Информационная безопасность *

Инструменты вроде OpenSearch, Elastic или Kibana давно стали стандартом для поиска и визуализации логов благодаря удобству и мощной поисковой системе. Однако, когда речь заходит о сложном анализе — агрегациях, парсинге, выявлении сложных закономерностей — их встроенные средства быстро достигают предела возможностей. Особенно сложно становится, если структура логов далека от идеала: например, как у нас — всё содержимое свалено в одно поле Message в формате JSON.

Меня зовут Игорь Щегловитов, я работаю экспертом по тестированию в QC облачной инфраструктуры и веб-порталов. Раньше наша команда решала такие задачи кастомными утилитами на C#, которые выгружали логи из ELK и анализировали их локально. Однако каждое новое требование превращалось в мини-проект: доработать код, написать новые парсеры, скрипты агрегации и фильтрации. Работа замедлялась, техдолг рос.

Я решил использовать связку AI-агентов с кастомными промптами, собственный сервисный слой (MCP) для доступа к логам и LLM-модель, чтобы превращать пользовательские запросы в автоматический алгоритм анализа. Так, кейсы вроде «Посчитай уникальных пользователей за сутки» или «Проанализируй ошибки за период» решаются без ручного кодинга.

Под катом мой кейс: расскажу, как это сделал, поделюсь ссылкой на гитхаб, так что, если хотите упростить себе анализ логов, — эта статья для вас.

В данной работе мы доказали, что структура параметров в ECDSA является строго детерминированной и не зависит от случайности . Это свойство вытекает из линейного соотношения , которое формирует регулярную сетку параллельных линий на торе. Мы применили методы топологического анализа данных (Mapper, персистентная гомология) для визуализации этой структуры и показали её криптографические последствия.

Часто при просмотре видеозаписей кажется, что всё на своих местах: события, люди, действия. Всё выглядит логично — до тех пор, пока не обращаешь внимания на время. Когда дата на видео не совпадает с реальностью, это меняет всё. В этой статье Андрей Кравцов, специалист Лаборатории цифровой криминалистики F6, расскажет о случае из практики, когда именно нестыковка во времени стала ключом решения. Истину помогли установить не кадры, а скрытые от глаз журналы событий, которые хранят больше, чем кажется на первый взгляд.

Изначально задача казалась тривиальной: провести криминалистический анализ, в рамках которого восстановить видеозаписи с жёсткого диска видеорегистратора. Заказчик сообщил, что самостоятельно найти и просмотреть видеозаписи за определённый период не получилось, это и стало причиной обращения к нам в Лабораторию.

С каждым годом роль DevSecOps в обеспечении безопасной разработки ПО становится всё больше и больше. Масло в огонь подливает стремительное развитие ИИ. Больше не в моде письма от «нигерийских принцев» и многомиллионных выигрышах. На смену им пришли дипфейки, имитирующие голос, внешность и поведение звёзд, директоров
и других ЛПР. В этой и следующих своих статьях я расскажу, какие подходы для обеспечения безопасности мы, как DevSecOps, используем в CUSTIS.

Здесь на Хабре мы регулярно обсуждаем, как искусственный интеллект проникает во все сферы жизни: медицину, образование, транспорт. И везде ИИ помогает решать сложные задачи человечества. Риелторы тоже не остаются в стороне, правда, для некоторых из них "сложная задача" - это как получить с клиента денег за то, чего не существует. И нейронки отлично им в этом помогают.

Многие из нас давно перестали верить обещаниям про "евроремонт", “хорошее состояние” и “солнечную квартиру”. В условиях обесценивания текста, фотографии стали основным способом составить впечатление об объекте до просмотра. Неидеальным, но хотя бы честным - что сняли (пусть и плохенько), то и показали. Но недавно риелторы и владельцы съемного жилья распробовали бесплатный ИИ и понеслось. Так, студентка из Британии внезапно узнала, что "сломала" в съемной квартире кофейный столик, помочилась на матрас и повредила бытовую технику на сумму более $7,000. Узнала из претензии хозяина AirBnB, который приложил в качестве доказательств фотографии с явными ИИ-артефактами.

