Информационная безопасность

Обучающий вебинар по DLP-системе

Приглашаем на первый вебинар из летней практической серии Академии InfoWatch — «Интенсив по анализу событий в DLP-системе: методика и практика». Он пройдет 8 июля с 11:00 до 12:00.

Научим работать с DLP-системой на практике. Покажем, как находить важное даже там, где на первый взгляд все в порядке и в так называемой «серой зоне», где может скрываться нерегламентированная передача информации.

Разберем пошаговую методику анализа событий в зависимости от задачи и отработаем на практике последовательность действий.

Регистрация.

Представлен обновлённый проект Awesome Black Hat Tools, где собраны все инструменты, которые когда-либо были представлены на ИБ-конференциях Black Hat. Инструменты аккуратно структурированы по странам, где проходила конференция, по годам и категориям Red Teaming, Blue Teaming, OSINT & Recon, Exploit Development, Malware Analysis, DFIR & Forensics, Threat Intelligence, ICS/IoT/SCADA и Application Security (AppSec).

Также все презентации с выступлений Black Hat, начиная с 2023 года, собраны на отдельной странице GitHub.

Структурная адаптация к внешним ограничениям, на мой взгляд, в общих чертах завершилась. Сейчас пришло время новых структурных сдвигов, прежде всего технологических, они могут быть более масштабными. Это стремительное внедрение искусственного интеллекта, всеобщая цифровизация. Второй важнейший сдвиг – это платформизация всей экономики, меняются правила взаимодействия производителей и потребителей. Еще один структурный сдвиг – это рост сектора услуг… У нас впереди очень неспокойные времена, но я уверена, что это и новые возможности для развития.

Глава ЦБ, Эльвира Набиуллина. Финансовый конгресс Банка России

ИБ-ДАЙДЖЕСТ INFOWATCH

Утечки информации в строительстве

ЭАЦ InfoWatch собрал дайджест кибератак на застройщиков в Саудовской Аравии, США, Канаде — последствия инцидентов ИБ в этой отрасли становятся все критичнее.

Руководителя обвиняют в краже данных

Производитель колбасы Hormel Foods подала иск против конкурента и 2 бывших топ-менеджеров, обвинив их в краже рецептов колбасы, методах ее производства и маркетинговой стратегии.

Рост применения ИИ в кибербезе

Консалтинговая компания Capgemini в свежем отчете собрала 5 ключевых тенденций применения ИИ в кибербезопасности в 2025 году.

Взлом гиганта ИТ в здравоохранении

Хакеры похитили у ИТ-фирмы Episource ПДн более 5,4 млн человек, включая записи о лечении.

Утечка ПДн сотрудников банка

Группировка World Leaks похитила и опубликовала данные порядка 130 тыс. сотрудников швейцарского банка UBS.

Штраф из-за ошибки системы распознавания лиц

Житель Джорджии получил компенсацию в $2000 за неправомерный арест из-за ошибки системы распознавания лиц Clearview AI.

Кибератака на металлургов

Металлургическая компания Nucor подтвердила утечку данных из-за кибератаки, но отрицает ее финансовые последствия для бизнеса.

Кто спасёт ИИ?

Исследование hh.ru и Swordfish Security покзало, что в первом полугодии количество специалистов по безопасности ИИ выросло в 4 раза, а их медианная зарплата выросла 1,5 раза.

К сожалению, прямой запрос на Headhunter не показывает вакансий с таким названием, но результаты комплиментарны исследованию МТС RED годовой давности: всё чаще в вакансиях ИБ-специалистов компании требуют навыки работы с ИИ.

Можно выделить две основные проблемы в ИИ. Во-первых, галлюцинации — неспровоцированные неправильные ответы могут привести, например, к фейковым библиотекам в документации. Хакеры могут воспользоваться этой особенностью ИИ: если они подменят реальную библиотеку на свою, то при её использовании программа пользователя выполнит инструкции злоумышленника. Соответственно, специалисты по информационной безопасности должны следить за «зависимостями» — кодом, который имплементируется в продукт со стороны.

