Информационная безопасность

Эти три открытый проекта по ИБ позволяют анализировать и изучать беспроводные сети Wi‑Fi:

• Wi‑Fi‑autopwner — моделирование взлома сетей Wi‑Fi с простой защитой. Работает в консоли.

• Wi‑Fi Exploitation Framework — сервис, который поможет проверить и пробить безопасность беспроводной сети, а также протестировать на ней различные виды тестовых атак: от простых до комплексных.

• Freeway — Python‑сервис, который показывает механизм работы беспроводных сетей и их уязвимостей, помогает выявить способы перегрузки сети и смоделировать атаки с нарушением аутентификации.

Представлен открытый бесплатный сервис Maltrail для анализа входящего и исходящего трафика и вредоносов в нём. Проект умеет:

• обнаруживать опасные домены, URL и IP;

• распознавать вредительские HTTP User‑Agent‑строки;

• выявлять актуальные инструменты атак на ПК;

• высокий уровень сетевой безопасности без сложного развёртывания — сервис ставится за один клик;

• может помочь найти вирусы, майнеры и прочий мусор, который обращается в сети.

обзор книги: Валерий Комаров "Опасная профессия. Будни работы в сфере информационных технологий" я делать пожалуй не буду, благо она доступна бесплатно на ridero, литресе и еще черт знает где. просто рекомендую найти, скачать и внимательно прочитать всем работающим и стремящимся в ИТ и ИБ в РФ, особенно связанным с ГИС (гос.инф.системами), объектами КИИ (критической информационной инфраструктуры), и информационными системами, аттестованными по ФСТЭК. автор на множестве примеров из реальной судебной практики показывает, как можно пострадать по уголовной части за совершенную ерунду (это для вас ерунда, а для безопасников и правоохранитетей - жирная палка и премия).

если у кого проблемы со скачиванием то
https://www.upload.ee/files/18954335/_________________.pdf.html

На недавно прошедшем мероприятии 39th Chaos Communication Congress 27 дек 2025 была обнародована информация о впечатляющих уязвимостях в программном обеспечении беспроводных (bluetooth) наушников на базе чипа ф. Airoha. Результаты таковы, что можно смело наводить панику: на видео демонстрируется не только дистанционное считывание названия проигрываемой наушниками композиции, но и обеспечивается доступ к звуковому каналу (bluetooth профиль HFP HF со всеми его фичами), что важно - незаметно для пользователя наушников, а далее - и к софту на смартфоне пользователя. Немаловажно что протестированы наушники вовсе не каких то там непонятных производителей, а известнейших и популярных брендов: многие модели Sony и Marshall, а также некоторые JBL, Jabra, Beyerdynamic, Bose (далее по ссылке есть список протестированых моделей). Выглядит впечатляюще, хотя и сильно подглюкивает, но уже близко к тому что мы видим в компьютерных играх и фильмах про хакеров.

https://www.youtube.com/watch?v=TK5Tz4Bt94Y

Изначально реверсеры раскрутили и прошивки для нескольких устройств, а затем фирменный протокол обмена поверх bluetooth (называется RACE). В нем есть и доступ к оперативке устройств и доступ к флешу. Ну и дырок всяких достаточно.

В текстовом виде + ссылки: https://insinuator.net/2025/12/bluetooth-headphone-jacking-full-disclosure-of-airoha-race-vulnerabilities/

Производители наушников уже оповещены и конечно же обновили прошивки.

