Информационная безопасность *

С каждым годом роль DevSecOps в обеспечении безопасной разработки ПО становится всё больше и больше. Масло в огонь подливает стремительное развитие ИИ. Больше не в моде письма от «нигерийских принцев» и многомиллионных выигрышах. На смену им пришли дипфейки, имитирующие голос, внешность и поведение звёзд, директоров
и других ЛПР. В этой и следующих своих статьях я расскажу, какие подходы для обеспечения безопасности мы, как DevSecOps, используем в CUSTIS.

Здесь на Хабре мы регулярно обсуждаем, как искусственный интеллект проникает во все сферы жизни: медицину, образование, транспорт. И везде ИИ помогает решать сложные задачи человечества. Риелторы тоже не остаются в стороне, правда, для некоторых из них "сложная задача" - это как получить с клиента денег за то, чего не существует. И нейронки отлично им в этом помогают.

Многие из нас давно перестали верить обещаниям про "евроремонт", “хорошее состояние” и “солнечную квартиру”. В условиях обесценивания текста, фотографии стали основным способом составить впечатление об объекте до просмотра. Неидеальным, но хотя бы честным - что сняли (пусть и плохенько), то и показали. Но недавно риелторы и владельцы съемного жилья распробовали бесплатный ИИ и понеслось. Так, студентка из Британии внезапно узнала, что "сломала" в съемной квартире кофейный столик, помочилась на матрас и повредила бытовую технику на сумму более $7,000. Узнала из претензии хозяина AirBnB, который приложил в качестве доказательств фотографии с явными ИИ-артефактами.

Хостинг - это десятки тысяч сайтов и пользователей находящихся под управлением одного сервера.

Зачастую пользователь хостинга не погружается в детали настроек сервера, а знает только основное — на сервере есть PHP, Ruby, Python, MySQL и Apache, чтобы его сайт успешно функционировал . Ему не интересно, как и что настроено на сервере, главное, чтоб все работало и не создавало ему проблем.

Всем привет. Меня зовут Аня (SavAnna) я работаю AppSec и как хобби занимаюсь багбаунти. Хочу рассказать историю, когда сочетание простых багов, которые может найти каждый приводило к высокому импакту.

В одном сервисе, где можно было создавать и оплачивать заказы были найдены IDOR CRUD счета на оплату (далее инвойс) и особенности связи инвойса с созданным заказом.

Анализ теоретическо-практических векторов атаки при утечке корневых и промежуточных сертификатов в модели угроз направленного взлома.

В практике тестирования на проникновение (penetration testing) традиционно большое внимание уделяется эксплуатации уязвимостей в программном обеспечении, слабостях в конфигурации и социальной инженерии.

Однако существуют сценарии, при которых Red Team получает доступ к активам, ставящим под угрозу не отдельные серверы или учетные записи, а саму основу доверия в информационной системе — инфраструктуру открытых ключей (Public Key Infrastructure, PKI).

Получение злоумышленником цепочек сертификатов, включая корневые (Root CA), промежуточные (Intermediate CA) сертификаты центров сертификации (УЦ), а также сертификаты в форматах .cer и .pem, равносильно вручению ему »ключей от королевства».

В данной статье мы рассмотрим, какие практические угрозы теоретически может реализовать Red Team в такой ситуации, и какие меры защиты должна предусматривать Blue Team.

PKI — построена на модели доверия.

Любая система (браузер, операционная система, клиент VPN) доверяет сертификатам, подписанным корневым УЦ.

Если злоумышленник получает закрытые ключи (private keys) от этих УЦ, он может самостоятельно изготавливать любые сертификаты, которые будут безусловно доверяться во всей инфраструктуре.

Это не просто утечка данных — это кража самого механизма установления «доверительных отношений».

Предположим, что Red Team в ходе проведения тестирования получает в свое распоряжение:

В первой части публикации рассказывается о том, как Кристофер Аллен задумал создать новый децентраизованный безопасный интернет, придумал название Self-Sovereign Identity (SSI) и в 2016 году начертал на скрижалях десять заповедей SSI. Что же было дальше…

Дальше Аллен организовал упомянутые в первой части проектные мастерские RWOT (Rebooting the Web of Trust), которые стремительно росли и размножались. Мастерские RWOT просуществовали до прошлого года, когда их встреча в Калифорнии, назначенная на август, была отменена по неизвестной мне причине (мой друг Клод тоже не знает). 

