Информационная безопасность *

Инсайдерские угрозы — одни из самых сложных для обнаружения. Проблема в том, что они исходят от своих же сотрудников, которые уже имеют законный доступ к системам. Специалисты по безопасности знают об этих рисках, но им часто не хватает качественных данных для обучения систем, которые могли бы улавливать едва заметные признаки вредоносного поведения.

Делимся переводом статьи Helpnet Security о проекте, который обучает службу ИБ обнаруживать инсайдеров благодаря ИИ-симуляции. Под катом – о том, как это работает и насколько эффективно.

Как работает хэш-функция? На вход подаются произвольные данные — слово, веб-сайт, файл или ДНК человека — а на выходе получаем 16-теричное число (hex). Очень удобно, чтобы стандартизировать различные объекты, присвоить им уникальные ID, цифровые отпечатки.

К сожалению, отпечатки иногда получаются одинаковыми — происходят коллизии.

Коллизии хэш-функций похожи на парадокс дней рождения, который недавно вызвал бурные дебаты на Хабре и на HN. Почему люди так горячо спорят? Наверное, потому что человеческая интуиция иногда не совпадает с математическими формулами. Другими словами, язык математики ≠ человеческому.

Интересно сравнить разные хэш-функции с математической точки зрения. Насколько часто встречаются «парадоксы»?

За последние дни количество моих знакомых и друзей, пострадавших от угона их телеграм-аккаунта, значительно выросло. Схема далеко не новая, я даже считал, что уж про нее слышали все, но оказалось это не так, и память людей довольно коротка.

В этой статье мы разберем двухэтапную схему с угоном и монетизацией tg-аккаунтов, а именно:

— Как именно происходит угон? Важен ли нарратив, используемый в социальной части?
— Достаточно ли только одной ошибки пользователя?
— Как именно аккаунты монетизируют?
— В чем главные фишки автоматизации работы злоумышленников на базе нейросетей?
— Как именно злоумышленники противодействуют жертве и попыткам вскрыть обман?
— Почему схема настолько успешна и что можно с этим сделать?
— Применима ли она к иным мессенджерам?

Интересно? Добро пожаловать под кат, а если посчитаете полезным — распространите.

Как вы храните данные? Используете файловое хранилище, S3, базы данных, держите файлы прямо на сервере, храните все локально на HDD, SSD или даже флешке — вариантов масса, на любой вкус и цвет. В этой статье я предлагаю вспомнить, как развивалось хранение информации и как мы прошли путь от наскальной живописи до приватного S3. Это поможет разобраться, какую технологию лучше использовать для ваших задач. 

Привет, Хабр!

В прошлый раз мы написали свой стегоанализатор и научились находить следы простого LSB-внедрения. На первый взгляд может показаться, что задача решена: есть алгоритм, есть анализатор, запускаем проверку и получаем ответ. Но в реальности всё гораздо сложнее. Стегоанализ — это не спринт, а бесконечная гонка вооружений, в которой тот, кто прячет, почти всегда на шаг впереди.

Некоторые языки программирования (например, Go и Zig) позволяют собрать приложение без каких-либо зависимостей, в том числе отвязаться от libc, тем самым создание distroless-контейнера на Go становится тривиальной задачей. Но эта же особенность может быть применена не только для создания контейнера, но и для запуска такого приложения в VM или на реальном хосте не используя какой-либо дистрибутив Linux, а используя только ядро Linux и само приложение, построенное с помощью Go (или, например, Zig). Такая возможность позволяет избавиться от дополнительных зависимостей, которые добавляют потенциальные риски с точки зрения атаки на цепочку поставок (supply chain attack).

Моя вторая статья — анализ сетевых запросов MAX и почему этот анализ — моё самое большое разочарование! Не ожидал я такого конечно, но описал все как есть.

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности: клиент Windows Server 2025 уже требует подпись SMB-пакетов. Всё, что не умеет — идёт мимо кассы.

В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения.

Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет. Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт.

Привет, Хабр! Мы — команда проекта ChameleonLab, и это история о том, как мы начали создавать полномасштабный образовательный центр по стеганографии и криптографии, отправной точкой которого стал наш desktop-инструмент.

По просьбам пользователей мы начали трансформацию в онлайн-сервис. Расскажем, как мы создали сайт на собственном микро-движке, который работает на JSON-файлах, почему отказались от популярных CMS и как планируем переносить сложную логику с Python в веб.

Как и у любого пользователя Андроид у меня есть аккаунт в Гугле.
А значит, кроме всего прочего, есть аж целых 15 гигабайт облачного хранилища, где можно что‑то хранить, на случай всяких внезапных проблем с локальным оборудованием.

Традиционно, для этого используется либо приложение Google Drive, либо веб‑интерфейс. Но ни то, ни другое не очень‑то удобно на компьютере, особенно когда привык просто работать с произвольными файлами, которые куда‑нибудь копируются. И тем более — плохо подходит для автоматизации.

Второй возникающий вопрос — всё, что хранится не в вашем собственном облачном хранилище — в принципе доступно кому‑нибудь не вам. И хорошо, если ваши личные документы читает какой‑нибудь бот, для которого вы — всего лишь один из миллиардов анонимусов, хуже если информация утечет куда не надо и попадет кому не нужно.

Вот эти две проблемки попробуем решить.

29 сентября исполнится четыре года со дня ареста Ильи Сачкова. Вроде бы споры вокруг этой истории поутихли, но каждый раз, когда речь заходит о ней в профессиональном кругу, тема оживает и вызывает живой отклик. Слишком много неясного и противоречивого, слишком серьёзные вопросы затронуты.

Для меня это стало поводом взглянуть шире: не только на само дело, но и на ту этическую ловушку, в которую попадают специалисты по кибербезопасности. Как честно работать в глобальном сообществе, при этом оставаясь гражданами конкретной страны, со своими законами и ограничениями? Где искать баланс? Какие ориентиры появятся в ближайшем будущем — и что нам даёт новый международный Code of Professional Conduct от ISC2?

Привет! Расскажу, как не-хакеру удалось решить CTF таски и залутать призы на сцене главной хакерской конференции OFFZONE.

Меня зовут Пётр Покаместов, я руковожу проектами по пентесту в Singleton Security — общаюсь с клиентами, распределяю загруз коллег, провожу презентации отчётов, а также занимаюсь развитием партнерского направления. Когда есть кислород от проектов - люблю покреативить: сделать компании стикеры и т.д. Постоянно экспериментирую с различными нейронками, так как интересно увидеть возможности, границы, области применения и наблюдать их развитие.
Параллельно преподаю в Бауманке форензику. До прихода в Singleton руководил лабораторией криминалистики и eDiscovery.

C учетом креативных хобби, обожаю ходить на конференции и не мог пропустить Offzone.

Вечером после первого дня офзона пришло уведомление от бота Wildberries, что если хотите — можете решить наши CTF задания и написать коннектор.

В своей первой статье «Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*» я сравнил резрешения, которые запрашивает приложение MAX для Android с разрешениями, которые запрашивают Telegram и WhatsApp.

18 сентября вышла новая версия MAX — 25.11.0 и вы знаете, произошло то, чего я не ожидал. MAX стал запрашивать 50 разрешений, вместо 59, т. е. на 9 меньше!

Давайте посмотрим, какие же разрешения убрали разработчики.

Представьте, что дороги в вашем городе заменили за ночь: больше нет светофоров на каждом перекрёстке, машины едут быстрее, а пробки исчезают сами собой. 

Так же внезапно (и не так уж безболезненно) интернет получил новую «дорожно-транспортную» логику: QUIC и HTTP/3. В этой статье разберём, что конкретно дают HTTP/3/QUIC веб- и мобильным приложениям, где эффект заметен сразу, а где — только после тщательного теста. Детали под катом.

