Все потоки
Поиск
Написать публикацию
Обновить
1028.8

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

«Политика открытых дверей»: как один скрипт обрушил защиту домена

Время на прочтение8 мин
Количество просмотров8.7K

Всем привет! На связи Дмитрий Неверов, руководитель направления тестирования на проникновение в Бастионе. Мы профессионально ломаем системы безопасности компаний. Разумеется, с разрешения их владельцев. Расскажу кейс, за который я получил ачивку «Фаворит года по версии жюри» Pentest Awards 2025.

Представьте: крупная инфраструктурная компания с регулярными пентестами, серьезным бюджетом на ИБ и жесткими регуляторными требованиями. Казалось бы, что тут можно сломать? А мы взяли и получили права доменного администратора, начав путь с непривилегированной учетки сотрудника. И никаких бэкдоров или zero-day, только чистая работа с Active Directory.

Самое интересное — как несколько на первый взгляд безобидных настроек превратились в билет к полному контролю над доменом. Сейчас покажу всю цепочку от начала и до победного DCSync.

Читать далее ⟶

Локализация–2025: новые правила сбора данных. Готовимся к изменениям

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров704

Первого июля 2025 года для российских операторов персональных данных произошла точечная, но важная корректировка правил. Закон № 23-ФЗ, который подписали в феврале, расставляет новые акценты в старой теме — локализации. Речь идёт о том, как именно можно собирать и обрабатывать данные о россиянах.

Читать далее

Комплексный подход к ограничению доступа к отчету в Power BI

Уровень сложностиСредний
Время на прочтение3 мин
Количество просмотров226

Самым популярным методом ограничения доступа к данным в отчете Power BI остается Row-level Security (RLS), с помощью которого у каждого пользователя есть доступ к набору данных согласно его учетной записи или роли. В этом случае пользователь видит все страницы и объекты отчета, которые отражают результаты согласно ограничениям, наложенным на датасет.

Но зачастую этого становится недостаточно и появляется необходимость в ограничении доступа не только к строкам датасета, по которым будет построен отчет, но и к страницам целиком и даже к отдельным объектам видимых страниц.

Вопрос реализации RLS подробно освещён, поэтому останавливаться на деталях не буду. Вместо этого сконцентрируюсь на двух других способах: ограничении доступа к страницам и объектам.

Читать далее

Чем грозит вашему проекту установка пакетов «вслепую»

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров2K

Доброго дня, читатель! Меня зовут Александр Роут, я фронтенд‑разработчик в Домклик. 

В сентябре 2025 года в экосистеме npm произошёл тревожный инцидент: злоумышленники получили доступ к репозиториям нескольких популярных пакетов и внедрили в них вредоносный код. Этот код мог подменять адреса криптокошельков и перехватывать финансовые транзакции.

Эта атака — не первый и не последний случай в истории. Она вновь подняла важный вопрос «Насколько мы можем доверять сотням зависимостей, которые добавляем в свои проекты?» Часто мы устанавливаем пакеты, практически не задумываясь о том, что именно скачиваем и запускаем. Особую опасность представляют postinstall‑скрипты, которые могут выполнять произвольные действия на вашем компьютере сразу после установки.

Читать далее

Процессорный модуль — что это и зачем

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров3.7K

Победоносное шествие информационных технологий за последние сорок лет имеет свои объективные причины, ранжировать которые непросто, но, я думаю, в первую тройку их наверняка входит относительная дешевизна этих технологий, причём скорость подешевления последнее время не убывает, а только прирастает с той или иной быстротой. Желающие могут сами погуглить цену килобайтов и производительности в MIPS для IBM System 360, IBM PC и современных образцов.

