ Форум 2026 (18–20 февраля 2026, МВЦ "Крокус Экспо", павильон 2, зал 10). Я там тоже буду. Приходите задавать вопросы на тему публикации, стандартов и вообще.

Скрытые уязвимости в CI/CD: что мы упускаем и как защитить процесс доставки

CI/CD давно перестал быть просто удобным способом ускорить релизы. Сегодня это критическая часть цепочки поставки, через которую проходит весь код, зависимости и инфраструктурные изменения. Именно поэтому пайплайн всё чаще становится целью атак, при этом многие уязвимости остаются незаметными годами.

Одна из самых недооценённых проблем — избыточные права. Токены доступа, используемые в пайплайнах, часто имеют больше разрешений, чем требуется для конкретного шага. Компрометация такого токена даёт атакующему доступ не только к репозиторию, но и к облачной инфраструктуре, артефактам и секретам.

Вторая зона риска — зависимости и сторонние экшены. Автоматизация строится на готовых шагах и шаблонах, которые редко проходят полноценный аудит. Обновление популярного экшена или контейнерного образа может незаметно внести вредоносный код в процесс сборки, и он будет исполняться с доверенными правами.

Отдельного внимания заслуживает хранение секретов. Даже при использовании секретных хранилищ они нередко утекaют в логи, артефакты или кэши. Проблема усугубляется тем, что логи CI часто доступны большему кругу людей, чем production-системы.

Неочевидная, но опасная категория уязвимостей — доверие к окружению сборки. Самохостинг раннеров без изоляции, повторное использование виртуальных машин и отсутствие очистки после джобов позволяют атакующему закрепиться в системе и влиять на последующие сборки.

Защита CI/CD начинается с принципа минимальных привилегий. Каждый токен, сервисный аккаунт и ключ должен иметь строго ограниченный набор прав и короткий срок жизни. Второй шаг — контроль цепочки зависимостей: фиксация версий, проверка хэшей, собственные зеркала и регулярный аудит используемых экшенов и образов.

Важно также относиться к пайплайну как к коду: проводить ревью изменений, логировать подозрительные действия и мониторить аномалии. Изоляция окружений, одноразовые раннеры и автоматическая ротация секретов значительно снижают потенциальный ущерб от атаки.

CI/CD — это не просто автоматизация, а часть поверхности атаки. Чем раньше это осознаётся, тем меньше шансов, что уязвимость проявится уже после успешного релиза.

А какие риски в своих пайплайнах вы обнаружили только со временем?

Представлен открытый проект MatrixDefender-4.2, который помогает убрать майнеры на ПК или ноутбуке, а также различные сетевые угрозы и прочий мусор. Сервис написан на Python, устанавливается за пару кликов. Проект находит и удаляет майнеры, лечит от LimeRAT, QuasarRAT и другие угрозы, блокирует С2-сервервы, которые управляют атаками на ПК.

Как зарегистрировать новый домен и сразу получить проблемы

25 декабря 2025 я зарегистрировал в RU-Center новый домен в зоне .RU.
Прописал NS-записи на Beget, но сам домен в панели не добавлял — не нужен был на этом этапе. Обычно в таких случаях при открытии домена в браузере показывается стандартная заглушка Beget: «Домен не прилинкован к директории».
Начались праздники, я забыл о нём.

14 января — сюрприз от RU-Center

Получаю письмо:

«В соответствии с пунктом 5.7 Правил регистрации доменных имен делегирование домена [domain.tld] приостановлено...»
«По вопросам разъяснения причин прекращения делегирования рекомендуем обращаться: incident@cert.gov.ru».

А чуть ниже — цитата от НКЦКИ (Национальный координационный центр по компьютерным инцидентам):

«Доменное имя [domain.tld] используется для проведения компьютерных атак.»
«Тип атаки: фишинг.»
«Легитимный сайт — https://web.telegram.org/».

Видимо, мой домен кто-то использовал для фишинга Telegram.

Первая реакция — «ну и ладно, не сильно нужен он мне», но потом включилась профессиональная деформация: надо разобраться.

Пишу в RU-Center

«Подскажите дату, когда была зафиксирована атака. Я зарегистрировал домен 29.12.2025, он был на DNS Beget, но не использовался — только заглушка.»

