Информационная безопасность *

Наверное первая притягательная цель для любого исследователя llm является системный промпт. Не так просто может быть даже получить его, а уж тем более заменить. Но именно этим мы сейчас и займемся.

Дни календаря стали красными, в воздухе запахло шашлыком, а это значит пришло время поделиться ИБ-инцидентами, которые зацепили нас весной. Под катом – белый хакер исповедуется ChatGPT, сотрудник MrBeast снимает свое реалити, подрядчики крадут билеты у фанатов Тейлор Свифт и другое.

MLSecOps: защита машинного обучения в эпоху киберугроз

На днях исследователь Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только обновлением версии до 2.6.0. Уязвимость соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия с пользователем. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True. Эта опция ранее считалась надежной, но, как выяснилось, не спасала от угроз.

Подобные инциденты с развитием и повсеместным распространением нейронных сетей будут происходить всё чаще. Это еще один повод начать внедрение инструментов и технологий MLSecOps, даже на базовом уровне.

Всех желающих подробнее познакомиться с особенностями и перспективами направления MLSecOps, узнать про основные виды атак, базовые методы защиты и дополнительные источники для обучения, приглашаю под кат.

В текущих реалиях постоянно растущих киберугроз для ИТ-ландшафтов организаций очень важно иметь совокупною "картину" по событиям, происходящим внутри управляемой инфраструктуры.

И так как недавно я получил статус Kaspersky Certified Systems Engineer - пришло время рассмотреть на практике один из простых примеров расширения возможностей мониторинга безопасности управляемых серверов.

Всех приветствую, читатели Хабра!

В сегодняшней статье я поделюсь примерами кракинга зашифрованных паролями pdf-файлов и файлов архивов. Я покажу примеры работы с такими программами как pdfcrack, rarcrack, John the Ripper. Естественно данные программы работают в линукс (в моем случае Kali Linux), но под Windows я думаю есть аналоги данных программ. И да, в этой статье я затрону примеры связанные с john, хоть возможно на Хабре и имеются статьи связанные с данной программой (а в русскоязычном сегменте интернет точно есть описания как с ней работать), но в рамках данной статьи мои примеры будут уместны и необходимы. Это своего рода онлайн-шпаргалка по использованию данных утилит

Примечание

Правовая информация:

Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях.
Автор статьи не несет ответственности за ваши действия.
Автор статьи ни к чему не призывает, более того напоминаю о существовании некоторых статей в уголовном кодексе РФ, их никто не отменял:
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ
УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Все атаки я проводил на своем персональном компьютере, где создавал собственные файлы, которые и атаковал, то есть все действия легитимны.

И как всегда просьба не переходить на личности в комментариях, если вы обнаружили ошибку недочет или неточность, просто без оскорблений напишите комментарий или напишите мне личным сообщением.

Продукты 1С так или иначе на разных этапах карьерного пути бегло попадались в моём поле зрения, и в какой-то момент захотелось собрать воедино хотя бы часть всего того неочевидного, с чем мне уже довелось столкнуться там в контексте информационной безопасности.

Коротко о важном
• Статья не является рекламной и не имеет под собой намерения похвалы или критики программных продуктов 1С. Любая внедряемая система потребует необходимости уметь её «готовить», и продукт 1С не исключение.
• Поскольку я не являюсь разработчиком 1С, далёк от профильной терминологии и в целом целевая аудитория статьи — всё-таки специалисты по информационной безопасности, которым уже пришлось или только предстоит плотно столкнуться с программными продуктами 1С, многие вещи будут трактоваться довольно свободно и в упрощённом для понимания виде.
• В статье не будет охватываться раздел пентеста платформы 1С, а также связанной с этим эксплуатации уязвимостей — эта тематика не нова, и на просторах «Хабра» (и не только) уже давно можно найти отличные публикации.
• Статья не претендует на истину в первой инстанции. Она своего рода первая проба пера, попытка структурировать опыт знакомства с продуктами 1С и консолидировать основные узкие места безопасности, свойственные построению бизнес-процессов с использованием 1С.
• Если вы из тех, кому необходим пошаговый чек-лист, то спешу вас огорчить, так как универсального ответа не будет, но надеюсь, что вопросы, поднятые в статье, смогут подтолкнуть вас к составлению по итогу своего собственного.