Во-вторых, при попытке сгенерировать тексты, картинки или видео вы можете передавать большой языковой модели чувствительные данные, но были случаи, когда она в дальнейшем использовала их и могла выдать другим пользователям.

Вышеприведённые два случая — только небольшая часть угроз, которые надо учитывать ИБ-специалисту. Поэтому нанимать профессионала, который будет сосредоточен только на безопасности ИИ, неэффективно — это всё равно что охранять только вход на большом участке, огороженном забором. Но вполне логично, что компании теперь уделяют внимание тому, чтобы специалисты обладали навыками обеспечения информационной безопасности ИИ.

Распространение ИИ приводит к спросу на специалистов, которые могут с ним работать. Данное исследование подтверждает, что бизнесу нужны специалисты, которые обладают навыками обеспечения их информационной безопасности. Вот и перспективное направление для карьерной траектории.

InfoWatch на конференции «Росатом информационная безопасность 2025» в Казани

Выступаем генеральным партнером конференции в Иннополисе 24-27 июня. Приглашаем послушать наших докладчиков на стенде 26 июня:

• 11:20 — Безопасность АСУ ТП без остановки производства.

• 13:20 — Утечка данных: штрафы и методы снижения рисков.

Когда мониторинг SOC (Security Operations Center) тонет в потоке алертов, аналитики тратят часы на обработку фолзов, а до реальных инцидентов не доходят руки, на помощь приходит ИИ!

AI‑агенты и RAG‑системы обнаруживают угрозы быстрее. Или не всегда?

Виртуальные аналитики точнее людей. Или все‑таки они тоже ошибаются?

SOC можно построить на ИИ. Или без человека в мониторинге не обойтись?

Эту сложную и спорную тему обсудят ведущие ИБ-эксперты на вебинаре «Гибридный SOC 2025: как AI, автоматизация и люди вместе побеждают киберугрозы» 26 июня в 11:00 по МСК. Спикеры также поделятся примерами из собственной практики внедрения ИИ в SOС и обсудят, как защитить от кибератак сами умные системы. Модератор — Лев Палей, директор по информационной безопасности компании Вебмониторэкс.

Кому будет интересен вебинар:

• Руководителям SOC и CISO

• Аналитикам кибербезопасности

• Архитекторам ИБ-систем

• Разработчикам ML

Узнайте подробности программы и зарегистрируйтесь на вебинар по ссылке.

Подключайтесь! Будет интересно!

Настройка КриптоПро HSM Client на Suse/RedHat/ROSA Linux

Подготовили пошаговую подробнейшую инструкцию со скриншотами для разработчиков информационных систем со встроенными СКЗИ по настройке КриптоПро HSM Client на Suse, RedHat и ROSA Linux (включая ошибки, которые позволяет обойти данное руководство) для того, чтобы использовать HSM как самостоятельный криптографический провайдер с выполнением всей математики на борту или в качестве надежного хранилища ключевого материала.

Заходите, читайте, сохраняйте в закладках.

ИБ-ДАЙДЖЕСТ INFOWATCH

Microsoft незаконно собирала биометрию в школах

В конце прошлого года корпорация в Новом Южном Уэльсе, штате Австралии, без уведомления Департамента образования начала сбор биометрических ПДн школьников, использующих Teams.

В Сеть утекли 16 млрд паролей

Исследователи из Cybernews обнаружили порядка 30 скомпрометированных баз данных из разных интернет-сервисов — набор из 455 млн записей, вероятно, относится к Российской Федерации, а набор из 60 млн записей может происходить из Telegram.

Утечка данных из проката автомобилей

Zoomcar Holdings в Бангалоре 13 июня подтвердила утечку ПДн около 8,4 млн клиентов — взлом не повлиял на бизнес-процессы, но пользователи могут стать жертвами фишинга.