Ответ стандартный:

«Жалоба поступила 14.01.2026. По вопросам разъяснения причин рекомендуем обращаться в НКЦКИ.»

Пишу в НКЦКИ

«Домен зарегистрирован 29.12.2025, DNS прописаны на Beget, но не прилинкован. Как он мог участвовать в атаке?»

Ответ неожиданный:

«Ваш домен был взломан путем подмены DNS-записи у провайдера хостинга. В результате размещался фишинговый контент. Дата обнаружения — 14.01.2026. Возможно, взлом произошёл раньше. Просим обратиться к хостинг-провайдеру и обеспечить корректную настройку DNS.»

Хорошо. Пишу в Beget.

Пишу в Beget

«Домен был зарегистрирован 29.12, прописан в NS, но не добавлен в аккаунт. НКЦКИ пишет, что DNS были подменены. Прошу разобраться.»

Ответ:

«Домен [domain.tld] находится на аккаунте с логином [username]. У вас есть доступ к этому аккаунту?»

Нет, конечно. И понятия не имею, кто это.

Дальше — процесс восстановления, подтверждения, перенос на мой аккаунт. Всё закончилось благополучно, но с неприятным послевкусием.

Развязка

Позже я уточнил у Beget:

«Когда домен был добавлен в чужой аккаунт?»
Ответ: «30.12.2025.»

То есть сразу после регистрации домена кто-то добавил его к себе.
Это даже не взлом в классическом смысле, а скорее «киберсквоттинг на уровне DNS» — когда ловят новые домены, прописанные на публичные NS, и быстро создают запись у себя, пока владелец не дошёл до панели.

Выводы

1. Не оставляйте домен “висеть” без зоны. Даже если кажется, что всё под контролем.

2. Сразу добавляйте домен в хостинг и создавайте зону DNS. Пусть даже просто указывает на пустую директорию.

3. Проверяйте, на чьих серверах реально отвечает ваш домен.

4. Не полагайтесь на “по умолчанию” — иногда именно там и происходит самое интересное.

Действуя на расслабоне, я оставил лазейку, которой кто-то воспользовался.

Я делаю конструктор Телеграм-ботов «Бот в блокноте» и веду канал про ИИ-клиент «Cherry Studio» — ссылки можно найти в моём профиле 👇. Присоединяйтесь!

Дети научились проходить проверку на возраст в Roblox с помощью нарисованных усов и бороды.

Представлен открытый проект EyeOfWeb. Это локальный OSINT-поисковик с точных распознаванием лиц на базе нейросети InsightFace, которая сканирует черты лица с фото и сравнивает с тысячами изображений в сети. Источники поиска можно задать вручную: сайты, форумы, соцсети, тематические порталы и другие ресурсы. Также можно добавить поиск по метаданным фото. Сервис помогает устроить даже мультипоиск нескольких людей с фото. Для работы нужно 8 ГБ памяти. 

Представлен открытый проект Mimesis: The Fake Data Generator для генерации фейковых данный для проектов, пентеста, хакинга или анонимности в сети, включая ФИО, email, адреса проживания, телефоны, локации, смена стран и адаптирование данных в соответствие с задачами. Полезно также для создания файлов JSON и XML произвольной структуры, а также анонимизации данных. Устанавливается за один клик, имеет простой и понятный интерфейс.

О тактике киберпреступников и трендах 2026 года

Главный аналитик экспертно-аналитического центра InfoWatch Сергей Слепцов рассказал Cyber Media о ключевых тенденциях в киберпреступлениях, которые определили 2025 год и будут развиваться в 2026 году.

«Стоит отметить усложнение методов атак на наиболее значимые организации; поиск уязвимостей в отечественном ПО, замещавшем западные продукты; рост фишинговых кампаний. Хакеры применяют ИИ для разведки, автоматизации процессов атак путем использования сразу нескольких техник, генерации фишинговых сообщений и вредоносного кода.

Кроме этого, злоумышленники все чаще проводят комбинированные атаки на гибридные инфраструктуры, как на on-premise-сегмент, так и на облачное размещение. Растет доля атак с целью вымогательства, в том числе широко распространяется услуга даркнета — вымогательство как сервис (Ransomware as a service)».