На опыте этой подвижной и эффективной организации для производства спецификаций в 2019 году Кристофер Аллен создает некоммерческую организацию Blockchain Commons (BC) для создания открытой цифровой инфраструктуры, поддерживающей сформулированные Алленом принципы. Он назвал эти принципы «гордиевыми», подчеркивая, что не намерен заниматься распутыванием понятийных узлов, навязанных до него. В основе всех решений BC лежит «Гордиева архитектура», основанная на этих принципах — независимости, приватности, выживаемости (resilence) и открытости.

Уже само название этой организации очень выразительно. Напомню, что commons в Англии 13 века — это общинные пастбища, вообще угодья, включая реки, леса и даже торфяники. Несмотря на то, что в Англии эта прекрасная идея закончилась «трагедией общинных ресурсов» (огораживания и все такое), плохо то есть закончилась, Кристофер Аллен продолжает верить в потенциал общего дела, использующего общие ресурсы.

Предуведомление

Эта публикация разбита на две части для удобства чтения. Если это оказалось неудобно именно вам, приношу свои извинения за доставленные неудобства.

Волны модернизации

Горек хлеб того исследователя, который берется исследовать, и того писателя, который ради пропитания берется писать о бесконечных технологических трендах, которые уже с самого зарождения оказываются далеко не только, и даже вовсе не технологическими. Будущее наступило и оно во многом похоже на информационное общество, которое мы даже не закончили предсказывать. 

Много лет назад, мы были свидетелями сложного технологического перехода от технологии коммутации ячеек (ATM еще кто-нибудь помнит?) к технологии коммутации пакетов (IP, по простому говоря). На моих глазах, на Форуме ATM в Голландии в 1998 году на трибуну взошел один из авторов формата ячеек АТМ Юха Хейненен, работавший в то время в Telia Finland, и, буквально как Карл Маркс в анекдоте, сказал: «Извините, 53 байта — это была ошибка». Услышанное тогда повлекло важные изменения в проектных спецификациях первой в России сети передачи данных общего пользования с широкополосным доступом в Интернет. Именно тогда мы сформулировали принцип накрывающих волн модернизации.

 Картинка очень простая, это циклоида, разрезанная на сегменты, которые сдвигаются друг относительно друга. Мой друг Клод со второй попытки сгенерировал картинку по словесному описанию и даже сделал ее интерактивной, но сейчас это не нужно. 

Каждый сегмент циклоиды изображает «волну модернизации». Эти волны поднимаются и спадают. В идеальном мире следующая волна модернизации начиналась бы после того, как завершилась предыдущая, а может даже с разрывом между циклами, чтобы мы успели насладиться результатами предыдущей волны. Но нет же, в реальном мире следующая волна модернизации начинается до того, как заканчивается предыдущая. Если вы занимаетесь любыми естественно-искусственными процессами трансформации любых систем деятельности, эта простая картинка оказывается полезной для того, чтобы скорректировать текущий процесс модернизации и подготовиться к точке пересечения со следующим, в которой два цикла становятся равно заметными по любому параметру, который вы захотите отмечать на оси «игрек». Ну, и уроки психоистории Хари Селдона тоже никто не отменял, на более длинных циклах.

Защита от мошенничества: 2FA, финансовые лимиты, гостевой Wi-Fi и запреты на Госуслугах и другие лайфхаки.
Систематизируем цифровую гигиену: от сокращения цифрового следа до плана действий при взломе. Личный опыт построения эшелонированной обороны против мошенников.

Всем привет! Подводим итоги сентября дайджестом ключевых новостей. В прошлом месяце на npm отметились две крупных компрометации пакетов, включая первого самореплицирующегося червя. Он встряхнул всю экосистему и вынудил GitHub ужесточить правила аутентификации и публикации пакетов.

