Информационная безопасность *

Все мы слышали про FraudGPT и WormGPT, и про такие атаки как Morris II, imprompter, EchoLeak. Но это все детский сад, или даже скрипткиддерство.

А что насчет использования генеративных способностей LLM в целях киберпреступности в автоматизированном режиме? Да, нарушители используют GenAI-модели для создания полезной нагрузки вируса.

BlackMamba, SkyNet, PromptLock и s1ngularity - если вы хотите узнать, что это за инциденты и какой среди них белая ворона, то я, автор канала «Борис_ь с ml» про ИБ и ИИ, приглашаю вас к прочтению.

Важным событием позапрошлой недели стало масштабное заражение npm-пакетов червем Shai-Hulud. Эта вредоносная программа нацелена на разработчиков открытого ПО. Она ставит под угрозу данные для доступа к облачным сервисам, выкладывает в общий доступ приватные репозитории. Данная вредоносная операция может быть квалифицирована как атака на цепочку поставок: взлом популярного npm-пакета приводит к компрометации множества других программных решений. На прошлой неделе специалисты «Лаборатории Касперского» подробно разобрали схему работы зловреда Shai-Hulud. Также с высокой вероятностью был определен «нулевой пациент» — первый зараженный пакет в репозитории npm.

Атака начинается с загрузки зараженного пакета из репозитория npm. После установки автоматически запускается вредоносный скрипт размером более 3 мегабайт с названием bundle.js. Он содержит набор легитимных модулей для работы с облачными сервисами Amazon и Google Cloud Platform, инструменты для взаимодействия с GitHub API, а также имеет функциональность для работы с TruffleHog, свободно распространяемой утилитой для поиска ссылок на конфиденциальные источники данных.

Привет! Меня зовут Руслан, я — инженер по ИБ. В IT-сфере работаю уже 12 лет, десять которых занимаюсь информационной безопасностью. За свою карьеру я успел поучаствовать в защите гостайны, поспособствовать появлению регионального ИБ-интегратора, защитить и аттестовать более сотни ИСПДН (информационных систем персональных данных), а также принять участие в разработке отечественного СЗИ (средства защиты информации). В тексте расскажу, как проходит обычный рабочий день специалиста по ИБ в Selectel.

За последний год ситуация с внедрением искусственного интеллекта в российских компаниях сильно изменилась. Если раньше использование ИИ в разработке ПО, включая code review и создание нового кода, носило точечный характер, то сегодня это стало массовым явлением. Однако широкое применение таких технологий создало целый список новых рисков. Прежде всего, это угрозы информационной безопасности и риски утечки данных. По мнению технического директора «Лаборатории Касперского» Антона Иванова, проблема заключается еще в том, что многие компании, в том числе российские, используют зарубежные облачные сервисы.

25 августа 2025 года компания Google объявила о «новом уровне безопасности для сертифицированных устройств Android». Для защиты против вредоносного ПО принято решение ввести обязательную верификацию разработчиков, которые подписывают Android-приложения (здесь и далее имеются в виду приложения для сертифицированных устройств с предустановленными программами Google, производители таких устройств перечислены здесь).

В данный момент все все APK-файлы в Android должны быть подписаны цифровой подписью с помощью сертификата, прежде чем будут установлены на устройство или обновлены. В будущем, что

После 22:00 у меня случилась проблема с диском U: ёмкостью 2 Гб — на нем частично исчезли файлы и папки, изначально мне показалось, что из-за аппаратного сбоя HDD, но потом я выяснил истинную ужасную причину, о которой нужно знать. Рассказываю, как я с этим боролся.

Злоумышленники часто сталкиваются с проблемой обхода антивирусных систем и Endpoint Detection and Response (EDR). Они вынуждены выбирать одну из двух тактик: обойти контроль этих систем или заставить их перестать нормально функционировать. Иногда атакующие используют уязвимые драйвера (BYOVD — Bring Your Own Vulnerable Driver).

Представьте себе ситуацию, что вам (злоумышленнику) удалось встроить собственный код прямо внутрь исполняемых файлов Windows Defender? Идеально!

Эта статья покажет вам простой метод взлома папки с исполняемыми файлами Windows Defender. Благодаря этому приёму можно перехватывать управление сервисом Defender’а, вставлять свои библиотеки, повреждать критически важные файлы и даже отключать службу. Самое главное — всё это делается с использованием стандартных инструментов самой ОС Windows, без дополнительных инструментов.

Эффективное управление парком из сотен токенов JaCarta-2 ГОСТ требует от администратора безопасности не только понимания криптографии, но и владения инструментами для автоматизации рутинных операций. Проблемы вроде заблокированных устройств, слабых PIN-кодов по умолчанию или необходимости безопасного сброса утерянных токенов встают особенно остро при масштабировании инфраструктуры.

Для решения таких задач предусмотрен специализированный инструмент — АРМ Администратора Безопасности (далее АРМ АБ). В отличие от пользовательских приложений, он позволяет применять массовые операции и задавать строгие правила через сценарии. В этой статье мы детально разберем работу с АРМ АБ, основываясь на технической документации и практическом опыте. Разберем тонкие моменты настройки, которые не очевидны из официальной документации. Основное внимание уделим не перечислению функций, а разбору рабочих сценариев, их тонкостям и отличиям в зависимости от версии СКЗИ «Криптотокен 2 ЭП».