Одной из главных причин такого постоянного подешевления, кроме технологического роста, является «эффект масштаба» — так называют хорошо известное экономическое явление, заключающееся в том, что одна единица товара при оптовой покупке стоит тем меньше, чем больше партия. Этот эффект всеобщий, хотя и из него есть пара‑другая исключений, если кому интересно, спрашивайте в личку или в комментах. Всё дело в том, что при росте партии капитальные затраты размазываются на всё большее число единиц товара, причём это явление имеет мульпликативный характер. О чём это я? Вот пример: если объём партии выпускаемых ИМС вырос в 10 раз, то и сверхчистого кремния для них понадобилось тоже в 10 раз больше, и эффект масштаба распространился и на поставщиков материалов. И на поставщиков электроэнергии. И упаковок. И транспортников. В общем, эффект масштаба — это хорошо и полезно. Предупреждаю упреки специалистов в экономике, что тут есть и свои сложности и тонкости в расчётах, но в первом приближении дело обстоит так, как я написал выше.

И вот в этот момент мы сталкиваемся с неочевидным на первый взгляд системным противоречием. В чём же оно? Чтобы заставить эффект масштаба играть на своей стороне, надо сделать как можно более универсальный продукт, чтобы им одним закрыть все потребности. С другой стороны, нужно постоянно расширять рынок продукта, втягивая в него всё новые и новые области применения — а для этого нужны специализированные, а не универсальные решения. То есть нужны универсальные и специализированные решения одновременно, а это чистое противоречие.

Читать далее

Stealthy Persistence с несуществующим исполняемым файлом

Время на прочтение4 мин
Количество просмотров1K

Одной из ежедневных задач pentester'ов и красных команд является получение и сохранение постоянного доступа к скомпрометированной системе даже после перезагрузки компьютера, выхода пользователей из системы или изменения паролей учетных записей.

Также за этим постоянно следят EDR, антивирусное ПО и команды защиты («blueteam»).

Поэтому создание скрытого и надежного механизма сохранения доступа всегда является критически важным вопросом для атакующих.

В данной статье я продемонстрирую интересную технику сохранения доступа, через указание несуществующих исполняемых файлов.

Читать далее

Security Week 2539: эффективная атака Rowhammer на модули памяти DDR5

Время на прочтение4 мин
Количество просмотров908

Исследователи из Швейцарской высшей технической школы в Цюрихе опубликовали научную работу, в которой продемонстрировали эффективную атаку типа Rowhammer на модули памяти стандарта DDR5. Атака Rowhammer впервые была предложена в 2014 году. Тогда исследователи воспользовались физическими свойствами микросхем DRAM: оказалось, что значение в определенной ячейке можно изменить путем многократного обращения к соседним рядам ячеек. На тот момент исследование было проведено для модулей памяти стандарта DDR3, но позднее выяснилось, что и для DDR4 атака также актуальна.

Так как атаки Rowhammer эксплуатируют фундаментальные принципы работы микросхем памяти, были разработаны специальные меры противодействия. Технология, известная как Target Row Refresh, принудительно обновляет содержимое ячеек, если замечает многократные обращения к соседним рядам, что значительно затрудняет проведение атаки. В результате модули памяти стандарта DDR5 считались защищенными от Rowhammer с момента поступления в продажу в 2020 году и вплоть до 2024 года, когда еще одно исследование ETH Zurich показало возможность принудительной смены значения в ячейках. Но реально успешной эта атака была против лишь одного модуля памяти из десяти исследованных. Новая атака Phoenix сработала для всех 15 протестированных модулей, а кроме того, исследователи показали несколько вариантов практических атак с использованием данной уязвимости.

Читать далее

Фишинг в 2025-м: что делать, если мошенники давно пользуются ИИ

Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров1.7K

Современная кибербезопасность требует не только оперативного реагирования на возникающие угрозы, но и построения проактивной модели, способной выявлять потенциальные инциденты до их реализации. Особенно это актуально для фишинга — одной из самых быстро развивающихся угроз цифрового мира.

Рассмотрим конкретные инструменты, позволяющие определять фишинг нового поколения, и расскажем, насколько он изменился за последние годы, как работает Phishing-as-a-Service и что делать, чтобы защититься от мошенников.

Читать далее

AI slop coding, или Как создать нелепые длинные цепочки атак с помощью ИИ

Время на прочтение7 мин
Количество просмотров1.2K

В процессе исследования вредоносных файлов, которые использовали группировки злоумышленников, мы наткнулись на интересные ранее незамеченные атаки, в которых использовались GitHub-аккаунты для хранения вредоносных файлов и данных жертв. Эти атаки не выглядели как что-то массовое, и, судя по всему, при разработке злоумышленники использовали ИИ. Самую раннюю подобную активность мы зафиксировали в сентябре 2024 года, самую позднюю — в апреле 2025-го.

Мы в команде Threat Intelligence исследуем сложные атаки с интересными способами закрепления и сбора информации, с уникальной инфраструктурой. Бывает, попадаются какие-то простенькие скрипты на пару строчек или же «бомбы», которые запускают сразу десятки различных малварей. Но очень редко мы встречаем настолько длинные цепочки очень простых скриптов, написанных ИИ и при этом рабочих, в такой сложной связке — видно, что логика была продумана. Считайте это описание целевых атак в иерархии script kiddie.

Читать далее

Чужой среди своих: как ИИ-инсайдер меняет подход к ИБ

Время на прочтение3 мин
Количество просмотров609

Инсайдерские угрозы — одни из самых сложных для обнаружения. Проблема в том, что они исходят от своих же сотрудников, которые уже имеют законный доступ к системам. Специалисты по безопасности знают об этих рисках, но им часто не хватает качественных данных для обучения систем, которые могли бы улавливать едва заметные признаки вредоносного поведения.

Делимся переводом статьи Helpnet Security о проекте, который обучает службу ИБ обнаруживать инсайдеров благодаря ИИ-симуляции. Под катом – о том, как это работает и насколько эффективно.

Читать далее

Коллизии хэш-функций и парадокс дней рождения

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров14K

Как работает хэш-функция? На вход подаются произвольные данные — слово, веб-сайт, файл или ДНК человека — а на выходе получаем 16-теричное число (hex). Очень удобно, чтобы стандартизировать различные объекты, присвоить им уникальные ID, цифровые отпечатки.

К сожалению, отпечатки иногда получаются одинаковыми — происходят коллизии.

Коллизии хэш-функций похожи на парадокс дней рождения, который недавно вызвал бурные дебаты на Хабре и на HN. Почему люди так горячо спорят? Наверное, потому что человеческая интуиция иногда не совпадает с математическими формулами. Другими словами, язык математики ≠ человеческому.

Интересно сравнить разные хэш-функции с математической точки зрения. Насколько часто встречаются «парадоксы»?

Читать далее

Телеграм: голосуй и проиграешь

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров15K

За последние дни количество моих знакомых и друзей, пострадавших от угона их телеграм-аккаунта, значительно выросло. Схема далеко не новая, я даже считал, что уж про нее слышали все, но оказалось это не так, и память людей довольно коротка.

В этой статье мы разберем двухэтапную схему с угоном и монетизацией tg-аккаунтов, а именно:

— Как именно происходит угон? Важен ли нарратив, используемый в социальной части?
— Достаточно ли только одной ошибки пользователя?
— Как именно аккаунты монетизируют?
— В чем главные фишки автоматизации работы злоумышленников на базе нейросетей?
— Как именно злоумышленники противодействуют жертве и попыткам вскрыть обман?
— Почему схема настолько успешна и что можно с этим сделать?
— Применима ли она к иным мессенджерам?

Интересно? Добро пожаловать под кат, а если посчитаете полезным — распространите.

Потерять аккаунт

От наскальных рисунков до S3: эволюция хранения данных

Время на прочтение12 мин
Количество просмотров6K

Как вы храните данные? Используете файловое хранилище, S3, базы данных, держите файлы прямо на сервере, храните все локально на HDD, SSD или даже флешке — вариантов масса, на любой вкус и цвет. В этой статье я предлагаю вспомнить, как развивалось хранение информации и как мы прошли путь от наскальной живописи до приватного S3. Это поможет разобраться, какую технологию лучше использовать для ваших задач. 

Читать далее

Ближайшие события

Невидимая война: почему найти скрытые данные сложнее, чем их спрятать

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров900

Привет, Хабр!

