Информационная безопасность *

Неумолимое и скачкообразное развитие новомодных LLM не оставляет вообще никаких сомнений (лично у меня), что в ближайшее время можно будет засвидетельствовать у малого и среднего бизнеса свою собственную модельку, работающую с БД клиентов, оперирующую внутренней документацией и нарезающую задачи сотрудникам. И вместе с этим у меня возник логичный вопрос: а насколько такое техническое решение будет устойчиво к атакам школьных‑хулиганов/серьезных злоумышленников? Можно ли будет доверить бездушной, но очень смекалистой машине по‑настоящему чувствительные данные в ближайшее время или все‑таки стоит подождать?

Эта статья — моя вольная фантазия на тему «а что если?..» и, по большому счету — скромный обзор чудесных инструментов, о которых я еще даже год назад не мечтал.

Привет Хабр! Меня зовут Артур Валиев, и я разработчик небольшого мобильного приложения с названием «Echo Layer».

Меня давно не отпускала одна мысль: почти все разговоры о приватной переписке в какой‑то момент упираются не в шифрование, не в криптографию, не в архитектуру, а в банальную человеческую инерцию. Можно сколько угодно строить красивую систему, можно делать open source, end‑to‑end encryption, писать про zero knowledge и отсутствие серверных логов, но потом ты возвращаешься в реальную жизнь и видишь, что люди всё равно сидят там, где им удобно. В Telegram, в WhatsApp, в VK, сейчас уже и MAX, в корпоративных чатах, в почте, в комментариях, где угодно. И если для приватности нужно сначала всех пересадить в новое приложение, то задача почти обречена.

Именно в этот момент у меня и сместился фокус. Я перестал думать о мессенджере как о конечном продукте. Мне стало интереснее другое: а можно ли не строить новый канал связи, а встроить приватный слой поверх уже существующих каналов? Не просить человека менять привычки, не ломать его сценарий общения, не заставлять его уговаривать собеседника «перейти вот сюда», а аккуратно встать между пользователем и текстом. Потому что, если честно, в большинстве случаев мессенджер — это просто оболочка. Внутри всё равно есть текст, который пользователь написал, и текст, который приложение потом отправило. Значит, если контролировать текст до отправки, можно контролировать довольно много.

Так Echo Layer и появился. Не как «новый безопасный чат», а как попытка превратить сам ввод текста в место, где может жить приватность.

Исследователи «Лаборатории Касперского» изучили тактику распространения вредоносных программ через официальный магазин приложений App Store для устройств Apple. В марте этого года в китайском App Store были обнаружены более двух десятков приложений, мимикрирующих под популярные программы для работы с криптовалютой. Для обхода проверок при публикации приложения в них заложена какая-то рудиментарная функциональность, обычно даже не имеющая никакого отношения к криптовалютам. Но главной задачей такой программы после установки является открытие браузера и направление пользователя на страницу, с которой будет установлена уже настоящая вредоносная программа методом добавления Enterprise-профиля на устройство.

Злоумышленники воспользовались особенностями App Store в Китае, из-за которых некоторые официальные приложения для работы с криптовалютой там недоступны. Всего было найдено 26 программ, маскирующиеся под популярные криптокошельки, в частности под MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. В ряде случаев название приложения было случайным, но в описании утверждалось, что из-за ограничений в Китае в нем «спрятано» официальное ПО для работы с каким-либо сервисом.

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети.

Ключевые моменты

- C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf.

- Используют вредоносный клиент TrueConf.

- Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте.

- В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp.

На контроллере домена система EDR фиксирует подозрительную активность. Кажется, ничего такого. Обычный алерт, один из нескольких тысяч, которые ежедневно обрабатывает SOC. Однако уже через 15 минут этот инцидент приведёт к полному хаосу в ИБ‑отделе и заморозит деятельность всей компании. 

Меня зовут Сергей Нестерук, я отвечаю за безопасность применения искусственного интеллекта в Yandex Cloud. В этой статье расскажу, как не допустить ситуации, которую я только что описал.

Интеграция SD-WAN и NGFW (Next-Generation Firewall) давно стала нормой у западных вендоров, но в России сетевая и ИБ-команды по-прежнему часто живут в разных консолях. Посмотрим, во сколько обходится этот разрыв, что даёт их объединение - и как мы реализовали SD-WAN с SLA-маршрутизацией в Ideco NGFW 22 Novum.

Две команды, одна сеть, ноль координации

В типичной российской компании с филиальной сетью за маршрутизацию и каналы связи отвечает сетевая команда, а за межсетевой экран, IPS и политики доступа - команда ИБ. Инструменты разные, консоли разные, приоритеты разные.

На бумаге это выглядит как разумное разделение ответственности. На практике - как разрыв, который стоит больших денег на решения и времени на администрирование.

В этом интервью мы поговорили с Chief AI Architect Андреем Носовым о феномене OpenClaw, который набрал популярность на GitHub быстрее, чем Linux. Мы честно обсудили, как обуздать недетерминированный хаос с помощью Kafka и Pydantic-схем, зачем нужен трейсинг естественного языка, в каких случаях подход Human-in-the-Loop спасает жизни. Видео интервью можно посмотреть по ссылке, а задать вопросы спикеру и обсудить - в телеграм-канале Ai4Dev в котором уже 5 000 разработчиков.

«— А трактор случайно не в залоге?» — с такого вопроса обычно и начинался рабочий день сотрудников департамента залогового обеспечения в нашем банке. За ним стоит однотипная рутина, на которую раньше уходила большая часть времени: открыть Реестр уведомлений о залоге движимого имущества, ввести данные клиента, подождать результат, проанализировать, принять решение — и так по каждому.

Проверка одного заемщика занимает не больше пяти минут, но, когда за час приходит сотня заявок, ручной режим превращается в узкое горлышко.

Так в 2024 году перед нами встала задача: автоматизировать выгрузку данных о залогах движимого имущества из реестра, оператором которого является Федеральная нотариальная палата. Я выступала системным аналитиком от системы, отвечающей за взаимодействие банка с внешними сервисами, — оказалась в самом интересном месте: между банком и внешним миром.

В этой статье расскажу, как мы подружили банк с ФЦИИТ, с какими трудностями столкнулись и что из этого вышло.

Материал будет полезен системным и бизнес-аналитикам, которые только начинают проектировать интеграции с внешними системами.

Design by Contract Мейера не взлетел в 1986 из-за двойной работы. AI-агент убирает вторую половину. Я построил PKI-систему с аппаратным TRNG, формальными контрактами на криптографию и открытым репозиторием, чтобы это доказать.

Можно ли смотреть на подпись Schnorr и MuSig2 не как на «чёрный ящик», а как на математическую систему наблюдаемых структур? В статье разбирается строгий BIP340 membership bridge, affine-представление скрытых нонсов, compression/connectivity-метрики и protocol-valid affine-линеаризация MuSig2 partial signatures. Без сенсаций и без заявлений о «магическом взломе» — только формальная модель, подтверждённые артефакты и аккуратный разбор того, что действительно доказано на практике.

Контента по информационной безопасности стало много. Проблема в том, что количество давно перестало означать качество. Большинство материалов твердит, что «угрозы растут» и «защита необходима», но почти не отвечает на главный вопрос - как именно работает атака. Получается странная ситуация. Информации много, понимания мало.

Идея SEBERD IT Base появилась как попытка это исправить. Не через очередную подборку новостей или пересказ документации, а через разбор механики. Того, что происходит внутри атаки на уровне действий, протоколов и логики.

Про главные страницы и почему я не стал делать обычную

Честно говоря, я никогда не читаю главные страницы сайтов. Совсем. Мне нужна конкретная информация. Я открываю поиск, иду по прямой ссылке или через навигацию. Главная страница большинства проектов - маркетинговый буклет для тех, кто ещё не решил, нужен ли ему этот сайт вообще. Красивый заголовок, три иконки с преимуществами, кнопка «Начать» и раздел «Нам доверяют».

Я решил не делать такой главной. Вместо неё стоит живая лента угроз. Это агрегатор, который тянет актуальные данные через RSS и API с десятка источников. Он работает с лентами в форматах RSS/Atom и структурированными ответами сервисов, а не парсит чужой HTML вручную.

Источники:

Пока все обсуждают очередные сливы баз и особенности модерации в популярных «безопасных» мессенджерах, решил попробовать пойти другим путем. В этой статье рассказываю, как я скрестил Flutter и Go через CGO, прикрутил libp2p для создания P2P-сети и реализовал честное E2EE шифрование (Double Ratchet для личек и MLS для групп). Никакой централизации, никаких единых точек отказа. Делюсь результатами эксперимента.

Ещё один агент сегодня.

Это по всему реддиту, в каждой телеграмме. "Я собрал за выходные". "Он нашёл 0-day". "Он пишет код лучше". Скрины, демки, восторг, паника.

Когда в конце 80-х мы гоняли ASCII-человечков по бескрайним полям зелёных терминалов, на асме и фокале, никто не думал, что из этого получится индустрия на триллионы. Мы просто хотели, чтобы машина слушалась нас, а не наоборот.

Сейчас она слушается сама себя. И не мы устанавливаем правила. Правила устанавливают нас.

Давайте разберёмcя.

GEOINT (Geospatial Intelligence — геопространственная разведка) — это сбор, анализ и интерпретация изображений, карт и геоданных (GPS, метаданные) для описания и оценки физических особенностей и событий на Земле.

Это направление OSINT, соединяющее спутниковые снимки, карты и геотеги из соцсетей для точного установления времени и места.

Давно хотел поднять свой C2-сервер. Ну, чтобы как большие мальчики с доменом, прокси, шифрованным туннелем. Но покупать VPS с 8GB RAM и платить за Cobalt Strike как‑то жирновато. Решил: будет малинка.

ВНИМАНИЕ: Эта статья предназначена для ознакомления начинающим исследователям в области Кибербезопасности. Я не предоставляю инструкций по атакам на инфраструктуру. Я не буду тут показывать как обходить защиту windows и какие либо системы обнаружения угроз. Перед загрузкой вредоносного файла я отключил защиту в windows. Такая атака не сработает в боевых условиях это лишь материал для начального ознакомления!

Обратил внимание на радужку глаза человека как на неповторимую биометрическую характеристику сродни отпечатку пальца Фрэнсис Гальтон. В 1888 году в своей статье в журнале «Nature» «Personal identification and description («Идентификация личности и ее характеристики») он писал, что тело человека можно порезать на микротоме на 800 миллионов слоев толщиной в одну десятитысячную дюйма, и на каждом их них мы под микроскопом увидим неповторимую картинку. В случае же бороздок на коже подушечки пальца и в радужке глаза никого резать не надо, природа предоставляет нам уникальные узоры уже в готовом виде. При этом, добавляет он, «отметины на радужной оболочке глаза никогда не были должным образом изучены, разве что производителями глазных протезов, которые распознают тысячи их разновидностей. Эти отметины вполне заслуживают того, чтобы их сфотографировали с натуры в увеличенном масштабе».

Их фотографировали много раз и довольно быстро убедились, что узор радужки каждого человека действительно не менее уникален, чем отпечатки пальцев. В 1935 году криминолог Карлтон Саймон и главный врач отделения офтальмологии нью-йоркской больницы Маунт-Синай Исидор Гольдштейн опубликовали в «New York medical journal» статью под заголовком «Новый научный метод идентификации», где как раз утверждалось, что рисунок радужки глаза уникален и потому подходит для идентификации человека. В том же году они доложили об этом на ежегодном съезде полицейских начальников в Нью-Йорке. Разумеется, утверждать это Саймон и Гольштейн могли лишь с определенной степенью вероятности, больница Маунт-Синай хоть была самой большой в городе, но выборка проверенных на сходство радужки ее пациентов удовлетворяла только 95% порогу вероятности. Спустя ровно 20 лет другой окулист доктор Пол Тауэр показал, что рисунки радужки отличаются, причем сильно, у шести исследованных им пар гомозиготных (однояйцовых) близнецов, что произвело гораздо большее впечатление на криминалистов, чем доклад Гольдштейна и Саймона.

Государство усиливает заботу о гражданах: крупные сервисы и государственные приложения на Android всё активнее выявляют использование Перехватчиков трафика. Разбираемся, какими методами ведётся это наблюдение — и что Ненадёжные элементы противопоставляют Праведному взору Государства.

Одной из самых актуальных уязвимостей в Windows Server Update Services (WSUS) стала критическая ошибка с идентификатором CVE-2025-59287 и оценкой CVSS 9.8. Она связана с десериализацией недоверенных данных в службе обновления Windows Server и позволяет неавторизованному удаленному злоумышленнику выполнить код на сервере, отправив специально сформированное событие.

В разборах эксплуатации шаги были указаны некорректно, так как их взяли из статьи. Однако позже авторы сами ее исправили и указали, что разбор относится к CVE-2023-35317, тогда как анализ CVE-2025-59287 перенесли в отдельную статью.

Это вызвало путаницу в многочисленных репостах, поэтому мы решили расставить все точки над i и заодно показать, как атакующий может восстановить оснастку после эксплуатации уязвимости.

VPN в России формально не запрещён.
Но если вы попробуете сегодня поднять свой VPN на российском VPS — есть шанс, что завтра вам просто отключат сервер.

Без суда. Без объяснений. Просто потому что «так надо».

В пакет «Антифрод 2.0» тихо добавили правки, которые превращают хостинг-провайдеров из нейтральных посредников в контролёров. Теперь они должны проверять клиентов, сверяться с базами Роскомнадзора и, если что — разрывать договор.

Как хостер должен понять, что у вас внутри VPS — корпоративный VPN или «неправильный» туннель?
Как отличить разработчика, который подключается к серверу, от человека, который просто смотрит YouTube?
И главное — кто будет платить за весь этот контроль?

Параллельно происходит ещё кое-что:
- операторы замораживают расширение каналов в Европу
- крупные сервисы уже режут пользователей с VPN
- из App Store исчезают десятки "неугодных" VPN-сервисов
- бизнесу рассылают методички «как искать VPN»

Всё это начинает складываться в систему.
Не запретить напрямую — а сделать использование максимально неудобным, дорогим и рискованным.

Гайки закручиваются. И в этот раз — не только для «обходчиков блокировок».

Продолжаю серию об ИБ-гигиене для среднего бизнеса. В предыдущем посте я писал, что управление уязвимостями — одна из базовых вещей, которую многие откладывают из-за стоимости инструментов. На этот раз расскажу про конкретный инструмент, который закрывает сразу несколько задач и стоит ровно ноль рублей.

Речь про Sber X-Threat Intelligence (X-TI) — платформу, которую Сбер открыл в ноябре 2024 года для всех российских компаний. Я лично записался на демо, пообщался с командой Центра киберзащиты и теперь честно разбираю, что там внутри, чем платформа отличается от аналогов и когда её реально стоит использовать.

Никакой рекламы. Только разбор.

Откуда взялась платформа и почему это не маркетинг

Сбер восемь лет строил внутреннюю Threat Intelligence Platform — для защиты собственной инфраструктуры. Команда накопила базу данных, аналитику, сервисы мониторинга. После 2022 года руководство решило открыть часть этих данных для российского бизнеса бесплатно.

Причина не только альтруистическая. Есть ещё одна: Сбер как юридическое лицо по закону не может продавать ничего, кроме финансовых продуктов, поэтому X-TI коммерциализировать просто невозможно. Так что платформа останется бесплатной не из-за благородства, а потому что для неё нет другого пути.

По состоянию на апрель 2026 года к платформе подключено более 600 компаний — от небольших ИТ-фирм до крупных банков и госструктур.