Хостинг - это десятки тысяч сайтов и пользователей находящихся под управлением одного сервера.

Зачастую пользователь хостинга не погружается в детали настроек сервера, а знает только основное — на сервере есть PHP, Ruby, Python, MySQL и Apache, чтобы его сайт успешно функционировал . Ему не интересно, как и что настроено на сервере, главное, чтоб все работало и не создавало ему проблем.

Всем привет. Меня зовут Аня (SavAnna) я работаю AppSec и как хобби занимаюсь багбаунти. Хочу рассказать историю, когда сочетание простых багов, которые может найти каждый приводило к высокому импакту.

В одном сервисе, где можно было создавать и оплачивать заказы были найдены IDOR CRUD счета на оплату (далее инвойс) и особенности связи инвойса с созданным заказом.

Анализ теоретическо-практических векторов атаки при утечке корневых и промежуточных сертификатов в модели угроз направленного взлома.

В практике тестирования на проникновение (penetration testing) традиционно большое внимание уделяется эксплуатации уязвимостей в программном обеспечении, слабостях в конфигурации и социальной инженерии.

Однако существуют сценарии, при которых Red Team получает доступ к активам, ставящим под угрозу не отдельные серверы или учетные записи, а саму основу доверия в информационной системе — инфраструктуру открытых ключей (Public Key Infrastructure, PKI).

Получение злоумышленником цепочек сертификатов, включая корневые (Root CA), промежуточные (Intermediate CA) сертификаты центров сертификации (УЦ), а также сертификаты в форматах .cer и .pem, равносильно вручению ему »ключей от королевства».

В данной статье мы рассмотрим, какие практические угрозы теоретически может реализовать Red Team в такой ситуации, и какие меры защиты должна предусматривать Blue Team.

PKI — построена на модели доверия.

Любая система (браузер, операционная система, клиент VPN) доверяет сертификатам, подписанным корневым УЦ.

Если злоумышленник получает закрытые ключи (private keys) от этих УЦ, он может самостоятельно изготавливать любые сертификаты, которые будут безусловно доверяться во всей инфраструктуре.

Это не просто утечка данных — это кража самого механизма установления «доверительных отношений».

Предположим, что Red Team в ходе проведения тестирования получает в свое распоряжение:

В первой части публикации рассказывается о том, как Кристофер Аллен задумал создать новый децентраизованный безопасный интернет, придумал название Self-Sovereign Identity (SSI) и в 2016 году начертал на скрижалях десять заповедей SSI. Что же было дальше…

Дальше Аллен организовал упомянутые в первой части проектные мастерские RWOT (Rebooting the Web of Trust), которые стремительно росли и размножались. Мастерские RWOT просуществовали до прошлого года, когда их встреча в Калифорнии, назначенная на август, была отменена по неизвестной мне причине (мой друг Клод тоже не знает). 

На опыте этой подвижной и эффективной организации для производства спецификаций в 2019 году Кристофер Аллен создает некоммерческую организацию Blockchain Commons (BC) для создания открытой цифровой инфраструктуры, поддерживающей сформулированные Алленом принципы. Он назвал эти принципы «гордиевыми», подчеркивая, что не намерен заниматься распутыванием понятийных узлов, навязанных до него. В основе всех решений BC лежит «Гордиева архитектура», основанная на этих принципах — независимости, приватности, выживаемости (resilence) и открытости.

Уже само название этой организации очень выразительно. Напомню, что commons в Англии 13 века — это общинные пастбища, вообще угодья, включая реки, леса и даже торфяники. Несмотря на то, что в Англии эта прекрасная идея закончилась «трагедией общинных ресурсов» (огораживания и все такое), плохо то есть закончилась, Кристофер Аллен продолжает верить в потенциал общего дела, использующего общие ресурсы.