Tesla судится с бывшим сотрудником

Компания подала иск к компании Proception и ее соучредителю Чжунцзе “Джея” Ли о краже конфиденциальных данных по созданию человекоподобных роботов Optimus.

Утекли ПДн всего населения Парагвая

Исследователи из Resecurity обнаружили в дарквебе базу данных с 7,4 млн записей конфиденциальной информации граждан Парагвая — хакер требует за нее выкуп в размере $7,4 млн.

23andMe оштрафовали за утечку

Компанию обязали выплатить 2,31 млн фунтов стерлингов за утечку ПДн около 6,9 млн пользователей, произошедшую в 2023 г.

Хакеры взломали Scania 

Злоумышленник “hensi” продавал на одном из форумов данные, украденные с сайта компании, а затем хакеры пытались получить за них выкуп у сотрудников Scania.

Настраиваем безопасный доступ пользователей к корпоративным приложениям с Yandex Identity Hub

Команда Yandex B2B Tech запустила сервис безопасности Yandex Identity Hub. С его помощью можно настроить доступ к своим веб‑приложениям с использованием технологии SSO и поддержкой многофакторной аутентификации. Решение работает по модели SaaS и может использоваться в организациях с разными типами инфраструктур: on‑premises, облачной и гибридной.

Специалисты Security Operation Center в Yandex Cloud проанализировали атаки за первое полугодие 2025 года и обнаружили, что 38% инцидентов начинаются с компрометации учетных записей.

По мнению экспертов, атаки на гибридные инфраструктуры становятся успешными из‑за слабого управления пользовательскими паролями, учетными записями и доступом к корпоративным сервисам. При этом делегирование аутентификации пользователей облачному провайдеру позволит компаниям снизить расходы на эксплуатацию.

Сервис Yandex Identity Hub был представлен 19 июня на Cloud Security Day — ежегодной конференции о безопасности в облаке. На мероприятии также анонсировали обновление сервиса для защиты от DDoS‑атак Yandex Smart Web Security: теперь он подключается перед инфраструктурой заказчика в качестве Reverse Proxy.

Посмотреть трансляцию конференции в записи можно на сайте Cloud Security Day.

Alfa AppSec Meetup #1

Приглашаем на первый митап команды AppSec Альфа-Банка! На реальных кейсах расскажем:

• чем живёт команда AppSec в банке,

• как внедряем AppSec-практики,

• разберём сервисную модель SSDLC на базе ASOC,

• обсудим, как развиваем MLSecOps, почему AppSec уделяет всё больше внимания безопасности ML,

• поделимся, как выстроили процессы в Offensive AppSec и как они помогают нам находить уязвимости до того, как это сделают другие.

Если вам интересно, как устроена безопасность приложений изнутри — в реальных проектах, в большом банке, — приходите. Будет полезно, местами остро, и точно не скучно.

Присоединяйтесь онлайн и офлайн — зарегистрироваться можно по ссылке.

Где: Москва, ул. Шарикоподшипниковской, д. 4, к. 4A., Exit Loft.

Встретимся через полчаса на вебинаре о лучших практиках сетевой безопасности

В 12:00 (мск) подключайтесь к трансляции вебинара «Сетевая безопасность: группы безопасности vs облачный файрвол» ➡️

Программа

• Обзор решений и сервисов для организации сетевой безопасности в Selectel;

• Обзор групп безопасности; 

• Обзор облачного файрвола;

• Группы безопасности vs облачный файрвол: варианты использования и комбинированные стратегии; 

• Практические кейсы настройки сетевой безопасности для разных задач;

• В конце мероприятия ответим на вопросы — задавайте их при регистрации и во время трансляции.

Задавайте вопросы во время трансляции — ответим на них в конце вебинара. За самые интересные подарим плюшевого Тирекса 🦖

Смотреть трансляцию:

📱 на YouTube

📱 в VK

DeepL заблокировали в России — это тотальный бан онлайн-переводчика от самой компании. Недоступен сайт, приложение и даже API. Вместо сайта теперь открывается лаконичная заглушка «Unavailable in your region». Никаких официальных комментариев нет. Базируется DeepL в Германии.