Обновлена открытая база по 500+ ИБ-сервисам Awesome OSINT For Everything, включая:

• базовую сетевую разведку, чтобы собрать «скелет» цели — домены, почты, имена, поддомены, URL;

• метапоисковики и поиск по специфическим типам данных — кэши, PGP-ключи, публичные бакеты, прямые ссылки и подобное;

• кастомные поисковые движки;

• поиск и контроль утечек любых данных — понять, светились ли email/телефон/учетки в открытых базах, найти следы компрометации;

• просмотр истории владения доменом. Поиск всех доменов, связанных с конкретным человеком;

• проверка URL на вредоносы, пробив репутации ресурса;

• поиск по открытым датасетам, реестрам или санкционным спискам;

• детальный поиск по кусочкам кода в любом репозитории и в сети;

• гео-поиск с визуализацией на карте;

• радио/сканеры и Wi-Fi-картография — можно пробить человека в сети и по использованию оборудования;

• распознавание и анализ автомобильного номера, VIN-номера, а также передвижений машин;

• поиск следов криптоплатежей из открытых источников;

• поиск по базам судов, реестрам, зарплатным базам, FOIA-ресурсам, публичным архивы на предмет утечек.

В Китае цифровые валюты центральных банков (CBDC) хотят привязать к цифровой идентификации пользователя. Мужчину, который ехал без шлема, полицейский подключил к дистанционным диспетчерам с помощью небольшого устройства и в режиме реального времени списал с цифрового кошелька штраф — 25 юаней.

Состоялся первый мажорный релиз открытого проекта для шифрования текста и файлов Stirlitz. Программа написана на языке С++ и распространяется под лицензией GPLv3. Приложение адаптировано для работы в операционных системах семейства Linux, Windows и Android. Для пользователей Arch Linux в AUR доступен сценарий сборки пакета. Для пользователей Windows доступен экспериментальный инсталлятор. Для пользователей Android доступен экспериментальный пакет в формате apk.

Основные возможности Stirlitz 1.0:

• Шифрование текста и файлов для передачи через любые каналы публичной связи (мессенджеры, e‑mail сообщения и тому подобное). Шифрование осуществляется на базе публичных ключей (алгоритм Ed25519) и алгоритма шифрования AES256.

• Шифрование файлов для локального хранения. Шифрование осуществляется через задание имени пользователя и пароля с использованием алгоритма AES256.

• Создание шифрованных профилей для хранения ключей, используемых для обмена сообщениями через публичные каналы связи.

• Создание одноразовых профилей: ключи хранятся в защищённой памяти, выделяемой с помощью библиотеки libgcrypt, и уничтожаются после выхода из профиля или закрытия программы.

• Криптографические функции вынесены в отдельную библиотеку stirlitz, которая может быть собрана и использоваться полностью независимо.

• Для библиотеки stirlitz доступна документация в формате html.

DDoS-атаки: почему стандартные решения не спасают и как выстроить эффективную защиту. Интервью ispmanager с GreyWeb

Рады вас приветствовать, дорогие читатели!

Тема противодействия DDoS-атакам остается одной из самых острых и актуальных в сфере IT. Атаки постоянно эволюционируют, становятся более сложными и мощными, заставляя специалистов искать новые, более изощренные методы защиты.

В ispmanager мы регулярно сталкиваемся с вопросами наших пользователей о том, как обезопасить свои серверы и проекты. Именно поэтому мы провели глубокое интервью с ведущими экспертами по кибербезопасности из компании GreyWeb, которые специализируются на профессиональной защите от DDoS.

Что мы обсудили и почему это важно для каждого, кто управляет инфраструктурой:

•  Эволюция угроз: Как меняются DDoS-атаки и почему вчерашние методы защиты сегодня уже неэффективны.

•  Ограничения стандартных решений: Разбор типовых ошибок и мифов, связанных с "базовой" защитой.

•  Комплексные стратегии: Какие подходы и технологии позволяют эффективно отражать даже самые мощные и целевые атаки.

•  Взгляд изнутри: Практический опыт GreyWeb по предотвращению и минимизации ущерба от DDoS, кейсы и рекомендации.

•  Подготовка к атаке: Что нужно сделать заранее, чтобы быть готовым к худшему сценарию.

Это интервью — не просто набор теоретических выкладок, а концентрат практического опыта и аналитики от специалистов, которые ежедневно борются с киберугрозами. Если вы системный администратор, DevOps-инженер, разработчик или владелец сервиса, который не понаслышке знает о рисках DDoS, этот материал будет для вас крайне полезен.