Я решила протестировать, может ли ИИ быть заменой терапевтическому дневнику или даже частичной поддержкой при эмоциональном напряжении. Хочу сразу сказать: я не живу в вакууме и сама не раз сталкивалась с личными кризисами. К тому же я — не только дизайнер, но и врач по образованию. Это дало мне возможность взглянуть на эксперимент глубже — и поделиться результатами с точки зрения и пользователя, и специалиста.

Публикуем нашу традиционную подборку ключевых CVE ушедшего месяца. В апреле главным событием стала RCE в SSH-библиотеке Erlang/OTP: десяточка по CVSS, простейший эксплойт, проверки концепции в сети на следующий день.

Критической RCE-уязвимостью с нулевой интеракцией также отметился фреймворк PyTorch. Нулевой день на обход MotW исправили в WinRAR; аналогичная уязвимость остаётся без патча в WinZip. В ПО для передачи файлов CrushFTP закрыли критическую CVE на обход аутентификации. Уязвимость под RCE также пропатчили в Gladinet CentreStack. И наконец, нулевым днём под произвольный код отметились и ОС от Apple — причём через обработку аудипотока. Об этом и других интересных CVE апреля читайте под катом!

В современных мобильных операционных системах нам по умолчанию недоступны права суперпользователя, а более-менее привилегированный доступ для приложений получить просто невозможно без использования уязвимостей. Поэтому невозможно сделать единое приложение, которое будет защищать все мобильное устройство из пользовательского пространства. Остается единственный выход — встраивать защиту прямо в защищаемое приложение.

Меня зовут Николай Анисеня, и я продолжаю рассказывать о безопасности мобильных приложений. В предыдущей статье мы подробно поговорили о состоянии защищенности приложений и девайсов на настоящий момент. Если коротко — приятных новостей мало. Но выход есть. В этой статье расскажу о перспективах защиты.

Что происходит, когда GitHub берётся за собственную безопасность? Они пишут код для защиты кода — и активно используют для этого CodeQL. В этой статье команда Product Security Engineering рассказывает, как настроить масштабный автоматический анализ уязвимостей, зачем создавать свои пакеты запросов и как с помощью CodeQL находить ошибки, которые невозможно поймать обычным поиском по коду.

В предыдущих статьях,(1, 2, 3) цикла, посвященного сбору событий в ОС Windows и Linux, мы рассмотрели, какие типы источников событий важны для мониторинга с точки зрения обеспечения информационной безопасности, а также каким образом осуществляется сбор и отправка соответствующий событий в системы мониторинга, в т.ч. был рассмотрен сбор событий с помощью агентов.

Это статья пентестера 0xold, который 8 месяцев занимался поиском уязвимостей для bug bounty и решил поделиться своим опытом и наблюдениями. В статье рассказывается о нескольких уязвимостях, которые были обнаружены с помощью инъекции нулевого байта. В целях конфиденциальности все проверяемые сайты будут обозначаться в статье как company.com.

Основной объём трафика в вебе возникает из-за ботов. По большей части, эти боты используются для обнаружения нового контента. Это читалки RSS-фидов, поисковые движки, выполняющие краулинг вашего контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM. Но есть и зловредные боты. Их создают спамеры, скрейперы контента и хакеры. На моём прежнем месте работы бот обнаружил уязвимость Wordpress и встроил в наш сервер зловредный скрипт, а затем превратил машину в ботнет, используемый для DDOS. Один из моих первых веб-сайтов был полностью выдавлен из поиска Google из-за ботов, генерирующих спам. Мне нужно было найти способ защиты от этих ботов, поэтому я начал пользоваться zip-бомбами.

Однажды мне пришлось испытать на себе последствия кибератаки. Компанию, в которой я работал, атаковал вирус-шифровальщик: в одно прекрасное утро все компы превратились в груду шлака (когда системные блоки — теперь просто шлакоблоки), файлы — в набор невообразимых «кракозябр», а вся проделанная работа и созданные за несколько лет рабочие документы накрылись медным тазом. Ощущения эти не из приятных, скажу я вам.