В первых числах июня я заметил новинку в интерфейсе Хабра, судя по всему незамеченную большинством пользователей. Этот пост создан для того, чтобы познакомить с изменениями в дизайне Хабра.

В соответствии с частью 7 статьи 15.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» уведомляем, что на основании решения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10.03.2025 № 2024-12-26-9056-СОБ указатель (указатели) страницы (страниц) сайта в сети "Интернет" https://habr.com/ru/articles/870110/ включен(ы) в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено», номер реестровой записи 3014324-РИ в связи с тем, что данный указатель (указатели) страницы (страниц) сайта в сети "Интернет" содержит запрещенную информацию о способах, методах обеспечения доступа к информационным ресурсам и (или) информационно-телекоммуникационным сетям, доступ к которым ограничен на территории Российской Федерации.

Сходу я нашел такие страницы, возможно вы найдете еще:

1. https://habr.com/ru/articles/911640/

2. https://habr.com/ru/articles/843928/

3. https://habr.com/ru/articles/870110/

4. https://habr.com/ru/articles/866572/

5. to be continue...

MITRE не принимает видео доказательства из YouTube

В декабре 2024 я обратился в MITRE для регистрации CVE. Среди прочего приложил ссылки на YouTube с демонстрацией уязвимости. Через месяц мне пришёл ответ о создании CVE-2024-57695. Его статус - RESERVED. Более мне ничего не сообщали. Спустя 5 месяцев я решил поинтересоваться в связи с чем статус не меняется - в прошлый раз процесс регистрации публично доступного CVE занял около 2-х недель. И ответ пришёл неожиданный:

We do not currently accept youtube videos as the initial public reference.

Что мешало сообщить об этом в течение полугода - непонятно. Так что имейте ввиду, если соберётесь регистрировать CVE.

OpenRedirect в IBM Instana (NotCVE-2025-0002)

Instana - платформа для мониторинга приложений и инфраструктуры. Эту особенность я нашёл пару месяцев назад совершенно случайно. Забавно, что год назад на собеседовании я не смог ответить на вопрос: что такое OpenRedirect (описан в CWE-601) - растерялся. А сейчас вот сам нашёл. Проблема довольно тривиальна: с помощью специально сформированной ссылки можно заставить браузер жертвы выполнить произвольный GET-запрос. Жертва должна быть авторизована в Instana. Пример ссылки:

https://instana.com/auth/signIn?returlUrl=https%3A%2F%2Fsite.com%2Fchangepassword%3Fuser%3Dadmin%26newpassword%3Dtest

На рисунке ниже виден результат перехода по подобной ссылке: сервер отвечает кодом 302 и через location перенаправляет пользователя на нужный ресурс.

Изначально я пытался зарегистрировать CVE. Продукт Instana принадлежит IBM. А IBM является CNA партнёром MITRE (подробнее про CNA). Т.е. для регистрации CVE нужно обращаться не к MITRE, а к IBM напрямую. Что я и сделал. Ответ от IBM был таков:

We need to see more impact beyond phishing. If you are able to chain this issue with further exploitation (ex: token theft, xss bypass, SSRF, etc…) then please let us know. You will see that other vulnerability programs (example: google) take a similar stance on open redirects.

We recommend taking a look at the following external resources for further information on open redirect issues we would be interested in addressing:

• https://www.youtube.com/watch?v=84nYxHwbCpU

• https://blog.detectify.com/industry-insights/the-real-impact-of-an-open-redirect/

We thank you for your efforts in helping keep IBM products secure. Please reference any further communication related to this issue via your original HackeOne ticket so we can better track this finding.

Нежелание признавать уязвимость со стороны разработчиков - не такая уж и редкость. В моей практике бывало, что разработчики даже пытались оспаривать CVE. Я решил вместо дальнейших исследований по повышению импакта обратиться в NotCVE - сервис как раз для подобных случаев (делал об этом сервисе заметку). Тем более уже был опыт взаимодействия с ними. И буквально через пару дней получил ответ, что уязвимости назначен идентификатор NotCVE-2025-0002.