Приглашаем к прочтению: ➡️

https://www.ispmanager.ru/news/case-greyweb

Делитесь вашим опытом борьбы с DDoS в комментариях!

Альфа-Банк расширяет Bug Bounty-программу по поиску уязвимостей

Альфа-Банк расширяет публичную Bug Bounty-программу на платформе BI.ZONE Bug Bounty и добавляет новые цифровые сервисы в область тестирования. К проверке в рамках программы становятся доступны следующие цифровые сервисы:

• Альфа-Офис — онлайн-анкета и электронный документооборот для подключения и обслуживания юридических лиц: подача заявок, заполнение анкет и подписание договоров с банком без визита в отделение.

• Альфа-Финанс — веб-система факторинга и финансирования поставок.

• Карьерный сайт — карьерный портал Альфа-Банка и витрина для Digital/IT-команд с вакансиями, описаниями команд, форматов работы и полным путём кандидата от отклика до оффера.

• Alfa People — корпоративный HR-сервис и мобильное/веб-приложение для сотрудников и кандидатов: новости, внутренние сервисы, работа с оффером, ввод персональных данных и загрузка документов при трудоустройстве.

• BaaS (Banking-as-a-Service) и Alfa API — платформа открытых API Альфа-Банка, которая помогает бизнесу и партнёрам встраивать банковские возможности в свои продукты: от платежей и счетов до кредитных сценариев и других финансовых функций.

Подробный список целей, технические детали по каждому сервису, а также актуальные правила и размеры вознаграждений доступны в описании публичной баг баунти программы Альфа-Банка на платформе BI.ZONE Bug Bounty. 

Размер выплат зависит от критичности обнаруженной уязвимости и может достигать 1 000 000 рублей.

Bug Bounty – это публичная программа поиска уязвимостей, запущенная для того, чтобы сделать процесс тестирования безопасности максимально прозрачным и эффективным, что делает продукты Альфы надёжнее и защищеннее. Команда по кибербезопасности совместно с сообществом исследователей выявляет и устраняет потенциальные уязвимости до того, как ими смогут воспользоваться злоумышленники.

Чтобы присоединиться к программе, достаточно зарегистрироваться или авторизоваться на платформе, выбрать программу Альфа-Банка, ознакомиться с правилами и областью тестирования и направить отчёт через платформу.

Разработчики из РФ замучили мошенника, заставив его проходить бесконечную капчу. Скамер притворился главой одной российской компании и писал на английском. Сотрудники компании должны были отсканировать подарочные сертификаты на его сайте на 1500 евро. Оказалось, в эту игру можно играть вдвоём. Разрабочтики сделали вид, что поверили обманщику и скинули ему ссылку на файлообменник, состряпанный на скорую руку. Идея которого заключалась в бесконечной капче. Бедолага пытался пройти её 1,5 часа, но ничего не выходило. А разработчики добавили ещё и верификацию по видел, которую скамер тоже начал проходить.

Представлен открытый защищённый менеджер паролей PearPass, который хранит ключи на локально и не передаёт их в облако. Синхронизация между устройствами пользователя происходит через зашифрованное соединение. Есть встроенный генератор надёжных паролей. Приложение также проверяет слабые пароли.

Юрист по ИБ ГК InfoWatch Илья Башкиров выступил на юридической конференции Ассоциации банков России. Тема — «Тренды развития отечественного банковского права».

Наш эксперт выступил на круглом столе «Цифровой щит банковского права: антифрод и персональные данные», где обсуждали вопрос уголовной ответственности за неправомерное обращение с персональными данными и влияние законодательства о противодействии мошенничеству на обработку ПДн.

Илья Башкиров отметил, что новый состав преступления не меняет общих принципов российского права ­— преступление требует вины и умысла, а он отсутствует у ИБ‑сотрудников.