Привет! Меня зовут Иван Преображенский, я руковожу группой молодых и талантливых юристов, отвечающих за операционное направление в Positive Technologies. Любой коллега может прийти к нам за правовой помощью или советом: какой договор необходимо использовать для защиты компании и работников, нужно ли согласовывать использование того или иного визуала с правообладателем, как правильно соблюдать конфиденциальность в работе с заказчиком, где и какой потребуется добавить дисклеймер. И вопросов этих становится всё больше с каждым даже не годом, а месяцем. В этой статье расскажу про ключевые моменты, связанные с работой современного IT-юриста.

Давным-давно, в далекой галактике хакинга… была форма входа, построенная на Angular. Эта история о том, как я смог украсть учетные данные, используя инъекцию шаблона Angular, XSS-уязвимость, и про обход CSRF защиты. Настоящий целевой сайт раскрыть нельзя, поэтому назову его redacted.com.

Привет! Меня зовут Кирилл, я руковожу ИБ в Ozon. Уже 15 лет занимаюсь ИБ, успел поработать в телекоме, в медиабизнесах, участвовал в построении SOC, AppSec, строил ИБ с нуля. В общем, успел много повидать, а сегодня расскажу, как, будучи CISO, снова оказался на позиции специалиста первой линии SOC.

Мы в Ozon давно и плотно работаем с ИБ. Многими кейсами, знаниями и практиками уже делились на Хабре, но продолжаем регулярно проводить митапы, выступать на конференциях, поскольку собрали большую команду с крутой экспертизой.

В этой статье расскажу, как мы строили первую линию SOC, зачем отправляем туда действующих сотрудников на стажировку. Какие очевидные и неочевидные выводы можно сделать, отправляя сотрудников на вторую линию, но сначала разберёмся с SOC и некоторой терминологией вокруг.

Для проведения тестирования безопасности приложения существуют различные *AST инструменты. Прежде всего, это средства для статического тестирования безопасности приложений (SAST), а также средства динамического анализа (DAST). В этой статье мы рассмотрим еще один способ анализа приложений — IAST. Мы сравним этот способ со статическим и динамическим анализом и поговорим о его достоинствах и недостатках.

В прошлой статье «Головоломка на 1000 BTC» рассказывалось об удивительных кошельках с дармовыми биткоинами, владелец которых буквально хочет, чтобы вы их себе забрали. И люди так это и делали до тех пор, пока не возникли криптопаразиты — хакеры, которые уводили добытые призы прямо из под носа счастливчиков.

О том, как это делается и как это избежать — сегодняшняя статья.

Привет, Хабр! Сегодня мы поговорим о боли. О той самой боли, которая возникает в 3 часа ночи, когда звонит дежурный инженер и говорит, что «всё лежит». Веб-приложение не отвечает, а единственный способ что-то сделать — это дать ему RDP-доступ на сервер с правами локального, а то и доменного администратора. И всё это ради одной единственной задачи: перезапустить пул приложений в IIS.

Знакомая ситуация? Мы даем избыточные права, потому что это быстро и просто. Мы даем «ключ от всего города», чтобы человек мог открыть одну дверь. В этот момент мы открываем ящик Пандоры: случайная ошибка, запущенный по незнанию скрипт, а в худшем случае — скомпрометированная учетная запись, которая становится для злоумышленника плацдармом для захвата всей инфраструктуры.

Проблема в том, что традиционный подход к администрированию Windows-систем часто ставит нас перед ложным выбором: либо безопасность, либо операционная эффективность. Либо мы закручиваем гайки так, что никто не может работать, либо раздаем админские права направо и налево, надеясь на лучшее.

Но что, если я скажу вам, что этот выбор — ложный? Что существует технология, встроенная в Windows Server, которая позволяет нам совместить гранулярную безопасность, полный аудит и удобство автоматизации? Технология, которая превращает администрирование из «искусства» в точную инженерную дисциплину.

Имя ей — Just Enough Administration (JEA), и в связке с PowerShell Remoting она способна кардинально изменить ваш подход к управлению серверами.

Эта статья — не просто теоретический обзор. Это пошаговое, выстраданное на практике руководство по внедрению JEA в реальной продакшен-среде на Windows Server 2019/2022. Мы пройдем весь путь: от понимания фундаментальных принципов до создания, развертывания и использования защищенных конечных точек (endpoints), решая по пути реальные проблемы.