Когда вы оказываетесь за границей — в отпуске, командировке или после релокации — может неожиданно выясниться, что ваш привычный Netflix «похудел». Одни сериалы и фильмы исчезли, другие появились, а некоторые премьеры выходят только в США или Великобритании. Всё дело в региональных лицензиях: каталоги у Netflix различаются по странам, и то, что доступно в Лондоне или Нью-Йорке, может быть недоступно в Москве, Белграде или Берлине.

На форумах и в блогах чаще всего советуют использовать «специальный VPN для Netflix». Но у такого решения есть очевидные проблемы: коммерческие VPN-сервисы работают на ограниченных пулах IP, которые быстро попадают в базы «подозрительных адресов» и блокируются. Ещё хуже, если попытаться просто направить клиент Netflix через произвольный прокси или VPS в дата-центре — такие IP легко вычисляются по ASN, обратному DNS и истории использования, и блокируются ещё быстрее.

Cloudflare WARP устроен иначе. Его официальная цель — улучшить приватность и ускорить соединение, а не предоставлять смену геолокации. Поэтому стриминговые сервисы обычно не блокируют WARP: он не воспринимается ими как «сервис обхода», а его IP-адреса выглядят как нормальные резидентские, а не как дата-центровые.

Из коробки WARP всегда подключается к ближайшему узлу Cloudflare, фактически «садя» вас в вашей текущей стране. Но если направить трафик WARP через SOCKS5-прокси (например, Dante) в США или Великобританию, именно этот прокси станет точкой выхода. Для WARP это выглядит так: он видит, что вы пришли с адреса прокси, определяет страну этого адреса и подключает вас к своей инфраструктуре именно там. В итоге Netflix будет считать, что вы находитесь в США или UK, и покажет «американский» или «британский» каталог. Другими словами, используя прокси, мы можем «зайти» в WARP уже в нужной нам стране — а не в той, где реально находимся.

Привет, Хабр! Разбираемся вместе с Андреем Пименовым, аналитиком данных R&D-лаборатории Центра технологий кибербезопасности ГК «Солар», как происходит ИИ-детекция по звуку и клавиатуре.

Представим ситуацию: злоумышленник втирается в доверие к сотруднику, получает пароль, обходит SMS-верификацию, и — та-дам! — ваши корпоративные сервисы теперь рассылают коллегам фишинговые ссылки. Вероятен сценарий? Конечно!

Так, в 2020-м так взломали Twitter (те самые твиты от верифицированных пользователей со скамом). А в случае с SolarWinds, крупной американской IT-компанией, хакеры месяцами работали в системах, притворяясь легитимными пользователями.

В современной корпоративной среде количество паролей и ключей стремительно увеличивается, и управление секретами становится одной из основных задач в области кибербезопасности. По своей сути, управление секретами — это набор правил и инструментов, позволяющих контролировать доступ к конфиденциальной информации. 

В более точном определении, это процесс централизованного хранения, управления и ротации конфиденциальных данных, которые приложения и сервисы используют для доступа к критически важным ресурсам. К таким секретам относятся пароли, SSH-ключи, API-ключи и ключи шифрования, токены доступа, сертификаты и любые другие параметры, обеспечивающие безопасность инфраструктуры.

По мере роста бизнеса ИТ-отделы и DevOps-команды сталкиваются с ситуацией, когда секретов становится слишком много, их сложно структурировать, контролировать и защищать. В реальных проектах секреты живут в конфиг-файлах, переменных окружения, скриптах, иногда в открытых репозиториях.

В этой статье мы расскажем, как на практике решали эти задачи с помощью Пассворка, и как теперь автоматизируем всё: от ротации до интеграции с пайплайнами.

Привет! Нет, вы не ошиблись — это действительно историческая статья. Но не о Риме, а о статическом анализе кода. Хотя... чем он хуже? У него тоже есть свои императоры-родоначальники, войны с багами и даже падения (пожалуйста, не запускайте анализ на некомпилируемом коде).

Я долго не понимал, почему «Размышление о Римской империи» стали одним из самых популярных мемов прошлого года, пока сам не начал ловить себя на навязчивых мыслях о статическом анализе. Разобравшись в его истории, я решил поделиться с вами этим исследованием. 

Меня зовут Владислав Столяров, я руководитель команды анализа безопасности продуктов в мультипродуктовой экосистеме МойОфис. Кстати, идея статического анализа напрямую связана с компиляторами (разбор кода, как никак). Поэтому уместно вспомнить, что недавно мы открыли исходный код собственного компилятора tsnative, позволяющего использовать в одном приложении сразу два языка — TypeScript и C++. Скачать и поисследовать можно по ссылке (лицензия Apache 2.0).

А теперь вернёмся к истории статического анализа. Пойдём по порядку и и попробуем восстановить хронологию его становления...