«Безопасность нередко служит безграничным оправданием для агрессивного сбора данных — в том числе «про запас». Обеспечение безопасности действительно требует сбора данных для статистики, прогнозирования и моделирования — в том числе от легитимных пользователей. Здесь важно, чтобы собранные данные использовались строго по назначению, а не для маркетинга или иного профилирования. Необходимо также устанавливать разумные пределы по типам и объемам собираемых данных».

Находим зловреды в любых файлах. Представлен открытый проект для анализа статического вредоносного ПО Qu1cksc0pe. Решение умеет анализировать исполняемые файлы, показывать, какие DLL файлы используются, видит все функции и API, разделы и сегменты, URL-адреса, IP-адреса, электронные письма, считает разрешения на Android, расширения и имена файлов. Проект сканирует документы: Word, Excel, HTML, Portable, OneNote, а также находит вирусы в файлах архивов ZIP, RAR и ACE.

В обновлении Telegram появилась возможность создать на устройстве ключ доступа (passkey), который позволит мгновенно входить в мессенджер с помощью PIN или биометрических данных, в том числе Face ID и отпечатка пальцев. Криптографические ключи для входа будут храниться на устройстве и могут синхронизироваться с приложениями для управления паролями от iCloud, Google и других сервисов.

«Ключи доступа работают всегда и везде — и при перебоях с СМС, и в заграничных поездках, и даже в лифтах на парковках», — пояснили в Telegram, используя мем про другой мессенджер.

Прошли аттестацию высшего уровня защиты данных УЗ-1 🛡

Официально подтвердили максимальный уровень защищенности нашей инфраструктуры.

Теперь вы можете размещать медицинские системы и работать с любыми специальными категориями данных (здоровье, биометрия).

➖ Локации: Москва, Санкт-Петербург, Новосибирск
➖ Защита: аппаратные межсетевые экраны, IDS/IPS, сканирование уязвимостей, контроль целостности среды виртуализации

Ссылка на документы →

Сервисы, которые позволяют проверить приватность в браузере и выявить утечки личных данных:

• Browserleaks: подскажет, какие данные ваш браузер раскрывает другим сайтам;

• CreepJS: оценивает, сколько технической информации ваш девайс отдаёт в фоне;

• FingerprintJS: демонстрирует, насколько уникален ваш цифровой отпечаток;

• Cover Your Tracks: быстрый тест, который показывает, насколько легко вас идентифицировать;

• WebBrowserTools: набор простых тестов для оценки приватности и безопасности в браузере.

Зовем на огонёк!

Привет, Хабр!

18 декабря в 11:00 вместе с Алексеем Дроздом aka @labyrinth начальником отдела безопасности «СёрчИнформ», мы будем провожать 2025 год. Присоединяйтесь!

В неформальной обстановке поделимся вредными ИБ-советами, забавными случаями из практики и просто побеседуем о жизни нашей в ИБ. В программе никакого официоза, только хорошее настроение, (не)много шампанского и нешуточные истории.

Зарегистрироваться можно по ссылке, а смотреть, нарезая оливье.

Краткий курс по выявлению уязвимостей

Как выглядит веб-приложение глазами атакующего, какие дыры в безопасности встречаются чаще всего и что с этим делать на практике? В статье «Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей» наш AppSec BP собрал небольшое обучение по основам безопасности веб-приложений — от базового понимания архитектуры до превентивного выявления уязвимостей.​

Разбираем, где именно в типичном веб-стеке возникают риски, как связаны между собой классы уязвимостей из OWASP Top 10 и что разработчикам, тестировщикам и безопасникам нужно проверять в первую очередь. Материал не ограничивается теорией: показан практический подход к поиску багов, типичные ошибки при настройке доступа, аутентификации, логирования и работы с внешними компонентами.​

Статья будет полезна backend и frontend разработчикам, тимлидам, DevOps-инженерам и начинающим AppSec-специалистам, которые хотят выстроить базовое «мышление безопасностью» и научиться видеть приложение так, как его видит злоумышленник.

