Информационная безопасность *

В рамках празднования Дня среднего профессионального образования в столице прошел фестиваль «СПОфест». Его провели на ИТ-площадке «Кибердом». Участниками мероприятия стали 400 студентов из столичных колледжей, представители компаний в сфере ИТ и кибербезопасности. Об этом сообщили в пресс-службе столичного Департамента образования и науки.

Центральным событием фестиваля стал финальный этап чемпионат по CTF среди студентов. В отборочном этапе приняли участие 18 команд из 10 московских колледжей. По итогам испытаний в заключительный тур вышли восемь сильнейших. Они решали реальные кейсы по информационной безопасности, проходили испытания по анализу трафика, выполняли задания по криптоанализу и реверс-инжинирингу.

Победителями стали команды трех колледжей: третье место заняла команда OFLN41 колледжа связи № 54 имени П.М. Вострухина, второе — команда «На завод!» политехнического колледжа № 8 имени дважды Героя Советского Союза И.Ф. Павлова, а первое — команда BLVK колледжа современных технологий имени Героя Советского Союза М.Ф. Панова.

«“СПОфест” — это не только площадка для общения и профессиональных проб, но и пространство для соревнований, где студенты колледжей могут проверить свои силы в сложных и актуальных направлениях. Не менее ценно, что ребята проводят мастер-классы, делятся знаниями и опытом, вовлекая в профессию новых участников. Такие проекты вдохновляют студентов и доказывают, что СПО — это уверенный шаг в будущее», — отметила Виктория Кожан, директор колледжа автоматизации и информационных технологий № 20.

Представляемый глоссарий терминов для руководителя информационной безопасности (CISO) создан как рабочий инструмент, обеспечивающий единое понимание ключевых концепций в области управления информационной безопасностью. Унификация терминологии крайне важна для эффективного взаимодействия между техническими специалистами, менеджментом и бизнес-подразделениями, а также для построения прозрачной и соответственной требованиям системы защиты информации.

Для углубленного изучения каждого из терминов и связанных с ними практик рекомендуется обращаться к следующим авторитетным источникам:

За последние два года ландшафт киберугроз изменился кардинально. Мы наблюдаем парадоксальную ситуацию: компании инвестируют в безопасность больше чем когда-либо, но количество успешных атак продолжает расти. Когда каждый день приносит новые угрозы, стандартного антивируса и фаервола недостаточно. Современная защита требует многоуровневого подхода — от сетевого периметра до систем виртуализации. Разберем ключевые технологии, которые должны быть в арсенале каждого сисадмина.

Сетевой уровень: NGFW и IDS как основа защиты

Next-Generation Firewall (NGFW) — это эволюция традиционных фаерволов. В отличие от предшественников, NGFW анализирует трафик на уровне приложений, а не только по портам и протоколам. Например, можно заблокировать передачу данных через мессенджеры или доступ к фишинговым сайтам, даже если они используют стандартные HTTPS-порты.

Системы обнаружения вторжений (IDS) дополняют NGFW, выявляя аномальную активность. Suricata в связке с SecurityOnion позволяет детектировать:

Привет, Хабр! Меня зовут Алексей Солдатов, я выпускник магистратуры «Системный анализ и математические технологии» НИУ ВШЭ. Хочу поделиться с вами опытом исследования атак на модели машинного обучения под руководством Павла Литикова, архитектора ИБ-подразделения AI VK, в рамках мастерской по безопасности ИИ в Инженерно‑математической школе НИУ ВШЭ и VK.

Модели машинного обучения сегодня применяют в самых разных сферах жизни людей. Однако вопросы безопасности зачастую остаются на периферии внимания разработчиков и инженеров. Для компании VK, в инфраструктуре которой функционируют тысячи ML-моделей, особенно актуальна задача автоматизации и упрощения процессов обеспечения их безопасности.

Наша команда продолжает работу над проектом RnD OSS-инструментов для MLSecOps, целью которого является систематизация открытых инструментов и подходов к обеспечению безопасности систем машинного обучения. Сейчас мы сосредоточены на изучении и воспроизведении атак различной природы на ML-модели. В рамках экспериментов протестировали инструменты для атак на модели разных модальностей: текстовых, табличных, визуальных и аудиоданных. Средства защиты планируем рассмотреть на следующих этапах проекта. Этот материал — промежуточный обзор задач проекта, его структуры и первых полученных результатов анализа атакующих подходов.

Представьте: вы садитесь в такси. У водителя есть права — значит, формально он умеет водить. Но сможете ли вы предсказать, как он поведет себя в экстренной ситуации? Вряд ли. С оценкой сотрудников то же самое: формальная проверка есть, но глубины часто не хватает.

Как понять, что специалист действительно хорош? Как его оценивать и развивать? И можно ли делать это не на глаз? Отвечаем на эти и другие вопросы. 

