Информационная безопасность *

В представленных на прошлой неделе новых смартфонах Apple улучшена защита от кибератак с использованием стратегий повреждения данных в оперативной памяти. Уязвимости, приводящие к переполнению буфера или повторному использованию участка оперативной памяти после освобождения, станет гораздо сложнее эксплуатировать благодаря технологии Memory Integrity Enforcement. Об этом компания Apple сообщает в подробной технической статье. Там утверждается, что устройства нового поколения будут гораздо лучше защищены против даже наиболее сложных таргетированных атак. 

Привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили 8 трендовых уязвимостей.

В этой статье мы расскажем про категории OWASP Top Ten 2021 через призму срабатываний Java анализатора PVS-Studio. Так что, если у вас есть желание посмотреть на возможные паттерны уязвимостей в Java коде или узнать, что из себя представляют категории OWASP Top Ten, приятного чтения!

Семь специалистов, семь Excel‑таблиц, и десятки требований регуляторов, которые обновляются со скоростью света.Каждая проверка — это гонка с дедлайном, хаос в переписках и отчаяние в глазах команды. Дошло до того, что отпуск одного сотрудника мог парализовать работу всей службы ИБ. Перемены не приходят в одночасье, обычно осознание того, что нужно что‑то менять приходит слишком поздно — а именно, после первого серьезного инцидента, когда урон уже нанесен.

Когда мы думаем об информационной безопасности в банках, чаще всего представляется гигантская организация с отдельным ситуационным центром, огромным штатом SOC‑аналитиков, миллионами в бюджете, заложенными на киберзащиту и командой проектных менеджеров, которые годами тестируют и внедряют системы и подходы. Но реальность не всегда является такой.

Сотни небольших банков в России и странах СНГ работают в совершенно иных условиях: команда ИБ — это несколько специалистов, бюджет — строго ограничен, а требования регуляторов — те же самые, что и для топ-10 игроков рынка.

Наш кейс — про один такой небольшой банк в России. Всего семь сотрудников в службе ИБ. И при этом — ГОСТ 57580, методические рекомендации 3/8/12, 72 форма отчетности и десятки других обязательных требований, которым нужно соответствовать.

$199 за файл.

Не за программу. Не за базу данных. Даже не за документ с полезной информацией. За файл в несколько килобайт зашифрованного текста, который говорит браузеру «этот сайт действительно тот, за кого себя выдает».

На многих предприятиях остаются всё ещё работать старые версии операционных систем windows, которые не обновляются, или просто не установлены обновления по непонятным причинам.  Типичный ответ у нас после обновления отвалились принтеры, и мы отключили их. В результате были использованы эксплойты по типу CVE-2019-0708, или другие приватные эксплойты, что повлекло за собой утечку информации, и вывод серверов из строя. Чтобы этого не случилось, я написал инструкцию шаг за шагом, которая позволит это предотвратить, или сузить вектор атаки.

Про IPSec много написано, поэтому здесь только настройки.

В качестве примера я взял rdp (протокол удалённого рабочего стола) и smb (сетевой протокол удалённого доступа к файлам).

Первый компьютер с именем StorageServer и ip адресом 17.17.17.200, данный компьютер находится в домене st.local, на нём находятся копии баз данных. На этом компьютере открыты порты 3389 (rdp) и 445 (smb). Нам нужно защитить этот компьютер, даже если на нём нет обновлений безопасности.

Второй компьютер с именем adminivan и ip адресом 17.17.17.17, данный компьютер находится в домене st.local, c которого администратор подключается с учётной записью storageadmin.

Для получения сертификатов пользователя нужно развернуть центр сертификации. Для этого нужно установить роль сервера, службы сертификатов Active Directory.  Есть куча статей как его развернуть и настроить, не будем на этом подробно останавливаться. Имя моего центра сертификации IPSecCA.  

 Запускаем на StorageServer  wf.msc и откроется монитор брандмауэра, переходим на вкладку входящие подключения и смотрим.

Каждый год программный комитет FrontendConf начинает работу над программой не с гипотез, а с фактов. Для этого мы проводим глубокое исследование отрасли, чтобы понять, какие темы действительно волнуют фронтенд-разработчиков. Всё начинается с кастдевов — интервью с компаниями о текущих болях и потребностях. В этом году удалось собрать порядка 300 мнений — этого достаточно, чтобы увидеть устойчивые тренды. Так мы собрали целостную карту интересов сообщества, которая и легла в основу программы FrontendConf 2025. В статье рассказываем, как она устроена и почему именно эти темы вы увидите на сцене.

Привет! Меня зовут Владимир и я ведущий исследователь веб‑угроз.

С начала 2025 года я начал отслеживать CVE для веб-уязвимостей и способы их эксплуатации при помощи разработанного мной решения.

В июне я выпустил пилотный дайджест веб-уязвимостей за прошедшую весну, получил обратную связь как на Хабре, так и в личной коммуникации, что-то добавил, что-то расширил и сейчас хочу поделиться ретроспективой CVE за прошедшее лето.

Привет! Снова подготовили для вас материал от Романа Стрельникова, руководителя направления по информационной безопасности 1С‑Битрикс. Сегодня поговорим про offensive security. Вокруг темы много споров — стоит ли контролировать подрядчиков, что выбрать — пентест или баг баунти, как определить квалификацию команды хакеров. В этом материале расскажу про наш подход к «наступательной безопасности» и дам пару советов о том, как получить максимум выгоды из работы с «этичными хакерами».

Тестирование на проникновение (penetration testing, пентест) — один из ключевых инструментов обеспечения кибербезопасности. Важно помнить: сам процесс поиска уязвимостей — лишь половина работы. Настоящая ценность для заказчика заключается в грамотно оформленном отчете, который объясняет каким уязвимостям подвержен продукт или инфраструктура, насколько они опасны и что нужно сделать для устранения выявленных проблем.

Для начинающих специалистов (аналитиков информационной безопасности и пентестеров) умение составлять отчет по результатам пентеста является обязательным навыком. Данная статья поможет разобраться в структуре, содержании и особенностях подготовки отчетов по результатам исследований.

Зачем нужен отчет о пентесте?

Многие новички совершают типичную ошибку: воспринимают отчет как «обязательную бумажную работу» после проведения исследований. На самом деле отчет — это основной продукт, за который платит заказчик.

Грамотно подготовленный отчет выполняет сразу несколько функций.

Привет, Хабр! С вами Анастасия Ильханова, я работаю юристом в Cloud.ru и постоянно сталкиваюсь с тем, что клиенты спрашивают о безопасности хранения данных в облаке, запрашивают лицензии, просят разъяснить положения договора и т. д. Моя задача в этой статье — разложить по полочкам ответы на основные вопросы клиентов и подытожить их в виде понятного чек-листа для компаний, ИП и отдельных разработчиков, которые готовятся использованию облаков.

LLM придумывает названия несуществующих библиотек и предлагает разработчикам-вайбкодерам пользоваться ими. Если есть спрос — возникнет и предложение. Вскоре эти библиотеки действительно появляются в реальности, но уже с вредоносным кодом.

Привет, Хабр!

Сегодня я хочу поделиться историей одной, казалось бы, простой задачи, которая превратилась в увлекательное техническое расследование. Мы разрабатывали утилиту для стеганографии ChameleonLab и решили добавить поддержку современных форматов изображений, таких как WebP и AVIF. С WebP все прошло гладко, но AVIF оказался на удивление крепким орешком.

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

На этой неделе новости про крупнейшую атаку на npm, бывший руководитель безопасности WhatsApp рассказал как ему не давали работать, про утечку данных всех жителей Вьетнама и другие только самые важные и интересные новости из мира информационной безопасности.

Прежде чем рассматривать порядок и случаи уничтожения, важно понимать определение этого понятия. Уничтожение персональных данных в российском законодательстве означает действия, после которых невозможно восстановить содержание персональных данных в информационной системе и/или в результате которых уничтожаются материальные носители персональных данных consultant.ru. Иными словами, данные должны быть удалены безвозвратно, чтобы ни в электронном виде, ни на бумажных носителях нельзя было восстановить информацию о субъекте данных.

Аннотация. В статье анализируется возможность применения института форс-мажора в контексте сбоя программного обеспечения, вызванного обновлением системы безопасности CrowdStrike. Рассматривается влияние этого сбоя на исполнение гражданских обязательств, особенно в сфере транспортных услуг. Исследуются критерии непредвиденности и непредотвратимости, а также правоприменительная практика в системе общего права и континентального права, что позволяет определить условия, при которых организации могут быть освобождены от исполнения договора или от гражданско-правовой ответственности, вызванные сбоями в работе программного обеспечения. 