Ключевые элементы киберустойчивости

Директор дирекции кибербезопасности ОТП Банка Антон Замараев выступил на сессии «Киберустойчивость как новая стратегическая метрика бизнеса» в рамках Киберсъезда 2025, прошедшего в Кибердоме в Москве. Он рассказал о состоянии киберустойчивости сегодня и поделился взглядом на будущее, в котором компании объединяют усилия, чтобы быстрее и эффективнее противостоять угрозам. Делимся основными мыслями.

1. Киберустойчивость — это не попытка избежать атак, которые все равно произойдут. Это способность максимально быстро устранить возникшую угрозу и восстановить работу сервисов. «Мы не можем полностью заблокировать работу сервисов или ограничить текущий процесс, бизнес должен работать всегда. Поэтому наша задача — встроить такие механизмы безопасности, которые позволяют обнаруживать и устранять угрозы без вреда для бизнеса», — сказал Антон.

2. В ОТП Банке процессы выстроены так, чтобы разработчики и devops-команды могли самостоятельно замечать и исправлять уязвимости. Это снижает нагрузку на профильных специалистов и ускоряет работу. При этом важной частью системы становится оперативный мониторинг: контроль нужен не только внутри инфраструктуры, но и на внешних сервисах, в том числе в клиентских зонах.

3. Сейчас ключевым элементом киберустойчивости становится регулярное тестирование негативных сценариев: «Важно понимать, из чего состоят процессы, какие системы за ними стоят и в какой последовательности нужно их восстанавливать. Это позволяет командам уверенно действовать даже в непривычных ситуациях».

4. Технологический горизонт: квантовые вычисления в ближайшие годы могут поставить под угрозу привычные методы шифрования. Подготовка к переходу на криптографию нового поколения — вызов, который весь рынок еще только начинает осознавать.

5. Завершая выступление, Антон сформулировал идею, которую назвал своей профессиональной мечтой: создание добровольной системы коллективной кибербезопасности. По его словам, компании могли бы передавать друг другу не формальные отчеты, а реальный опыт — как победили конкретную угрозу, какие методы сработали, какие нет. Такой обмен, считает он, сделал бы рынок заметно устойчивее.

«Каждая компания проходит один и тот же путь: сталкивается с похожими угрозами, решает похожие задачи. Если бы мы начали добровольно делиться экспертизой, мы бы все стали защищеннее и быстрее реагировали на новые вызовы», — отметил Антон Замараев.

В Telegram заработала система входа в аккаунт через Passkey, но только для российских номеров телефона. Ключевое преимущество Passkeys — возможность войти в аккаунт в одно касание, не вводя номер телефона и одноразовый код.

Как создать ключ:

• Убедитесь, что у вас последняя версия мессенджера (Android — 12.2.10; iOS — 12.2.3).

• Как и вход по почте, новую функцию нужно предварительно настроить. Для этого откройте Настройки › Конфиденциальность › Ключи доступа.

• Если пункт «Ключи доступа» отсутствует, то эта опция недоступна для вашего аккаунта. На текущий момент Passkeys доступны только для аккаунтов, к которым привязан российский номер.

• Нажмите «Добавить ключ доступа» и подтвердите его создание.

• Устройство может запросить код экрана блокировки или биометрию, чтобы разблокировать хранилище ключей.

• Созданный ключ появится в списке.

Как войти с помощью ключа:

• На актуальной версии Telegram для Android или iOS приложение автоматически предложит выбрать ключ доступа для входа.

• Если это не происходит, через несколько секунд под заголовком «Номер телефона» появится ссылка «используйте ключ доступа», на которую следует нажать.

• Нажатие на кнопку запустит ваш менеджер паролей, который предложит выбрать ключ, проверит вашу личность по лицу, отпечатку пальца либо PIN-коду экрана блокировки, а затем передаст выбранный ключ мессенджеру.

• Ключ доступа выполняет функции как номера телефона, так и одноразового кода подтверждения одновременно.

• Если вы включили двухфакторную авторизацию для аккаунта, вам потребуется ввести свой облачный пароль, который вы задали самостоятельно.