В данной статье будет рассмотрена еще одна известная уязвимость в Power Dependency Coordinator (pdc.sys) - CVE-2024-38107

По информации производителя, она эксплуатировалась in-the-wild, исправление для нее было выпущено в августе 2024

https://nvd.nist.gov/vuln/detail/cve-2024-38107

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38107

Тип уязвимости - Use-After-Free (UAF)

В предыдущей статье был рассмотрен интерфейс pdc.sys, его взаимодействие с клиентами, а также проанализирована уязвимость CVE-2025-27736. Многие упомянутые там особенности работы драйвера будут важны для понимания этой статьи, поэтому рекомендуется ознакомится с ее вводной частью (которая относится к ALPC и регистрационным сообщениям).

Рынок жилой недвижимости давно перестал быть «тёмным лесом», где у одних есть закрытые базы, а другие вынуждены искать объявления в газетах.

Сегодня все источники открыты: ЦИАН, Авито, Яндекс.Недвижимость, домовые чаты, Telegram-каналы. Более того, многие айтишники пишут свои парсеры, строят фильтры и ранжируют варианты по критериям — цена, площадь, локация, год постройки дома.

Но вот проблема: алгоритм отбора не решает главного вопроса:

Как из десятков «подходящих» объектов выбрать те, куда реально стоит ехать на просмотр, а тем более — вносить задаток и тратить деньги на юридическую проверку?

Неправильный выбор на этапе бронирования почти всегда оборачивается потерей ресурсов: времени, нервов, денег.

Почему «потом отдам юристу на проверку» не работает

Сомнительный подход: «Сначала выберу квартиру, а потом отдам юристу». На практике это неэффективно.

• Хороший юрист работает только за оплату. Даже ДомКлик не начнёт проверку без предоплаты.
• Если кто-то «проверяет бесплатно», то возникает вопрос: зачем? Скорее всего, перед вами агент, у которого цель — не глубокая экспертиза, а побыстрее довести до задатка. Глубокие экспертизы дорогие и просто так специалист не будет вкладываться свои деньги.

Именно поэтому важно фильтровать объекты ещё до привлечения специалистов. Это экономит десятки и сотни тысяч рублей. А так же кучу времени и нервов.
Ранее я снимал видео про то, что нужно учитывать при подборе квартиры.

Привет, Хабр! На связи @mirez, в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных в сегменте Standalone на Standoff Hackbase. Нашей целью была система контроля посетителей PassOffice.

Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода.

Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.

Привет, Хабр. Меня зовут Дмитрий Куколев. Я руководитель VK SOC. В этой статье я расскажу о мерах обеспечения надежности и защиты VK Cloud, о собственных ИБ-продуктах и новых сервисах безопасности для пользователей нашего облака.

С момента написания на tcl/tk удостоверяющего центра CAFL63 и утилиты cryptoarmpkcs для работы с электронной подписью меня не покидала мысль, что неплохо бы оформить их как облачные сервисы. Я постоянно смотрел в сторону проекта CloudTk.

Так или иначе, вайб-кодинг становится, — а где-то уже стал, — частью процесса разработки программного кода. Команда PVS-Studio видит в этом новые задачи для статических анализаторов по поиску ошибок в коде, возникающих при использовании ИИ-ассистентов и т.п. Первый шаг — собрать примеры реальных дефектов для изучения.

Отношение к вайб-кодингу и его вариациям неоднозначное. Я разделяю мнение, что использование сгенерированного кода, особенно без полного его понимания программистом, плохо скажется на надёжности и безопасности приложений. Так что работы у статических анализаторов только прибавляется :)

AI-сгенерированный код, возможно, будет содержать новые непривычные виды ошибок. Соответственно, чтобы их изучить и научиться выявлять, необходимо сначала собрать их коллекцию.

IoT-сети проектировали для миллионов устройств, но они захлебываются уже от тысяч. Когда в нашем районе на секунду моргнул свет, 10 000 умных счетчиков одновременно потеряли связь и начали переподключаться. Три четверти так и не смогли выйти в эфир. Проблема в RACH — канале случайного доступа. При массовых подключениях он превращается в узкое горлышко, куда каждый пытается прорваться первым.

Меня зовут Максим Князев, старший системный инженер К2 Кибербезопасность, и я натренировал пять ИИ-агентов для управления этим хаосом. Один прогнозирует пики нагрузки, другой распределяет временные слоты, третий управляет мощностью передачи, четвертый распределяет устройства по типам и пятый оптимизирует расход батарей. В итоге количество коллизий упало с 26% до 7%, энергопотребление на 35%, а успешность подключений выросла до 96% по сравнению с использованием статического метода без агентов. Под катом рассказываю, как это работает.

Привет, Хабр!

Меня зовут Михаил Васильев, я старший специалист по машинному обучению в компании Makves (входит в группу компаний «Гарда»). Эта статья — вторая в цикле, посвященном поиску аномалий. В первой статье мы поговорили о том, что такое аномалии и почему их сложно искать, а также по шагам разобрали алгоритмы HBOS и ECOD.

Сегодня мы разберем еще один интересный алгоритм: Isolation Forest, а также немного углубимся в проблематику задачи.