В прошлый раз мы написали свой стегоанализатор и научились находить следы простого LSB-внедрения. На первый взгляд может показаться, что задача решена: есть алгоритм, есть анализатор, запускаем проверку и получаем ответ. Но в реальности всё гораздо сложнее. Стегоанализ — это не спринт, а бесконечная гонка вооружений, в которой тот, кто прячет, почти всегда на шаг впереди.

Читать далее

Distroless приложения (VM/bare-metal)

Уровень сложностиСредний
Время на прочтение11 мин
Количество просмотров3.5K

Некоторые языки программирования (например, Go и Zig) позволяют собрать приложение без каких-либо зависимостей, в том числе отвязаться от libc, тем самым создание distroless-контейнера на Go становится тривиальной задачей. Но эта же особенность может быть применена не только для создания контейнера, но и для запуска такого приложения в VM или на реальном хосте не используя какой-либо дистрибутив Linux, а используя только ядро Linux и само приложение, построенное с помощью Go (или, например, Zig). Такая возможность позволяет избавиться от дополнительных зависимостей, которые добавляют потенциальные риски с точки зрения атаки на цепочку поставок (supply chain attack).

Читать далее

Какие запросы и куда отправляет MAX

Время на прочтение3 мин
Количество просмотров150K

Моя вторая статья — анализ сетевых запросов MAX и почему этот анализ — моё самое большое разочарование! Не ожидал я такого конечно, но описал все как есть.

Читать далее

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров11K

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности: клиент Windows Server 2025 уже требует подпись SMB-пакетов. Всё, что не умеет — идёт мимо кассы.

В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения.

Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет. Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт.

Читать далее

ChameleonLab: как мы создаём сайт для desktop-приложения на PHP без баз данных и CMS, с планами на Python API

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров2.6K

Привет, Хабр! Мы — команда проекта ChameleonLab, и это история о том, как мы начали создавать полномасштабный образовательный центр по стеганографии и криптографии, отправной точкой которого стал наш desktop-инструмент.

По просьбам пользователей мы начали трансформацию в онлайн-сервис. Расскажем, как мы создали сайт на собственном микро-движке, который работает на JSON-файлах, почему отказались от популярных CMS и как планируем переносить сложную логику с Python в веб.

Читать далее

Храним секреты в облаках

Время на прочтение6 мин
Количество просмотров2.2K

Как и у любого пользователя Андроид у меня есть аккаунт в Гугле.
А значит, кроме всего прочего, есть аж целых 15 гигабайт облачного хранилища, где можно что‑то хранить, на случай всяких внезапных проблем с локальным оборудованием.

Традиционно, для этого используется либо приложение Google Drive, либо веб‑интерфейс. Но ни то, ни другое не очень‑то удобно на компьютере, особенно когда привык просто работать с произвольными файлами, которые куда‑нибудь копируются. И тем более — плохо подходит для автоматизации.

Второй возникающий вопрос — всё, что хранится не в вашем собственном облачном хранилище — в принципе доступно кому‑нибудь не вам. И хорошо, если ваши личные документы читает какой‑нибудь бот, для которого вы — всего лишь один из миллиардов анонимусов, хуже если информация утечет куда не надо и попадет кому не нужно.

Вот эти две проблемки попробуем решить.

Читать далее

Четыре года делу Сачкова: конфликт глобальной профессии и локального долга в кибербезопасности

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров3.9K

29 сентября исполнится четыре года со дня ареста Ильи Сачкова. Вроде бы споры вокруг этой истории поутихли, но каждый раз, когда речь заходит о ней в профессиональном кругу, тема оживает и вызывает живой отклик. Слишком много неясного и противоречивого, слишком серьёзные вопросы затронуты.

Для меня это стало поводом взглянуть шире: не только на само дело, но и на ту этическую ловушку, в которую попадают специалисты по кибербезопасности. Как честно работать в глобальном сообществе, при этом оставаясь гражданами конкретной страны, со своими законами и ограничениями? Где искать баланс? Какие ориентиры появятся в ближайшем будущем — и что нам даёт новый международный Code of Professional Conduct от ISC2?

Читать далее

Вклад авторов