Проблема замечена в версии User interface v1.293.809 + Backend Tag v3.293.425-0. В этой версии проблемы нет: User interface Tag 1.267.675 + Backend Tag 3.267.347-0

Опрос компаний про страхование киберрисков

Мы продолжаем исследовать ущерб от утечек данных. Теперь хотим узнать о страховании киберррисков — прежде всего тех, что привели к утечкам.

Пожалуйста, поделитесь опытом в коротком анонимном опросе, который займет всего несколько минут.

Это поможет нам сформировать объективную картину зрелости рынка страхования киберрисков.

Результатами поделимся в новых материалах.

Задача об анализе адреса

Задание будет интересно всем, кто любит CTF-турниры или просто не боится вызовов. Особенно — новичкам или опытным специалистам по информационной безопасности.

Условие
Вы — участник CTF-турнира. Ваша задача — как можно быстрее найти флаг.
Что известно: флаг находится на нестандартном порту сервера. Чтобы его получить, необходимо проанализировать адрес 79.141.77.70.

Задача
Найдите флаг — строку в формате slcctf{}.

Предлагайте свое решение в комментариях. Подсмотреть его можно в Академии Selectel.

NotCVE-2025-0001

Прошёл месяц с момента моего обращения в MITRE про нежелание разработчиков  делать CVE из-за фикса в Docker Engine 28.0.0. От MITRE никаких новостей больше не было. Поэтому я обратился в NotCVE (об этом сервисе я делал заметку). Спустя буквально пару дней меня оповестили о создании идентификатора NotCVE-2025-0001.
Проект NotCVE пока ещё мало известен. По этой причине по запросу "NotCVE-2025-0001" пока далеко не во всех поисковиках что-то можно найти (в Гугл нашёл 1 запись, в Яндексе и DuckDuckGo - ничего). Да и идентификаторов в NotCVE пока всего лишь 6. Очень надеюсь, что проект обретёт популярность и количество идентификаторов увеличится. И в первую очередь - из-за повышения осведомлённости об этом проекте и увеличении обращений (из-за нежелания разработчиков признавать проблему и создавать CVE). В данном случае показательно, что идентификатор NotCVE-2025-0001 завели по моему обращению несмотря на то, что проблему нашёл не я. Я просто не смог пройти мимо, увидев нежелание разработчиков регистрировать CVE.

ИБ-ДАЙДЖЕСТ INFOWATCH

Утечка ПДн миллионов пациентов

Исследователи группы Cybernews обнаружили в открытом доступе на облачном сервисе MongoDB профили около 2,7 млн пациентов из США и 8,8 млн записей о приемах у врачей.

Кибератака на медиагиганта

Группировка Qilin с помощью вируса-вымогателя украла у медиакомпании Lee Enterprises ПДн почти 40 тыс. человек и 120 тыс. документов общим объемом порядка 350 ГБ.

Columbia Sportswear судится из-за кражи информации

Производитель экипировки для активного отдыха обвиняет двух бывших топ-менеджеров в краже 4700 файлов конфиденциальной информации.

The North Face призналась в утечке данных

Компания уведомила клиентов о взломе учетных записей и вероятной краже их ПДн, призвав сменить пароли и готовиться к отражению фишинговых атак.

Утечка ПДн клиентов Cartier

Люксовый бренд сообщил о хакерской атаке, в итоге которой злоумышленники похитили ПДн клиентов.

Хакеры взломали Deloitte

Злоумышленник с ником «303» заявил о взломе систем консалтинговой компании и краже данных — вероятно, речь также идет об учетные данные GitHub и исходной коде внутренних проектов.

Утекли данные о военном флоте Индии

Военного подрядчика арестовали за шпионаж — он передал агентам пакистанских спецслужб секретную информацию, включая сведения о 14 военных кораблях.