Здравствуйте, уважаемые читатели Хабра и любители вирусного анализа!

Сегодня хочу поделиться своим дебютным(на Хабре) разбором простенького семпла шелла под Linux.

Начнём.

Откроем в файл в DIE. Семпл для 32-битной UNIX системы, не упакован.

Некоторые владельцы сайтов жалуются на большое количество ботов, которые создают нагрузку на серверы, особенно краулеры для LLM (ИИ). По информации аналитического отчёта Fastly, краулеры, скраперы и фетчеры иногда создают нагрузку на сайт до 39 тыс. запросов в минуту.

В 2025 году нагрузка от скраперов выросла на 87%, причём основной трафик идёт от RAG-скраперов, а не для первичного обучения моделей.

Для руководителей и специалистов, работающих на стыке кибербезопасности и бизнеса: BISO, CISO, владельцев продуктов, руководителей направлений (BU), финансовых директоров и всех, кто принимает решения о рисках и инвестициях в защиту.

Главная идея роли BISO — переводить безопасность на язык бизнеса и обратно, помогая принимать решения, где контроль ≈ ценность/риск для конкретного бизнес-процесса. Эту идею закрепляют многие отраслевые описания роли BISO как «моста» между ИБ и бизнесом, а не дубля CISO.

Синхронно с Oracle мы выпустили Axiom JDK Pro 25 — новый долгосрочный релиз российской Java-платформы. Это LTS-версия с поддержкой до 2034 года — на год дольше, чем Oracle JDK 25. Для бизнеса это гарантия, что инфраструктура и критичные сервисы будут жить спокойно много лет. Для разработчиков — шанс сразу прыгнуть в JDK 25 и работать с новыми инструментами без страха, что их скоро «снимут с поддержки».

Под капотом — больше 2800 изменений в ядре. Мы прогоняем каждую сборку через 160 тысяч тестов на десятках аппаратных конфигураций, так что релиз выходит не «как есть», а уже готовым к российским сценариям. И важно — Axiom JDK 25 доступен в OpenIDE.

Итак, что внутри:

Обзор на существующие алгоритмы гомоморфного шифрования, сложности реализации на вычислителях общего назначения и архитектуры аппаратных ускорителей.

В современных корпоративных средах учетные записи Active Directory являются полезным подспорьем для атакующих. Независимо от того, участвуете ли вы в Red Team проекте, работаете специалистом по тестированию на проникновение или имитируете действия реальных злоумышленников, добыча учетных данных является ключевым этапом для успешного повышения уровня привилегий, расширения поверхности атаки и устойчивого закрепления. Но каким образом злоумышленники собирают эти учетные данные в реальных условиях? Представляем вам NetExec (nxc) — мощный современный инструмент пост-эксплуатации, наследник популярного инструмента CrackMapExec. NetExec разработан для автоматизации и упрощения процесса сбора учетных данных, делая его одним из наиболее эффективных инструментов для Red Team и специалистов по информационной безопасности, работающих в среде Windows и Active Directory.

Когда я общаюсь с начинающими специалистами по информационной безопасности, рано или поздно диалог доходит до темы сертификаций в этой сфере — какие стоит сдавать до поиска работы, к каким присмотреться на первой работе и так далее Поэтому, я решил упорядочить свои знания по данному вопросу и собрать их в единую статью. Боюсь, в моих знаниях тоже есть пробелы, так что, просьба дополнить статью в комментариях.

Давайте сначала определимся с типами сертификаций (понятно, что это всё неофициально, но так, просто, будет удобнее).

Во‑первых, я бы разделил сертификаты на вендорские (которые показывают ваше знание продукции конкретного вендора) и общие (которые показывают ваши знания ИБ в целом или какой‑то её области, типа, пентеста).

Во‑вторых, стоит учитывать региональную специфику. Особенно, если вы планируете работать в разных странах. Я бы условно разделил это на РФ и международный рынок (опять же, «международный рынок» — очень общее понятие, в каждой стране свои особенности, и вот это вот всё, но в такие тонкости вдаваться — это отдельная статья по каждому региону нужна).

Сейчас у нас много возможностей и инструментов для исследования различных девайсов — те же приложения для эмуляции вроде QEMU позволяют создавать прекрасную «песочницу» из любого компьютера. К чему это я? Не так давно я решил изучить прошивку ReadyNAS от NetGEAR. Сам девайс — хорошая «рабочая лошадка», меня все устраивало. Но захотелось посмотреть, на чем такие гаджеты работают.

Посмотрел и не зря. Оказалось, что разными моделями ReadyNAS в рамках одной аппаратной архитектуры управляет прошивка на базе Linux — ReadyNAS OS. Причем она доступна для свободного скачивания на сайте производителя. Как по мне — отличная возможность ее изучить и проверить, можно ли запустить такую ОС через открытую систему эмуляции и виртуализации QEMU. Погнали!

