Сегодня мы с вами, уважаемые читатели, рассмотрим тему узкую и специфическую — таксофонные карты на базе Eurochip всех модификаций — проведем исторический экскурс и проследим типовой сценарий практического применения, включая этап активной аутентификации.
Попробуем взглянуть на fingerprinting не как на «фичу в продукте», а как на инструмент, который меняет саму логику первой линии защиты. Сегодня пароль и одноразовый код — это только тонкий слой краски на фасаде, тогда как настоящая опора безопасности прячется глубже — в данных об устройстве, сети и поведении пользователя.
Почему пароля уже недостаточно
Современный фрод давно научился проходить через классические KYC и логины: покупаются документы, подделываются селфи, в ход идут слитые базы логинов и паролей.
Сверху это выглядит как нормальный пользователь: валидный паспорт, корректный селфи‑матч, OTP приходит на телефон.
Но есть одна вещь, которую подделывать и «масштабировать» куда сложнее — устройство и его цифровой след.
Именно поэтому во всех современных antifraud‑стэках появился отдельный слой: device fingerprinting и device intelligence, которые смотрят не столько на личность, сколько на то, как и откуда эта личность к вам пришла.
Цифровой след: что мы вообще видим
Если упростить, браузерный/девайсный fingerprint — это слепок конфигурации: тип устройства, ОС, версия браузера, язык, разрешение экрана, включены ли cookie, какие шрифты и плагины доступны, как ведёт себя JavaScript и HTML5‑API и т.д. Из этих сотен атрибутов формируется устойчивый идентификатор устройства, который живёт дольше, чем сессия или куки, и переживает инкогнито‑режим и очистку истории.
Поверх этого добавляются сетевые признаки: IP, геолокация, соответствие часового пояса, наличие VPN или прокси, нахождение IP в блэклистах, тип соединения (мобильное, Wi‑Fi, корпоративная сеть). В итоге у antifraud‑движка появляется не просто «user_id», а полноценный профиль устройства и среды, в которой оно к вам приходит.
Без призыва к действию
https://t.me/fraud_ops
Всем привет! Разбираем ключевые CVE ушедшего месяца в нашей традиционной подборке. Февраль отметился RCE в продуктах BeyondTrust — 9.9 по CVSS с активно идущей эксплуатацией.
Фичевый блоут привёл к RCE в блокноте Windows: вектором атаки через произвольные команды стала добавленная поддержка Markdown, и это вызвало шквал критики в адрес Microsoft. Помимо этого, в Google Chrome исправили первый 0-day 2026-го c идущим эксплойтом, а символические ссылки на этот раз подвели Apple: во множестве её продуктов состояние гонки при их обработке. В Content API Ghost закрыли внедрение SQL, в Gogs — обход двухфакторки, а в продуктах от Microsoft — полдюжины эксплуатируемых нулевых дней. Об этом и других интересных уязвимостях февраля читайте под катом!
«Поднятие» унаследованного Postgres без специнструментов быстро превращается в головную боль: вас ждет ручной разбор схем, перелопачивание десятков таблиц и прочая невеселая археология - где лежат персональные данные, что за колонки, как это всё соотносится с 152-ФЗ… Один не��ерный шаг – и можно запросто упустить что-то важное. Встроенного защитного преобразования данных на диске нет, приходится либо городить огород на уровне приложений, либо создавать триггеры. Хранить ключи, тестировать производительность, поддерживать это всё, руками выставлять фильтры, думать, куда писать логи, как следить за аномалиями и так далее. Всё, что связано с безопасностью – проверять вручную. Любое изменение схемы — снова садись и аудируй заново. Времени уходить будет очень много, и неизвестно, какие грабли вылезут.
В СУБД Tantor Certified то, что обычно делается на коленке, превращается в понятный и безопасный процесс, который подробно описывается в статье.
18 февраля 2026 года сотрудник НКО получил таргетированное фишинговое письмо якобы от National Endowment for Democracy — американского фонда поддержки демократии. Обращение по полному имени, ссылка на «предыдущую заявку на грант» (которой никогда не было), и упоминание документа, которого физически нет в письме — классическая техника «фантомного вложения», при которой первое письмо устанавливает доверие, а вредоносный файл приходит уже в ответ на реакцию жертвы.
В этой статье — разбор атаки по заголовкам, инфраструктуре и социальной инженерии. Материал будет полезен аналитикам SOC и сотрудникам НКО: в конце — IOC, kill chain и рекомендации для администраторов почты.
По традиции делимся подборкой ярких ИБ-инцидентов. В последний месяц зимы в профильных сообществах обсуждали: штрафы за утечки, масштабную кражу криптоактивов, облака, которые забыли защитить, мошенничество с пособиями и новую прайм-эру фишинга.
Пользователи профильного NTC‑форума (открывается только через IPv6), посвященного исследованиям интернет‑цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX. Речь про официальный APK с официального сайта.
Схема была довольно прямолинейной: в одном случае использовали PCAPdroid — приложение, которое на Android‑устройстве имитирует VPN для перехвата сетевого трафика без необходимости получения root‑прав, таким образом позволяя отслеживать, анализировать и блокировать сетевые соединения, осуществляемые приложениями на устройстве. В другом случае анализировался трафик из эмулятора, причем отдельно отмечено, что образ системы в эмуляторе был «чистый», без установленных других мессенджеров и дополнительного софта.
По наблюдениям (дампы PCAPdroid выложены на форуме), мессенджер MAX регулярно дергает сразу несколько сервисов для определения внешнего IP‑адреса, причём часть из них — зарубежные. Среди доменов, которые всплыли при проверке, кроме российских сервисов, видны также иностранные сервисы.
В 2024 году мы рассказывали, как поднять свой сервер внутри РФ, чтобы получить доступ к российским сайтам из-за рубежа. Проблема остаётся актуальной и в 2026 году. Всё больше сервисов применяют географические ограничения доступа, из-за чего пользователи за рубежом не могут на них попасть. При этом многие граждане РФ живут и работают за пределами страны, но продолжают пользоваться российскими онлайн-сервисами.
В большинстве средних компаний существует служба экономической или собственной безопасности: определены зоны ответственности, выстроены регламенты, выделены средства и силы для контроля. На практике часто отсутствует базовый элемент в виде безопасного и понятного канала обращения к этим подразделениям. Данное упущение является системной уязвимостью, способной нанести ущерб бизнесу. Эта проблема стала очевидной для меня в ходе работы с корпоративным сегментом.
Когда компания работает с чувствительными данными — персональными, финансовыми, технологическими — рано или поздно возникает вопрос: как безопасно соединить филиалы, облако, удаленных сотрудников и внешних партнеров.
Обычного VPN в ряде случаев оказывается недостаточно. Особенно если требования к защите информации формализованы — внутренними регламентами, отраслевыми стандартами или законодательством.
В таких сценариях используется ГОСТ VPN — защищенная сеть, построенная на криптографических стандартах и сертифицированных средствах защиты информации. Это архитектура, в которой важны настройка туннеля, управление ключами, политики безопасности, аудит и соответствие установленным требованиям. В общем, не все так просто.
Привет, Хабр! Меня зовут Антон, я инженер по защите информации в Selectel. Под катом разберем: как устроен ГОСТ VPN, какие архитектурные модели и алгоритмы применяются и как работает сервисная модель на базе ViPNet.
Привет, Хабр! Меня зовут Никита Чубаров. По трудовому договору я инженер-эксперт по разработке и сопровождению сервисов, а по факту DevOps-инженер с фокусом на доставку в платформенных командах, которые поставляют общие решения для десятка дочерних команд. Со временем эта доставка перестала быть прозрачной и предсказуемой, и всё больше напоминала космолёт, в котором пилот перед каждым запуском вручную подключает провода, проверяет давление в контурах и по списку нажимает десятки кнопок. Пока запусков мало, это ещё можно представить, но когда их становится сотни, а кораблей — десятки, такая схема быстро превращается в источник ошибок и выгорания.
Примерно в таком состоянии у нас находился Bootstrap Namespaces. В статье я расскажу, как мы прошли путь от сложной CI-оркестрации к декларативному управлению Bootstrap Namespaces через Argo CD и GitOps, какие проблемы это позволило убрать и какие новые ограничения пришлось принять.
История о том, как я создал свою соцсеть. И у меня даже получилось что-то. Видеохостинг, мессенджер, короткие ролики, стена и многое другое
Привет, Хабр! Меня зовут Максим Князев, старший системный инженер К2 Кибербезопасность. Сегодня я хочу поговорить об атаках на цепочки поставок на примере того, что все хорошо понимают и любят.
Просто представьте, как вы заказываете эспрессо в проверенной кофейне. Зерна от известного обжарщика, бариста с опытом, кофемашина за миллион. И казалось бы, все идеально. Но потом выясняется, что кто-то подсыпал в зерна что-то лишнее еще на плантации. Вы не виноваты, кофейня не виновата, но пить это вы уже не хотите.
В разработке происходит ровно то же самое, только в роли зерен здесь выступают npm-пакеты. Плантация превращается в GitHub, а подозрительные примеси представляют собой вредоносный код в легитимном релизе. И вы узнаете о проблемах не по вкусу, а по инциденту в проде.
Давайте продолжим это сравнение и разберемся, как не испортить компоненты, из которых складывается современная кибербезопасность.
В этой статье мы продолжаем разбирать возможности веб‑сервера Angie по борьбе с DoS (и немного DDoS) атаками. В предыдущей части мы разобрали стандартные средства, а в этой обсудим возможности сторонних модулей и системы Fail2Ban.
Привет! Меня зовут Алексей Петрашин, я ведущий специалист отдела внешнего обучения и сертификации, а еще курирую работу Учебного центра CTSG.
В статье поделюсь опытом проведения экзамена в формате игры «Подземелья и Драконы». Расскажу, как повысить вовлеченность студентов для решения сложных и трудоемких задач, опишу проведение такого экзамена на практике и техническую реализацию игрового подземелья.
Совсем недавно мы писали о приписываемой северокорейской группировке атаке, целью которой были разработчики ПО, находящиеся в процессе поиска работы. На прошлой неделе исследователи компании Microsoft опубликовали отчет о еще одной похожей атаке. В более раннем исследовании основное внимание было уделено социальной инженерии, в то время как Microsoft подробно рассказывает о технической стороне атаки.
Общая схема атаки показана на скриншоте выше. В процессе интервью разработчику присылают ссылку на код веб-приложения, написанного с использованием фреймворка Next.js. Код хранился на сервисе Bitbucket. Организаторы атаки предусмотрели несколько вариантов выполнения вредоносного кода, содержащегося в проекте. Например, может использоваться автоматизация для Visual Studio Code, которая дает команду на выполнение сразу после того, как разработчик открыл проект и обозначил его как доверенный.
2 марта 2026 года я получил на анализ фишинговое письмо. Отправитель - «M e t a», тема - «[Требуется действие] Завершите проверку, чтобы восстановить показ объявлений». SPF pass, DKIM pass, ARC pass - письмо прошло все проверки и лежало во входящих Gmail. Ключ - цепочка Resend.com → Amazon SES → Gmail, где каждый элемент легитимен. Разбираю, как атакующие этого добились и почему это работает.
У нас в «Лаборатории Касперского» есть команда анализа защищенности, занимающаяся поиском уязвимостей в самых разнообразных системах. В ней работают эксперты, способные исследовать практически любое устройство (и публикующие технические заметки о своих находках). Но в жизни практически каждого исследователя безопасности прошивок однажды наступает момент, когда он или она сталкивается с новым или не особо известным микроконтроллером или свежей процессорной архитектурой с кастомными расширениями. В последнее время такие моменты наступают все чаще — за прошедшие несколько лет рынок наполнился огромным количеством новых чипов из Поднебесной, в частности, на базе RISC-V, со своими собственными расширениями и реализациями ядер. И вот не так давно на анализ нашим исследователям попало устройство c таким чипом на базе RISC-V, c базовым набором инструкций RV32I и расширением P (причем еще и не последней версии), добавляющим короткие SIMD-операции (Packed-SIMD Instructions).
То, что наши эксперты видели его впервые — абсолютно нормально. Но, по всей видимости, его впервые видел и IDA Pro — инструмент, которым пользуются наши исследователи. Поэтому им пришлось не только изучить ранний черновик расширения P (оно же Packed-SIMD Extension), но также реализовать поддержку IDA Pro ряда инструкций из него и произвести лифтинг, то есть трансляцию инструкций в промежуточное представление или язык, понятные декомпилятору. Именно этим опытом они и решили поделиться в данной статье.
Но прежде чем переходить к описанию решения этих задач, стоит понять, с чем мы имеем дело, поэтому начать следует со знакомства с документацией по архитектуре RISC-V.
Но не в самом приложении Max – речь пойдёт о продукте стороннего разработчика внутри мессенджера, который почему-то не хочет исправлять очевидную и крайне серьезную ошибку своего сервиса.
Привет, Хабр! Вот реальная ситуация: подрядчик оказывал услуги, полностью пренебрегая нормами ИБ. Это создало почву для атаки, которая застопорила бизнес больше чем на неделю. Продажи встали, прибыли нет - но это полбеды. Пришлось привлечь сторонних ИБ-экспертов, выплатить сверхурочные работникам, которые трудились над восстановлением систем. Железно, кстати, тоже пришлось закупать новое. Убытки, убытки, убытки. Но можно ли взыскать их с подрядчика? Ответ - да, но не все. Сейчас расскажу, что решил суд и почему