Ключевые слова: форс-мажор, обстоятельства непреодолимой силы, цифровизация гражданского оборота, программное обеспечение, кибербезопасность. 

В настоящий момент в мире самой распространенной операционной системой (далее - ОС) является Windows от корпорации Microsoft. В сравнении с другими ОС, такими как MacOS или Linux, Windows является основной системой для большинства компьютеров. По последним данным распространенность Windows составляет от 73.31%^[1] до 85.6%^[2]. Такие данные говорят о беспрецедентной популярности ОС от Microsoft, которую можем подтвердить и мы, стоит лишь заострить внимание на мониторах  компьютеров в школах, университетах, в государственных учреждениях, аэропортах и т.д. 

Вместе с тем, такое проникновение во все сферы жизни имеет свои издержки. Информационные технологии все чаще становятся причиной нарушения обязательств, невозможности их исполнения. Связано это с внедрением автоматизированных систем или специализированных ПО для ускорения процессов при исполнении обязательств, а также применением смарт-контрактов. Сочетание двух фактов - доминирование одной ОС и повсеместная компьютеризация приводят к тому, что сбой (хакерская атака, вирусы, конфликт сервисов и ОС) может нарушать работу ПО по всему миру, в разы увеличивая объемы имущественных потерь. Так, это может повлиять на возможность исполнения определенных гражданско-правовых обязательств, например, в случае с перевозками на транспорте, которые требуют использования определенного ПО для регистрации пассажиров, выдачи или регистрации багажа, распределении рейсов и т.д. В случае сбоев, многие корпорации могут быть привлечены к гражданско-правовой ответственности, поэтому крайне важно тщательно исследовать, когда возникают веские основания для ссылки на форс-мажор, чтобы обеспечить справедливость и защиту прав каждого в условиях информационной революции. 

В этой статье я расскажу о том, что происходит внутри ядра Linux, когда процесс вызывает execve(), как ядро подготавливает стек и как затем передаёт управление пользовательскому процессу для выполнения.

Изучил я этот механизм, когда разрабатывал Zapper — инструмент Linux, удаляющий все параметры командной строки из любого процесса без прав root.

Привет, Хабр!

Пару месяцев назад мы представили наше детище — ChameleonLab, десктопное приложение для Windows и Mac, которое позволяет встраивать и извлекать скрытые данные из файлов, а также проводить их глубокий анализ. Проект начинался с самой простой версии, но благодаря активному участию и обратной связи от нашего сообщества, он постоянно развивается. Ваши предложения, в частности по интеграции офисных форматов и формата WebP, стали для нас важным источником вдохновения и позволили значительно расширить возможности программы. Теперь, после сотен часов разработки и ценной обратной связи от нашего сообщества, мы рады представить версию 1.5 — полноценный комбайн для работы с цифровыми файлами, который вобрал в себя как классические, так и авторские методы стеганографии и стегоанализа.

Как я впервые вскрыл писюк, нашёл у мамы мозги и познал содержимое диска с таинственными немецкими словами на обложке - читайте в прошлой главе.

А сегодня мы поднимем вопрос сдачи образцов оттиска принтера в КГБ, первый выход в интернет и западло от компьютерного мастера проявит себя во всей красе.

Мы уже разобрали, зачем нужна CSMA, какие проблемы есть у «зоопарка» средств защиты, и прошлись по ключевым слоям: SAIL (интеллект аналитики), управление инфраструктурой и Identity Fabric. Логичный следующий шаг - навести порядок там, где у большинства организаций сегодня хаос: в политиках, конфигурациях и операционном управлении.

Эта статья про PPPM - централизованный уровень Policy / Posture / Playbook Management. Его задача - стать единым источником истины для политик и стандартов конфигурации, согласовать «бизнес-ограждения» для автоматизации, и соединить SAIL с точечными продуктами через открытые API и policy-as-code (OPA, Cedar, Zanzibar, XACML). Здесь же - привязка к контрольным наборам NIST/CIS/ISO, устранение дрейфа настроек и подготовка к безопасной частичной авто-оркестрации.

Кому интересно - присоединяйтесь в Telegram-канал https://t.me/zero_trust_SDP.