Предуведомление

Эта публикация разбита на две части для удобства чтения. Если это оказалось неудобно именно вам, приношу свои извинения за доставленные неудобства.

Волны модернизации

Горек хлеб того исследователя, который берется исследовать, и того писателя, который ради пропитания берется писать о бесконечных технологических трендах, которые уже с самого зарождения оказываются далеко не только, и даже вовсе не технологическими. Будущее наступило и оно во многом похоже на информационное общество, которое мы даже не закончили предсказывать. 

Много лет назад, мы были свидетелями сложного технологического перехода от технологии коммутации ячеек (ATM еще кто-нибудь помнит?) к технологии коммутации пакетов (IP, по простому говоря). На моих глазах, на Форуме ATM в Голландии в 1998 году на трибуну взошел один из авторов формата ячеек АТМ Юха Хейненен, работавший в то время в Telia Finland, и, буквально как Карл Маркс в анекдоте, сказал: «Извините, 53 байта — это была ошибка». Услышанное тогда повлекло важные изменения в проектных спецификациях первой в России сети передачи данных общего пользования с широкополосным доступом в Интернет. Именно тогда мы сформулировали принцип накрывающих волн модернизации.

 Картинка очень простая, это циклоида, разрезанная на сегменты, которые сдвигаются друг относительно друга. Мой друг Клод со второй попытки сгенерировал картинку по словесному описанию и даже сделал ее интерактивной, но сейчас это не нужно. 

Каждый сегмент циклоиды изображает «волну модернизации». Эти волны поднимаются и спадают. В идеальном мире следующая волна модернизации начиналась бы после того, как завершилась предыдущая, а может даже с разрывом между циклами, чтобы мы успели насладиться результатами предыдущей волны. Но нет же, в реальном мире следующая волна модернизации начинается до того, как заканчивается предыдущая. Если вы занимаетесь любыми естественно-искусственными процессами трансформации любых систем деятельности, эта простая картинка оказывается полезной для того, чтобы скорректировать текущий процесс модернизации и подготовиться к точке пересечения со следующим, в которой два цикла становятся равно заметными по любому параметру, который вы захотите отмечать на оси «игрек». Ну, и уроки психоистории Хари Селдона тоже никто не отменял, на более длинных циклах.

Защита от мошенничества: 2FA, финансовые лимиты, гостевой Wi-Fi и запреты на Госуслугах и другие лайфхаки.
Систематизируем цифровую гигиену: от сокращения цифрового следа до плана действий при взломе. Личный опыт построения эшелонированной обороны против мошенников.

Всем привет! Подводим итоги сентября дайджестом ключевых новостей. В прошлом месяце на npm отметились две крупных компрометации пакетов, включая первого самореплицирующегося червя. Он встряхнул всю экосистему и вынудил GitHub ужесточить правила аутентификации и публикации пакетов.

Кроме того, в Entra ID раскрыли уязвимость, которая могла привести к компрометации любого аккаунта, завязанного на эту систему идентификации. Из-за Великого Китайского Файрвола произошла беспрецедентная утечка, а августовская кража токенов Salesloft заметно выросла в масштабах. Об этом и других интересных ИБ-событиях сентября читайте под катом!

Иногда после запуска VDS/VPS проходит всего несколько минут, как в логах появляются десятки попыток входа или перебора паролей. В этом случае на защиту провайдера надеяться нельзя, потому что он отвечает только за изоляцию гипервизора, а всё, что происходит внутри гостевой ОС, — это ваша зона ответственности. Под катом собрал десять базовых правил по безопасности VDS, но лучше всего они работают в связке. 

Сегодня предлагаю тебе узнать, как одна уязвимость в веб-приложении может открыть злоумышленникам доступ к секретам всего облака. Не слабо, да!? Мы разберем механизм атаки через SSRF на службу метаданных EC2, покажем реальные примеры из практики и дадим конкретные рекомендации по защите, включая переход на IMDSv2 и принцип наименьших привилегий. Ну, что welcome на стенд!

Хабр, привет!

Вендоры и исследователи по кибербезопасности традиционно не спешат раскрывать технические детали уязвимостей сразу после их обнаружения. Причина в том, что публикация рабочего PoC (proof of concept) резко повышает вероятность массовой эксплуатации. Компании предпочитают выиграть время, чтобы пользователи успели установить обновления, и только после этого публикуют подробные отчёты.

Однако даже без раскрытия PoC можно определить уязвимости, которые представляют реальную опасность и требуют оперативной реакции.

Аналитики R-Vision регулярно отслеживают новые уязвимости, оценивают их критичность и подбирают практические рекомендации по защите. В сентябре мы выделили несколько CVE, которые уже эксплуатируются или могут представлять серьёзную угрозу .

В прошлой статье на эту тему мы разобрали некоторые эффективные меры защиты Active Directory — от включения SMB-подписи до сегментации и минимизации прав — обсудили набор базовых практик по защите AD. В комментариях мне в панамку накидали несколько дельных замечаний: исправляемся и продолжаем развивать тему защиты домена — под катом. 

В материале освещаются несколько направлений, о которых имеет смысл поговорить, если базовые защитные мероприятия уже выполнены: 

— Двухфакторная аутентификация в домене.
— Доработка защиты SMB — подпись против шифрования.
— Процесс выпуска сертификатов (PKI). 
— События Windows для Threat Hunting и корреляции в SIEM.
— Защита процесса LSASS. 

Ранее мы подробно рассмотрели семь методов встраивания информации в видеопоток. Однако не видео единым жива стеганография. В этот раз поговорим о том, какие в принципе существуют типы стегоконтейнеров и какие алгоритмы сокрытия данных к ним применяются. Также коснемся основных видов атак на бизнес с использованием стеганографии, проблем и перспектив в этой области.

Сложных формул и математических «игр разума» на сей раз не ждите: статья носит обзорный характер и адресована, прежде всего, безопасникам, которые могут столкнуться с подобными угрозами. Материал будет полезен и начинающим исследователям, которые пока только зондируют почву и еще не определились с областью для ресерча. Итак, поехали!

Антивирус, EPP, EDR и XDR… Многие слышали эти термины, но далеко не все понимают, чем они различаются и почему одного только антивируса сегодня уже недостаточно. В этой статье эксперты из Positive Technologies — Паша Попов, лидер практики по управлению уязвимостями, Сергей Лебедев, руководитель департамента разработки средств защиты рабочих станций и серверов, и Кирилл Черкинский, руководитель практики защиты конечных устройств, — разбираются с помощью наглядных аналогий в средствах киберзащиты и их роли в управлении уязвимостями.

Мы продолжаем серию обзоров правовых инициатив, проектов законов и постановлений, новых актов регулирования, касающихся вопросов информационной безопасности. В этой серии – о том, что нового в ИБ-регулировании в 3 квартале 2025 года.

Agentic Commerce Protocol (ACP) предлагает новый подход к интеграции AI-агентов в процесс покупок, и его архитектура безопасности заслуживает детального изучения. Сегодня ИИ-агенты могут выбирать, сравнивать и даже оплачивать товары. Но как не дать им выйти за рамки полномочий? ACP отвечает на этот вопрос — не запретами, а архитектурой.

Философия безопасности ACP

ACP следует принципу secure by design: безопасность встроена на всех уровнях, а не добавлена как слой.

Протокол основан на том, что продавец остаётся «системой записи» для всех заказов, платежей и налогов, а ACP обеспечивает безопасный мост между AI-агентами и существующей коммерческой инфраструктурой. Платежи по-прежнему проходят через PSP (провайдеров платёжных услуг) продавца — но с участием ИИ-агентов.