Информационная безопасность *

Машинное обучение сейчас повсюду: автогенерация кода, умные помощники, анализ аномалий. Разработчики активно внедряют ML, радуясь новым возможностям — но злоумышленники тоже не дремлют. Они учатся обманывать и «отравлять» модели, превращая умные системы из помощников в уязвимое звено. Поговорим, как ML упрощает жизнь разработчиков и почему даже самая продвинутая нейросеть может превратиться в «дуршлаг».

Меня зовут Павел Попов, я руководитель группы инфраструктурной безопасности в Positive Technologies. Расскажу, как сами применяем ИИ и каких результатов нам удалось достичь с внедрением ML-моделей в MaxPatrol VM. А также попробуем ответить на вопрос, заменит ли ИИ разработчиков и есть ли вероятность, что мы все останемся без работы. Если вам тоже интересно, как технологии меняют ИБ-ландшафт и какие решения уже работают сегодня — добро пожаловать.

Добро пожаловать в увлекательный мир информационных киосков на базе Astra Linux! Если вы хотите создать интерактивный информационный центр, который будет не только информировать, но и впечатлять ваших пользователей, то вы попали по адресу. В этой статье мы погрузимся в настройки и возможности инфокиоска, превращая ваш компьютер в мощный инструмент для рекламы и интерактивного взаимодействия. Приготовьтесь открыть дверь в мир новых возможностей с Astra Linux!

Зачем вообще этим заморачиваться?

Некоторые образцы malware выполняют различные проверки, чтобы определить, запущены ли они в виртуальной машине. Один из самых частых способов — проверка наличия определённых аппаратных компонентов, обычно не эмулируемых в виртуальных средах. Один из таких компонентов — кулер процессора. Например, malware может проверять наличие кулера процессора, поискав в WMI класс Win32_Fan:

wmic path Win32_Fan get *

Они делают это, чтобы не запускаться в виртуальных машинах, усложнив таким образом процесс анализа для исследователей безопасности.

Зловредное ПО может определять, запущено ли оно в виртуальной машине, множеством разных способов. Есть различные классы WMI, позволяющие обнаружит присутствие виртуальной машины, например, Win32_CacheMemory, Win32_VoltageProbe и множество других.

В этом посте я расскажу о кулере процессора. Мне просто понравилась идея убедить виртуальную машину, что он у неё есть. Однако такой же подход можно применить к другим аппаратным компонентам и классам WMI.

Доброго времени суток!
В этой статье мы подробно рассмотрим работу с протоколом SMB (Server Message Block) . Мы узнаем, как работать с этим протоколом и в конце попробуем добраться до флага.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Привет, Хабр! Я Андрей Дугин, руководитель центра сервисов кибербезопасности RED Security. Про тему кибербезопасности веб-приложений уже, казалось бы, рассказали все, что можно: термины XSS, SQL-инъекции, DDoS знакомы каждому в мире ИБ.

Проблема в том, что знание отдельных уязвимостей и методов защиты не гарантирует комплексной безопасности. Качественный результат дает не борьба с каждой угрозой, а создание системной защиты, где разные решения дополняют и усиливают остальные.

В этом материале я разберу, как ИБ-инструменты взаимодействуют между собой и на какие нюансы важно обратить внимание при их настройке.

Привет! Сегодня мы копнём в одну из самых спорных и недооценённых тем в мире ИИ — джейлбрейки чатботов. То самое, что позволяет убрать встроенные тормоза и меньше читать “I'm sorry, I cannot help with that” и заставить чатбот говорить с вами как с взрослым человеком, а не как корпоративный душнила.

Трудно переоценить значение стратегии и тактики в мире информационной безопасности. Атакующий выбирает момент, место и способ воздействия. Современные Red Team операции, имитирующие действия реальных нападающих, аналогично строятся не на хаотичных попытках прорыва, а на системном применении проверенных принципов, во многом восходящих к древним учениям о войне и манипуляции. Тактики позволяют не просто найти уязвимости, но и использовать их максимально эффективно. Стратегия же определяет, какие цели выбирать, в какой последовательности их атаковать и как маскировать истинные намерения под прикрытием легитимных действий.

Сочетание стратегического мышления и тактической гибкости делает Red Team не просто техническим инструментом тестирования безопасности, а полноценным симулятором реальных APT-угроз. В этом смысле каждая операция становится полем для применения древних стратагем, адаптированных под цифровую эпоху.

Трактат о 36 стратагемах условно делится на шесть блоков: стратагемы победоносных сражений, стратагемы сражений при равновесии сил, стратагемы наступательных сражений, стратагемы сражений с несколькими участниками, стратагемы сражений совместно с третьей стороной и стратагемы проигрышных сражений. В данной части статьи речь пойдёт о стратагемах победоносных сражений и стратагемах сражений при равновесии сил.

AI-агенты перестали быть экспериментом — они уже читают ваши документы, пишут код
и выполняют команды в терминале. Но чем больше автономии мы им даем, тем актуальнее становится вопрос: а что если агент сделает не то, что нужно?

Llama Firewall — попытка решить эту дилемму через многослойную систему проверок.

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

На этой неделе новости про то, как Минцифры предлагает запретить смену IMEI, WordPress снова под атакой, американцы запретили себе WhatsApp, clickfix перерождается в filefix, Brother такой Brother и другие только самые важные и интересные новости из мира информационной безопасности.

Долго собирался с духом, чтобы написать первую статью. В открытых источников СТОЛЬКО интересной и полезной информации, что вызывает восхищение уровень подготовленности коллег по цеху. 

Сразу предупрежу: вы не найдёте здесь сенсационных "ноу-хау", которыми можно поразить гуру информационной безопасности. Зато тем, кто только выстраивает защиту с нуля или топ менеджменту, эти заметки, я уверен, окажутся практичными.

Чем дольше наблюдаю за отраслью, тем чаще ловлю себя на мысли: публичные дискуссии о развитии SOC сводятся к витрине из мощных SIEM-ов, SOAR-ов и "прокачанных" ML-движков. Да, для компаний с крупным бюджетом и зрелой инфраструктурой это актуально. Но что делать тем, кто только выходит на рынок или просто не дорос до подобных затрат?

В большинстве материалов всё звучит примерно так: "нужно внедрить средства защиты, и ИБ обязана всё контролировать". А что означает это "всё"? Конкретные болевые точки команды безопасности остаются за кадром. Выходит, что советов много, но реальной опоры для тех, кто начинает с чистого листа - минимум.

И ещё одна ремарка. Дорогой и прокаченный софт - не "золотая пуля", а лишь инструмент, который помогает вам, если прежде проделана подготовительная работа: описаны процессы, понятна модель угроз и расставлены приоритеты. Без этого даже самый "умный" продукт рискует стать очередной дорогой коробкой в серверной.

Я не претендую на истину в последней инстанции. Многие из моих более опытных коллег и так знают всё, о чём пойдёт речь. Но если этот текст сэкономит время тем, кто только выстраивает ИБ-функцию, значит, задача выполнена.

С распространением ИИ-ассистентов и чат-ботов появляется новая категория угроз, о которой пока мало кто говорит, но бизнес уже несёт реальные убытки. Не хватало нам DDOS атак и клик фрода, как активно начали применять:

Промышленные сети на многих предприятиях развиваются достаточно хаотично, как правило, вырастая как дополнение к корпоративной сети. Однако такой хаотичный рост зачастую приводит к появлению слабых мест в сетевой топологии: отсутствию резервирования, использованию общего с корпоративным сегментом оборудования, узким местам в пропускной способности каналов связи и многому другому.

В этой статье мы рассмотрим архитектуру Purdue Enterprise (PERA), в рамках которой была разработана эталонная модель для потоков данных в промышленных сетях, где производственные процессы полностью автоматизированы. Будучи разработанной еще в начале 90х, эта модель стала стандартом для построения сетевой архитектуры с учетом требований безопасности, разделяя уровни сети для поддержания иерархического потока данных между ними.

Всем привет! Сегодня я хочу поделиться историей одного странного и затянувшегося расследования, главным героем которого стал мой компьютер, а антагонистом — веб-версия Telegram. Эта история не только о поиске прожорливого процесса, но и о глубоких аномалиях в поведении современных веб-приложений, которые вызывают серьезные вопросы.

Всех приветствую! В этой статье разберем базовую настройку защищенного удаленного доступа к сетевым устройствам через SSH в учебной лабораторной работе на эмуляторе GNS3. В сети будут задействованы два маршрутизатора - Cisco и MikroTik, а также виртуальные машины с Windows 10 и Kali Linux, что позволит максимально приблизить работу к реальным условиям. В ходе работы настроим IP-адресацию, обеспечим маршрутизацию между подсетями и организуем безопасное управление оборудованием через SSH.

Полный список команд для настройки Cisco, MikroTik и ПК, с краткими комментариями к каждой команде можно посмотреть здесь. Подробно разбирать каждую из них мы не будем, чтобы не растягивать материал, но обязательно сделаем общий разбор ключевых этапов настройки и поясним логику, чтобы было проще понять, зачем выполняется та или иная команда.