Кроме того, в Entra ID раскрыли уязвимость, которая могла привести к компрометации любого аккаунта, завязанного на эту систему идентификации. Из-за Великого Китайского Файрвола произошла беспрецедентная утечка, а августовская кража токенов Salesloft заметно выросла в масштабах. Об этом и других интересных ИБ-событиях сентября читайте под катом!

Иногда после запуска VDS/VPS проходит всего несколько минут, как в логах появляются десятки попыток входа или перебора паролей. В этом случае на защиту провайдера надеяться нельзя, потому что он отвечает только за изоляцию гипервизора, а всё, что происходит внутри гостевой ОС, — это ваша зона ответственности. Под катом собрал десять базовых правил по безопасности VDS, но лучше всего они работают в связке. 

Сегодня предлагаю тебе узнать, как одна уязвимость в веб-приложении может открыть злоумышленникам доступ к секретам всего облака. Не слабо, да!? Мы разберем механизм атаки через SSRF на службу метаданных EC2, покажем реальные примеры из практики и дадим конкретные рекомендации по защите, включая переход на IMDSv2 и принцип наименьших привилегий. Ну, что welcome на стенд!

Хабр, привет!

Вендоры и исследователи по кибербезопасности традиционно не спешат раскрывать технические детали уязвимостей сразу после их обнаружения. Причина в том, что публикация рабочего PoC (proof of concept) резко повышает вероятность массовой эксплуатации. Компании предпочитают выиграть время, чтобы пользователи успели установить обновления, и только после этого публикуют подробные отчёты.

Однако даже без раскрытия PoC можно определить уязвимости, которые представляют реальную опасность и требуют оперативной реакции.

Аналитики R-Vision регулярно отслеживают новые уязвимости, оценивают их критичность и подбирают практические рекомендации по защите. В сентябре мы выделили несколько CVE, которые уже эксплуатируются или могут представлять серьёзную угрозу .

В прошлой статье на эту тему мы разобрали некоторые эффективные меры защиты Active Directory — от включения SMB-подписи до сегментации и минимизации прав — обсудили набор базовых практик по защите AD. В комментариях мне в панамку накидали несколько дельных замечаний: исправляемся и продолжаем развивать тему защиты домена — под катом. 

В материале освещаются несколько направлений, о которых имеет смысл поговорить, если базовые защитные мероприятия уже выполнены: 

— Двухфакторная аутентификация в домене.
— Доработка защиты SMB — подпись против шифрования.
— Процесс выпуска сертификатов (PKI). 
— События Windows для Threat Hunting и корреляции в SIEM.
— Защита процесса LSASS. 

Ранее мы подробно рассмотрели семь методов встраивания информации в видеопоток. Однако не видео единым жива стеганография. В этот раз поговорим о том, какие в принципе существуют типы стегоконтейнеров и какие алгоритмы сокрытия данных к ним применяются. Также коснемся основных видов атак на бизнес с использованием стеганографии, проблем и перспектив в этой области.

Сложных формул и математических «игр разума» на сей раз не ждите: статья носит обзорный характер и адресована, прежде всего, безопасникам, которые могут столкнуться с подобными угрозами. Материал будет полезен и начинающим исследователям, которые пока только зондируют почву и еще не определились с областью для ресерча. Итак, поехали!

Антивирус, EPP, EDR и XDR… Многие слышали эти термины, но далеко не все понимают, чем они различаются и почему одного только антивируса сегодня уже недостаточно. В этой статье эксперты из Positive Technologies — Паша Попов, лидер практики по управлению уязвимостями, Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов, и Кирилл Черкинский, руководитель практики защиты конечных устройств, — разбираются с помощью наглядных аналогий в средствах киберзащиты и их роли в управлении уязвимостями.

Мы продолжаем серию обзоров правовых инициатив, проектов законов и постановлений, новых актов регулирования, касающихся вопросов информационной безопасности. В этой серии – о том, что нового в ИБ-регулировании в 3 квартале 2025 года.

Agentic Commerce Protocol (ACP) предлагает новый подход к интеграции AI-агентов в процесс покупок, и его архитектура безопасности заслуживает детального изучения. Сегодня ИИ-агенты могут выбирать, сравнивать и даже оплачивать товары. Но как не дать им выйти за рамки полномочий? ACP отвечает на этот вопрос — не запретами, а архитектурой.