Меня зовут Алексей, почти всю свою трудовую карьеру я в телекоме (уже более 20 лет). Не технарь, мой профиль — коммерс и маркетолог. Моя задача — делать телеком‑услуги и продукты более доступными и удобными для людей и бизнеса. Сменив около года назад компанию, по роду деятельности пришлось столкнуться с продуктами информационной безопасности. Начав погружаться в тему, я столкнулся с вопросом, который вынес в заголовок статьи. Испытав на своей шкуре «прелести» быть хакнутым, я задумался о том, насколько серьезно к проблеме инфобеза относятся руководители и собственники бизнеса. В статье поделюсь с вами мнением людей из индустрии и порассуждаю о том, почему ИБ не так сильно заботит тех, кто, казалось бы, должен быть в этом кровно заинтересован. Лайфкахов и нового опыта не предложу — сорри. Поделюсь лишь своими мыслями и выводами. И кто готов высказаться и поделиться опытом — милости прошу!

Поздравляю, нас хакнули!

Итак, опускаю описания всех стадий принятия неизбежного, приведу сухой остаток — в результате атаки я и мои коллеги оказались отброшены в текущей работе примерно на 3–5 месяцев. Вместе с тем, не могу сказать, что для меня, работы моего подразделения и проекта, которым я занимался, это стало чем‑то непостижимо сложным. Также не могу судить и не знаю, каких финансовых потерь этот инцидент стоил компании. К чести самой компании работа всех основных информационных систем была восстановлена за 1–1,5 недели, работа клиентских сервисов была приостановлена на совсем короткое время и то, по‑моему, не повсеместно, а лишь частично. Да, конечно, IT‑подразделениям (и не только) пришлось вкалывать от зари до зари, всем остальным — восстанавливать рабочие файлы по заначкам и по памяти, последствия аукались еще около года. Но в целом, катастрофы не случилось (слава Богу!). Возможно, могло быть и хуже.

Всем салют! Вновь на связи киберразведчики из экспертного центра безопасности (PT ESC) с новой порцией находок, связанных с Crypters And Tools. В первой части мы рассказали о крипторе, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем устройстве и инфраструктуре самого криптора. В этой части мы расскажем о хакерских группировках, которые использовали его в атаках, их связях, уникальных особенностях, а также о пользователях Crypters And Tools, часть из которых связана с рассматриваемыми группировками.

Может ли ИИ просто написать эксплойт за меня?

GPT-4 не только понял описание CVE, но и выяснил, какой коммит ввел исправление, сравнил его со старым кодом, нашел разницу, нашел уязвимость и даже написал доказательство концепции.

Давайте рассмотрим, как я к этому пришел.

В данной статье мы расскажем о новом SaaS решении на базе ПО «Setezor» по адресу https://online.setezor.net.

Setezor - это инструмент по типу «Network Intelligence Solution». Позволяет собирать, систематизировать и проводить аналитику по сетевой инфраструктуре, автоматически строить карту сети. Полезен пентестерам, сетевикам и системным администраторам. Ранее мы уже делали обзорные статьи на Сетезор, не будем вдаваться в подробности.

tl;dr: Обойдём цензуру у LLM (GigaChat от Sber) и сгенерируем запрещенный (разной тематики) контент. Опробуем очень простую технику jailbreak’а в одно сообщение (не мультишаговый/multi-turn), которая пока работает на любой LLM (проверим не только на GigaChat, но и на других). И небольшой бонус в самом конце от DeepSeek.

В этой статье я расскажу об опыте перехода с UserGate 6.x на 7.x — со всеми подводными камнями, неожиданными сюрпризами и спасительными лайфхаками.

Если вы еще не планировали миграцию — придется. Шестая версия скоро останется без поддержки вендора, а NGFW без актуальных обновлений — как антивирус с просроченной подпиской. Защищает только от того, что уже знает. А новые угрозы? Увы.

Под катом поделюсь инструкцией по миграции, расскажу о ключевых изменениях в архитектуре, разберу типичные ошибки и дам ссылку на GitHub со скриптом, который автоматизирует большую часть рутины. 

Статья будет полезна специалистам по информационной безопасности и всем, кто интересуется обновлением NGFW от UserGate с минимальными потерями.

25 декабря 2022 года ФСТЭК России выпустила рекомендации по безопасной настройке операционных систем Linux. Сейчас эти рекомендации являются обязательными для государственных информационных систем и критической информационной инфраструктуры (КИИ), работающих на Linux.

Для упрощения соблюдения этих рекомендаций и автоматизации настройки систем можно использовать Ansible. Этот инструмент позволяет массово развертывать конфигурации, что значительно снижает вероятность ошибок при ручном вводе. В статье рассмотрим готовые плейбуки на основе Ansible для RHEL-подобных систем, а также способы их адаптации для других ОС.