Bluetooth десятилетиями связывал наши устройства «по воздуху» — от беспроводных наушников до умных замков. Но за это время протокол пережил ряд катастрофических уязвимостей: от BlueBorne, позволяющей атаковать устройства без единого клика, и цепочки дыр в BLE Secure (KNOB, BLESA и другие) ломало защиту на корню. 

Как же за эти годы эволюционировали механизмы безопасности, чтобы сегодня Bluetooth оставался надёжным фундаментом для миллиардов устройств? Подробности — далее.

Число пользователей мобильных устройств по всему миру огромно. Согласно отчёту Facts and Figures 2023, опубликованном Международным союзом электросвязи (МСЭ) в ноябре 2023 года, доля владельцев мобильных телефонов среди населения мира в возрасте 10 лет и старше составляет 78%, а охват мобильной широкополосной связью 3G и выше среди всего населения мира составляет 95%. Смартфоны больше не ограничиваются традиционной коммуникационной функцией операторов, а становятся основным средством для ежедневных покупок, развлечений, социального взаимодействия, учебы и бытовых услуг. Они также являются узлами для мобильных офисов и даже идентификационными токенами для доступа к различным государственным и корпоративным сетям.

Но в то же время мобильные смарт устройства, такие как мобильные телефоны, таят в себе огромные риски кибербезопасности. По сравнению с традиционными ПК, они обладают более широкими возможностями распознавания и оснащены высокоточными датчиками, а также устройствами сбора информации, такими как камеры и микрофоны. Посредством сбора и анализа источников данных на устройстве можно проводить целенаправленный, точный портретный анализ личной трудовой и жизненной деятельности, поведенческих привычек, психологических характеристик, социальных отношений и окружающей среды, и даже управлять мобильным телефоном посредством использования уязвимостей и доставки вредоносного ПО, чтобы осуществлять всестороннее прослушивание телефонных разговоров и скрытое наблюдение за его владельцем. Скомпрометированный мобильный телефон — это как «жучок на ногах». Куда бы он ни пошёл, никакие секреты не могут быть сохранены: всё прозрачно для нападающего, смотрящего с позиции «Всевидящего ока». Смарт-устройства, таких как мобильные телефоны, которые используются в окружении мобильных офисов, однажды будучи скомпрометированными, могут привести к утечке чувствительных данных всей сети. Более того, они могут стать точкой входа и трамплином для вторжения во внутренние сети государственных и корпоративных структур.

Привет, я Светлана Газизова, и, как несложно догадаться, я работаю в Positive Technologies. Занимаюсь я всяческим AppSec и всем, что к нему близко. Занимаюсь я этим серьезное количество времени — уже пятый год.

Сегодня хочу рассказать вам, насколько развитие AppSec и DevSecOps (да и вообще в целом практика безопасной разработки) похоже на то, как развивалось метро в Москве. Да‑да, именно метро!

Мне кажется, многих это сравнение может немного смутить. Но на самом деле в этих двух явлениях обнаруживается большое количество похожих паттернов. Поэтому я думаю, что мы с вами сегодня вместе к этому придем.

Когда я только начинала работать в информационной безопасности, мне и в голову такое не приходило, но чем больше я погружалась в тему, тем отчетливее виделись эти неожиданные сходства. Пытаться понять мир безопасной разработки — как смотреть на схему метро: сначала кажется, что это хаотичное нагромождение линий, а потом вдруг понимаешь всю продуманность этой системы.

Так что устраивайтесь поудобнее — сегодня у нас будет необычная экскурсия. С одной стороны — в мир безопасной разработки со всеми его AppSec'ами и DevSecOps'ами. С другой — в московское метро с его кольцами, диаметрами и постоянно растущей сетью станций. Готовы? Тогда поехали!

Всем привет, меня зовут Денис, и я старший инженер инфраструктурной безопасности в Ozon. Эта статья — продолжение цикла про osquery и Fleet.
Предыдущие статьи вы можете почитать здесь и здесь.

В статье хочу поделиться радостью и «болью» опыта эксплуатации связки Fleet и osquery в масштабе e-commerce/highload.
Этот опыт будет полезен тем, кто ещё только думает об этой связке и планирует её внедрять, а также тем, кто уже внедрил и эксплуатирует.
Osquery мы эксплуатируем на рабочих станциях и серверах под управлением операционных систем MacOS, Windows и Linux.
Для начала стоит напомнить, что такое osquery и Fleet и почему они так классно друг друга дополняют.

Osquery — opensource, написанный на С++, представляет собой агента, запущенного на хостовой (и не только) ОС, который может предоставить большое количество информации о вашей системе и событиях в виде СУБД.

Также osquery имеет два вида запросов:

Доброго времени суток всем!
Это вторая статья из серии Starting Point на HackTheBox. В ней попробуем разобраться в работе FTP-протокола и выполним несложные задачи.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.