Философия безопасности ACP

ACP следует принципу secure by design: безопасность встроена на всех уровнях, а не добавлена как слой.

Протокол основан на том, что продавец остаётся «системой записи» для всех заказов, платежей и налогов, а ACP обеспечивает безопасный мост между AI-агентами и существующей коммерческой инфраструктурой. Платежи по-прежнему проходят через PSP (провайдеров платёжных услуг) продавца — но с участием ИИ-агентов.

На прошлой неделе были опубликованы сразу два исследования об атаках на механизмы Trusted Execution Environment в процессорах Intel и AMD. Произошла довольно необычная ситуация, когда две команды исследователей из США и Европы независимо друг от друга нашли более-менее одинаковую уязвимость в защитном механизме, используя очень похожий метод атаки. Механизм TEE предполагает создание защищенного «анклава» в оперативной памяти: отдельный аппаратный модуль шифрует и расшифровывает данные на лету, затрудняя доступ к ним, даже в том случае, если система скомпрометирована. Один из вариантов TEE, технология Intel Software Guard Extensions (SGX), использовалась в том числе в пользовательских ПК для воспроизведения видео с дисков Blu-ray Ultra HD. Но наиболее актуальны такие технологии в облачных системах, когда модель угроз предполагает отсутствие доверия даже к поставщику сервиса или железа.

Атака Wiretap.fail, предложенная учеными из двух американских университетов, ломает защиту Intel SGX. Ее особенности дают представление о сложности такой атаки. Она предполагает, что потенциальный атакующий имеет полный контроль над ПО и также вмешивается в работу железа для того, чтобы извлечь секреты из работающей на компьютере и защищенной с помощью Intel SGX программы — виртуальной машины или другого ПО. Общая схема атаки выглядит так: вынимаем один модуль памяти стандарта DDR4 и вставляем его в специальный переходник, который подключен к логическому анализатору и позволяет перехватывать данные. «Вредоносная программа» должна обеспечить запись зашифрованных с помощью TEE данных именно в этот модуль.

В рамках празднования Дня среднего профессионального образования в столице прошел фестиваль «СПОфест». Его провели на ИТ-площадке «Кибердом». Участниками мероприятия стали 400 студентов из столичных колледжей, представители компаний в сфере ИТ и кибербезопасности. Об этом сообщили в пресс-службе столичного Департамента образования и науки.

Центральным событием фестиваля стал финальный этап чемпионат по CTF среди студентов. В отборочном этапе приняли участие 18 команд из 10 московских колледжей. По итогам испытаний в заключительный тур вышли восемь сильнейших. Они решали реальные кейсы по информационной безопасности, проходили испытания по анализу трафика, выполняли задания по криптоанализу и реверс-инжинирингу.

Победителями стали команды трех колледжей: третье место заняла команда OFLN41 колледжа связи № 54 имени П.М. Вострухина, второе — команда «На завод!» политехнического колледжа № 8 имени дважды Героя Советского Союза И.Ф. Павлова, а первое — команда BLVK колледжа современных технологий имени Героя Советского Союза М.Ф. Панова.

«“СПОфест” — это не только площадка для общения и профессиональных проб, но и пространство для соревнований, где студенты колледжей могут проверить свои силы в сложных и актуальных направлениях. Не менее ценно, что ребята проводят мастер-классы, делятся знаниями и опытом, вовлекая в профессию новых участников. Такие проекты вдохновляют студентов и доказывают, что СПО — это уверенный шаг в будущее», — отметила Виктория Кожан, директор колледжа автоматизации и информационных технологий № 20.

Представляемый глоссарий терминов для руководителя информационной безопасности (CISO) создан как рабочий инструмент, обеспечивающий единое понимание ключевых концепций в области управления информационной безопасностью. Унификация терминологии крайне важна для эффективного взаимодействия между техническими специалистами, менеджментом и бизнес-подразделениями, а также для построения прозрачной и соответственной требованиям системы защиты информации.

Для углубленного изучения каждого из терминов и связанных с ними практик рекомендуется обращаться к следующим авторитетным источникам: