Информационная безопасность *

Всем привет! На связи Дмитрий Неверов, руководитель направления тестирования на проникновение в Бастионе. Мы профессионально ломаем системы безопасности компаний. Разумеется, с разрешения их владельцев. Расскажу кейс, за который я получил ачивку «Фаворит года по версии жюри» Pentest Awards 2025.

Представьте: крупная инфраструктурная компания с регулярными пентестами, серьезным бюджетом на ИБ и жесткими регуляторными требованиями. Казалось бы, что тут можно сломать? А мы взяли и получили права доменного администратора, начав путь с непривилегированной учетки сотрудника. И никаких бэкдоров или zero-day, только чистая работа с Active Directory.

Самое интересное — как несколько на первый взгляд безобидных настроек превратились в билет к полному контролю над доменом. Сейчас покажу всю цепочку от начала и до победного DCSync.

Первого июля 2025 года для российских операторов персональных данных произошла точечная, но важная корректировка правил. Закон № 23-ФЗ, который подписали в феврале, расставляет новые акценты в старой теме — локализации. Речь идёт о том, как именно можно собирать и обрабатывать данные о россиянах.

Самым популярным методом ограничения доступа к данным в отчете Power BI остается Row-level Security (RLS), с помощью которого у каждого пользователя есть доступ к набору данных согласно его учетной записи или роли. В этом случае пользователь видит все страницы и объекты отчета, которые отражают результаты согласно ограничениям, наложенным на датасет.

Но зачастую этого становится недостаточно и появляется необходимость в ограничении доступа не только к строкам датасета, по которым будет построен отчет, но и к страницам целиком и даже к отдельным объектам видимых страниц.

Вопрос реализации RLS подробно освещён, поэтому останавливаться на деталях не буду. Вместо этого сконцентрируюсь на двух других способах: ограничении доступа к страницам и объектам.

Доброго дня, читатель! Меня зовут Александр Роут, я фронтенд‑разработчик в Домклик. 

В сентябре 2025 года в экосистеме npm произошёл тревожный инцидент: злоумышленники получили доступ к репозиториям нескольких популярных пакетов и внедрили в них вредоносный код. Этот код мог подменять адреса криптокошельков и перехватывать финансовые транзакции.

Эта атака — не первый и не последний случай в истории. Она вновь подняла важный вопрос «Насколько мы можем доверять сотням зависимостей, которые добавляем в свои проекты?» Часто мы устанавливаем пакеты, практически не задумываясь о том, что именно скачиваем и запускаем. Особую опасность представляют postinstall‑скрипты, которые могут выполнять произвольные действия на вашем компьютере сразу после установки.

Победоносное шествие информационных технологий за последние сорок лет имеет свои объективные причины, ранжировать которые непросто, но, я думаю, в первую тройку их наверняка входит относительная дешевизна этих технологий, причём скорость подешевления последнее время не убывает, а только прирастает с той или иной быстротой. Желающие могут сами погуглить цену килобайтов и производительности в MIPS для IBM System 360, IBM PC и современных образцов.

Одной из главных причин такого постоянного подешевления, кроме технологического роста, является «эффект масштаба» — так называют хорошо известное экономическое явление, заключающееся в том, что одна единица товара при оптовой покупке стоит тем меньше, чем больше партия. Этот эффект всеобщий, хотя и из него есть пара‑другая исключений, если кому интересно, спрашивайте в личку или в комментах. Всё дело в том, что при росте партии капитальные затраты размазываются на всё большее число единиц товара, причём это явление имеет мульпликативный характер. О чём это я? Вот пример: если объём партии выпускаемых ИМС вырос в 10 раз, то и сверхчистого кремния для них понадобилось тоже в 10 раз больше, и эффект масштаба распространился и на поставщиков материалов. И на поставщиков электроэнергии. И упаковок. И транспортников. В общем, эффект масштаба — это хорошо и полезно. Предупреждаю упреки специалистов в экономике, что тут есть и свои сложности и тонкости в расчётах, но в первом приближении дело обстоит так, как я написал выше.

И вот в этот момент мы сталкиваемся с неочевидным на первый взгляд системным противоречием. В чём же оно? Чтобы заставить эффект масштаба играть на своей стороне, надо сделать как можно более универсальный продукт, чтобы им одним закрыть все потребности. С другой стороны, нужно постоянно расширять рынок продукта, втягивая в него всё новые и новые области применения — а для этого нужны специализированные, а не универсальные решения. То есть нужны универсальные и специализированные решения одновременно, а это чистое противоречие.

Одной из ежедневных задач pentester'ов и красных команд является получение и сохранение постоянного доступа к скомпрометированной системе даже после перезагрузки компьютера, выхода пользователей из системы или изменения паролей учетных записей.

Также за этим постоянно следят EDR, антивирусное ПО и команды защиты («blueteam»).

Поэтому создание скрытого и надежного механизма сохранения доступа всегда является критически важным вопросом для атакующих.

В данной статье я продемонстрирую интересную технику сохранения доступа, через указание несуществующих исполняемых файлов.

Исследователи из Швейцарской высшей технической школы в Цюрихе опубликовали научную работу, в которой продемонстрировали эффективную атаку типа Rowhammer на модули памяти стандарта DDR5. Атака Rowhammer впервые была предложена в 2014 году. Тогда исследователи воспользовались физическими свойствами микросхем DRAM: оказалось, что значение в определенной ячейке можно изменить путем многократного обращения к соседним рядам ячеек. На тот момент исследование было проведено для модулей памяти стандарта DDR3, но позднее выяснилось, что и для DDR4 атака также актуальна.

Так как атаки Rowhammer эксплуатируют фундаментальные принципы работы микросхем памяти, были разработаны специальные меры противодействия. Технология, известная как Target Row Refresh, принудительно обновляет содержимое ячеек, если замечает многократные обращения к соседним рядам, что значительно затрудняет проведение атаки. В результате модули памяти стандарта DDR5 считались защищенными от Rowhammer с момента поступления в продажу в 2020 году и вплоть до 2024 года, когда еще одно исследование ETH Zurich показало возможность принудительной смены значения в ячейках. Но реально успешной эта атака была против лишь одного модуля памяти из десяти исследованных. Новая атака Phoenix сработала для всех 15 протестированных модулей, а кроме того, исследователи показали несколько вариантов практических атак с использованием данной уязвимости.

Современная кибербезопасность требует не только оперативного реагирования на возникающие угрозы, но и построения проактивной модели, способной выявлять потенциальные инциденты до их реализации. Особенно это актуально для фишинга — одной из самых быстро развивающихся угроз цифрового мира.

Рассмотрим конкретные инструменты, позволяющие определять фишинг нового поколения, и расскажем, насколько он изменился за последние годы, как работает Phishing-as-a-Service и что делать, чтобы защититься от мошенников.

В процессе исследования вредоносных файлов, которые использовали группировки злоумышленников, мы наткнулись на интересные ранее незамеченные атаки, в которых использовались GitHub-аккаунты для хранения вредоносных файлов и данных жертв. Эти атаки не выглядели как что-то массовое, и, судя по всему, при разработке злоумышленники использовали ИИ. Самую раннюю подобную активность мы зафиксировали в сентябре 2024 года, самую позднюю — в апреле 2025-го.

Мы в команде Threat Intelligence исследуем сложные атаки с интересными способами закрепления и сбора информации, с уникальной инфраструктурой. Бывает, попадаются какие-то простенькие скрипты на пару строчек или же «бомбы», которые запускают сразу десятки различных малварей. Но очень редко мы встречаем настолько длинные цепочки очень простых скриптов, написанных ИИ и при этом рабочих, в такой сложной связке — видно, что логика была продумана. Считайте это описание целевых атак в иерархии script kiddie.

Инсайдерские угрозы — одни из самых сложных для обнаружения. Проблема в том, что они исходят от своих же сотрудников, которые уже имеют законный доступ к системам. Специалисты по безопасности знают об этих рисках, но им часто не хватает качественных данных для обучения систем, которые могли бы улавливать едва заметные признаки вредоносного поведения.

Делимся переводом статьи Helpnet Security о проекте, который обучает службу ИБ обнаруживать инсайдеров благодаря ИИ-симуляции. Под катом – о том, как это работает и насколько эффективно.

Как работает хэш-функция? На вход подаются произвольные данные — слово, веб-сайт, файл или ДНК человека — а на выходе получаем 16-теричное число (hex). Очень удобно, чтобы стандартизировать различные объекты, присвоить им уникальные ID, цифровые отпечатки.

К сожалению, отпечатки иногда получаются одинаковыми — происходят коллизии.

Коллизии хэш-функций похожи на парадокс дней рождения, который недавно вызвал бурные дебаты на Хабре и на HN. Почему люди так горячо спорят? Наверное, потому что человеческая интуиция иногда не совпадает с математическими формулами. Другими словами, язык математики ≠ человеческому.

Интересно сравнить разные хэш-функции с математической точки зрения. Насколько часто встречаются «парадоксы»?

За последние дни количество моих знакомых и друзей, пострадавших от угона их телеграм-аккаунта, значительно выросло. Схема далеко не новая, я даже считал, что уж про нее слышали все, но оказалось это не так, и память людей довольно коротка.

В этой статье мы разберем двухэтапную схему с угоном и монетизацией tg-аккаунтов, а именно:

— Как именно происходит угон? Важен ли нарратив, используемый в социальной части?
— Достаточно ли только одной ошибки пользователя?
— Как именно аккаунты монетизируют?
— В чем главные фишки автоматизации работы злоумышленников на базе нейросетей?
— Как именно злоумышленники противодействуют жертве и попыткам вскрыть обман?
— Почему схема настолько успешна и что можно с этим сделать?
— Применима ли она к иным мессенджерам?

Интересно? Добро пожаловать под кат, а если посчитаете полезным — распространите.

Как вы храните данные? Используете файловое хранилище, S3, базы данных, держите файлы прямо на сервере, храните все локально на HDD, SSD или даже флешке — вариантов масса, на любой вкус и цвет. В этой статье я предлагаю вспомнить, как развивалось хранение информации и как мы прошли путь от наскальной живописи до приватного S3. Это поможет разобраться, какую технологию лучше использовать для ваших задач. 

Привет, Хабр!

В прошлый раз мы написали свой стегоанализатор и научились находить следы простого LSB-внедрения. На первый взгляд может показаться, что задача решена: есть алгоритм, есть анализатор, запускаем проверку и получаем ответ. Но в реальности всё гораздо сложнее. Стегоанализ — это не спринт, а бесконечная гонка вооружений, в которой тот, кто прячет, почти всегда на шаг впереди.

Некоторые языки программирования (например, Go и Zig) позволяют собрать приложение без каких-либо зависимостей, в том числе отвязаться от libc, тем самым создание distroless-контейнера на Go становится тривиальной задачей. Но эта же особенность может быть применена не только для создания контейнера, но и для запуска такого приложения в VM или на реальном хосте не используя какой-либо дистрибутив Linux, а используя только ядро Linux и само приложение, построенное с помощью Go (или, например, Zig). Такая возможность позволяет избавиться от дополнительных зависимостей, которые добавляют потенциальные риски с точки зрения атаки на цепочку поставок (supply chain attack).

Моя вторая статья — анализ сетевых запросов MAX и почему этот анализ — моё самое большое разочарование! Не ожидал я такого конечно, но описал все как есть.

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности: клиент Windows Server 2025 уже требует подпись SMB-пакетов. Всё, что не умеет — идёт мимо кассы.

В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения.

Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет. Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт.

Привет, Хабр! Мы — команда проекта ChameleonLab, и это история о том, как мы начали создавать полномасштабный образовательный центр по стеганографии и криптографии, отправной точкой которого стал наш desktop-инструмент.

По просьбам пользователей мы начали трансформацию в онлайн-сервис. Расскажем, как мы создали сайт на собственном микро-движке, который работает на JSON-файлах, почему отказались от популярных CMS и как планируем переносить сложную логику с Python в веб.

Как и у любого пользователя Андроид у меня есть аккаунт в Гугле.
А значит, кроме всего прочего, есть аж целых 15 гигабайт облачного хранилища, где можно что‑то хранить, на случай всяких внезапных проблем с локальным оборудованием.

Традиционно, для этого используется либо приложение Google Drive, либо веб‑интерфейс. Но ни то, ни другое не очень‑то удобно на компьютере, особенно когда привык просто работать с произвольными файлами, которые куда‑нибудь копируются. И тем более — плохо подходит для автоматизации.

Второй возникающий вопрос — всё, что хранится не в вашем собственном облачном хранилище — в принципе доступно кому‑нибудь не вам. И хорошо, если ваши личные документы читает какой‑нибудь бот, для которого вы — всего лишь один из миллиардов анонимусов, хуже если информация утечет куда не надо и попадет кому не нужно.

Вот эти две проблемки попробуем решить.

29 сентября исполнится четыре года со дня ареста Ильи Сачкова. Вроде бы споры вокруг этой истории поутихли, но каждый раз, когда речь заходит о ней в профессиональном кругу, тема оживает и вызывает живой отклик. Слишком много неясного и противоречивого, слишком серьёзные вопросы затронуты.

Для меня это стало поводом взглянуть шире: не только на само дело, но и на ту этическую ловушку, в которую попадают специалисты по кибербезопасности. Как честно работать в глобальном сообществе, при этом оставаясь гражданами конкретной страны, со своими законами и ограничениями? Где искать баланс? Какие ориентиры появятся в ближайшем будущем — и что нам даёт новый международный Code of Professional Conduct от ISC2?