Привет! Я Чернышов Юрий, к.ф.-м.н., доцент УрФУ, руководитель исследовательского центра UDV Group (компания разработчик ПО для ИБ в Екатеринбурге).

17-19 сентября меня пригласили принять участие в круглом столе “Современные вызовы в безопасности AI и пути их решения”, который являлся частью международного форума “Kazan Digital Week - 2025” в Казани. Совместно с коллегами из фонда «Сколково», «Яндекса», «Телеком Интеграции», Банка ПСБ, компании «Фишман» и компании «Аватек» обсудили актуальные вопросы безопасности инновационных технологий и решений с применением ИИ. Участников было много, по сути я ответил только на пару вопросов ведущего (ниже). Слушая коллег и обсуждая уже после мероприятия эту важную тему — фиксировал мысли и заметки, которые, после незначительного оформления оставлю здесь.

Некоторые уязвимости, связанные с повреждением памяти, невероятно сложны для эксплуатации. Они могут вызывать состояния гонки, приводить к сбоям системы и накладывать разные ограничения, которые усложняют жизнь исследователя. Работа с такими «хрупкими» багами требует значительно больше времени и усилий. CVE-2024-50264 в ядре Linux — как раз одна из таких сложных уязвимостей, которая получила премию Pwnie Award 2025 в категории «Лучшее повышение привилегий» (Best Privilege Escalation). В этой статье я представлю свой проект kernel-hack-drill и покажу, как он помог мне разработать прототип эксплойта для уязвимости CVE-2024-50264.

Всем привет! Разбираем ключевые CVE ушедшего месяца. В сентябре звездой стала раскрытая уязвимость в Azure Entra ID: токены от бэкенда плюс легаси API с отсутствием их валидации позволяли злоумышленнику получить доступ к любому аккаунту с Entra ID.

Конечно, ни месяца без критических уязвимостей от Cisco: в IOS и IOS XE переполнение буфера в протоколе SNMP, а в Cisco ASA и FTD — в веб-сервере VPN; обе под произвольный код. Уязвимостями под RCE также отметились продукты от Broadcom, брандмауэры компании WatchGuard Firebox и устройства от Samsung с версиями Android от 13 по 16. Обо всём этом и других интересных CVE сентября читайте под катом!

Каждый может за 60 минут сделать своё MDM (Mobile Device Management) решение и удалённо управлять мобильным устройством. Такие продукты обычно лицензионные, при этом не всегда отечественные. В статье — инструкция, как его сделать самому.

Продолжаем серию статей о взломах ИИ. В начале 2025 года исследователи Pillar Security обнаружили новый вектор атаки, который переворачивает представление о безопасности AI‑ассистентов вроде GitHub Copilot и Cursor. Под видом безобидных конфигурационных файлов — тех самых, что задают ИИ правила написания кода — хакерам удалось протащить бэкдоры, вызвав цепную реакцию утечек и ошибок. Давайте разберемся, как безобидный файл с «правилами» превратился в оружие против цепочек поставок.

Команда JavaScript for Devs подготовила перевод статьи о том, почему JavaScript-сообщество снова проигнорирует шанс исправить фундаментальные проблемы своей экосистемы после крупнейшей атаки на цепочку поставок. Автор предлагает здравый план — от стандартной библиотеки до новых практик управления зависимостями, — но считает, что индустрия снова ограничится символическими жестами.

Привет Хабр!

Для организации удалённой работы и технической поддержки многие компании продолжают использовать проверенные, но морально устаревшие технологии — RDP и VNC. Несмотря на широкое распространение, эти протоколы несут серьёзные риски для информационной безопасности, особенно критичные в современных условиях.

Ключевые проблемы традиционных решений:

Основной недостаток RDP и VNC — их уязвимость. Стандартные порты (3389 для RDP, 5900 для VNC) легко обнаруживаются при автоматическом сканировании. Смена портов обеспечивает лишь минимальную защиту от массовых атак, но не предотвращает целевое воздействие. Фундаментальные ограничения протоколов усугубляют ситуацию: базовый VNC не поддерживает шифрование трафика, а RDP допускает откат к небезопасным алгоритмам шифрования.

Слабая аутентификация как вектор атаки:

Большинство реализаций VNC и RDP не поддерживают многофакторную аутентификацию, что делает их уязвимыми к перебору паролей и использованию скомпрометированных учётных данных. Исторические уязвимости, такие как CVE-2019-0708 (BlueKeep), демонстрируют катастрофические последствия эксплуатации устаревших протоколов.

Человеческий фактор и сложность администрирования:

Настройка безопасности требует высокой квалификации, а в унаследованных системах часто встречаются ошибки конфигурации. Средства защиты могут отключаться случайно или намеренно, а в крупных инфраструктурах системы безопасности часто развёрнуты фрагментарно.

Современные требования к безопасности:

Актуальные решения должны обеспечивать: