Как стать автором
Обновить
917.44

Информационная безопасность *

Защита данных

Сначала показывать
Порог рейтинга
Уровень сложности

Небезопасная десериализация в PHP: Как создать собственный эксплойт

Уровень сложностиСредний
Время на прочтение14 мин
Количество просмотров4.1K

Привет, Хабр! Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.

Читать далее

Прошивки OpenWrt: атака на цепочку поставок

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров12K

Несколько дней назад я обновлял сеть своей домашней лаборатории и решил обновить OpenWrt роутера 1. Подключившись к LuCI (веб-интерфейсу OpenWrt), я заметил раздел Attended Sysupgrade и попробовал обновить прошивку с его помощью.

В описании говорилось, что он собирает новую прошивку при помощи онлайн-сервиса.


Мне стало любопытно, как это работает, так что я приступил к исследованиям.
Читать дальше →

Ужесточение ответственности за нарушение 152-ФЗ: разбор изменений в области защиты персональных данных

Время на прочтение14 мин
Количество просмотров1.9K

Тема утечек персональных данных (далее – ПДн) не теряет своей актуальности уже несколько лет. Так, InfoWatch в отчете «Утечки информации в мире» зарегистрировал в 2023 году рост утечек ПДн на 61,5% в сравнении с 2022 годом. При этом, значительно выросло количество утекших записей ПДн — до более чем 47,24 млрд., что на 111,5% больше, чем в 2022 году. В связи с этим вопрос ужесточения ответственности за нарушение защиты ПДн становится все более значимым.

За последние годы регулирующие органы неоднократно озвучивали предложения об ужесточении ответственности за нарушение обработки и защиты ПДн и вели планомерную работу по разработке соответствующих законопроектов. В статье мы рассмотрим ответственность за нарушение требований 152-ФЗ и 572-ФЗ.

Читать далее

Не нажимайте эту кнопку: почему макросы Office все еще опасны

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров6.2K

В 1993 году вышел Excel 5.0 — первый продукт Microsoft, поддерживающий макросы на языке Visual Basic for Applications. Это событие стало настоящей революцией для офисных клерков: сотрудники, не обладавшие специальными знаниями в программировании, вдруг получили мощный инструмент для автоматизации монотонных офисных задач, которые прежде отнимали уйму времени. 

Однако макросы пришлись по душе не только работникам офисов. Всего спустя два года появился Concept — первый вирус, который эксплуатировал возможности макросов для кибератак. С тех пор макросы Microsoft Office стали излюбленным способом проникновения в корпоративную сеть у хакеров. Даже сегодня многие успешные атаки на компании начинаются с отправки фишингового письма с документом, который заражен вредоносным макросом.

В этой статье мы разберем механизмы работы макросов и на конкретных примерах покажем, как злоумышленники обходят средства защиты, которые Microsoft совершенствует уже четверть века. Отдельно поговорим про методы социальной инженерии, превращающие макросы в настоящее кибероружие в руках злодеев.

Читать далее

«Интегрируй, доверяй»: почему появилась концепция zero trust, и как мы объединили три ее компонента в едином продукте

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров1.2K

Привет, Хабр! Меня зовут Виталий Даровских, я менеджер продукта в компании UserGate. Мы разрабатываем программные решения и микроэлектронику в сфере информационной безопасности, а также предоставляем ИБ-услуги.

Сегодня расскажу о том, как зародилась концепция zero trust, а также поделюсь нашим опытом разработки продукта UserGate Client. Это — решение для контроля безопасного доступа в инфраструктуре предприятия.

Читать далее

Вне зоны доступа: как связаны регулярная аттестация прав доступа и защита ИТ-инфраструктуры компании

Время на прочтение6 мин
Количество просмотров588

Людмила Севастьянова, менеджер по развитию продуктового портфеля управления доступом, поделилась статьей о том, зачем нужна аттестация прав сотрудников и почему ее нужно проводить регулярно, и почему она крайне важна для финансового сектора.

И небольшой спойлер - в тексте есть несколько "пасхалок", если найдете, пишите в комментариях.

Читать далее

Ваша DCAP не справляется: еще раз об идеальных vs достижимых требованиях к системе файлового аудита

Уровень сложностиПростой
Время на прочтение9 мин
Количество просмотров515

Привет, Хабр! На связи Алексей Парфентьев, я в «СёрчИнформ» заведую инновациями и аналитикой. Каждый год мы изучаем, чем и как защищают данные российские компании (кстати, недавно делились первыми результатами этого года). Увидели, что доля внедрения DCAP‑решений с 2021 года выросла почти в 10 раз (с 2,5% до 21%). Эта цифра меня зацепила — и вот я тут.

Вот в чем дело. DCAP — не новичок на рынке, первые полноценные российские решения появились пять лет назад, зарубежные гранды вроде Varonis известны и того дольше. На сегодня, на волне спроса почти каждый отечественный вендор DLP выпустил или начал разрабатывать собственную DCAP‑систему. И при этом ни у заказчиков, ни у вендоров пока нет консенсуса, что DCAP точно должны уметь!

На практике это значит, что системы на рынке часто сходятся только в заявленных задачах: это аудит, классификация и защита данных в корпоративных хранилищах (Data‑Centric Audit and Protection — см. классификацию по Gartner). А решают их все по‑своему. Я решил разобраться, от чего это зависит, какие преимущества и риски у разных подходов и какой вариант — оптимальный.

Читать далее

Выбор инструментов для доставки секретов в Kubernetes. Наш путь delivery of secrets

Уровень сложностиСложный
Время на прочтение6 мин
Количество просмотров2.3K

Привет, Хабр! Меня зовут Натиг Нагиев, я Devops-инженер в МТС Диджитал.

Проект, над которым я сейчас работаю, занимается обеспечением авторизации внешних клиентов. Это Mission Critical система, поэтому нам нужно было ускорить и оптимизировать доставку секретов в контейнеры с микросервисом, избежать дополнительных рабочих нагрузок в kubernetes, гарантировать безопасность при доставке секретов и исключить внешние зависимости.

Сейчас де-факто стандартом для таких задач стало хранилище HashiCorp Vault, поэтому мы рассматривали и пробовали разные инструменты: Vault Agent Injector, Vault CSI Provider, External Secrets Operator и OpenBao — но в итоге остановились на связке Bank-Vault и Vault Secrets Operator.

В этом посте я расскажу, чем они интересны и какие у них есть плюсы и минусы, а в продолжении — как мы реализовали итоговую систему.

Читать далее

IDOR в cookie-сессии, приводящий к массовому захвату аккаунтов

Время на прочтение2 мин
Количество просмотров1K

Если вы знакомы с концепцией IDOR (Insecure Direct Object Reference), то знаете, что эта уязвимость может быть где угодно: в URL, теле запроса, запросах GET или POST, а также в cookie.

Я участвовал в одной приватной программе. начала, я начал изучать логику работы приложения. Обычно это дает возможность (но не всегда), обнаружить много уязвимостей. Именно это и произошло у меня … В итоге я занял место в рейтинге программы, сразу за несколькими известными хакерами. :)

Читать далее

Пентестим терминалы

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров2.9K

На просторах сети можно найти множество публикаций на тему проведения различных пентестов: этапность, используемые инструменты, получаемые результаты, отчетность и т.д. Однако, все это относится к классическому тестированию на проникновение в корпоративных сетях. При этом как правило не рассматривается пентест технологической сети и тестирование платежных терминалов, банкоматов и т.д. И если с первыми все более менее понятно, пентест реального работающего оборудования АСУТП запросто может привести к непоправимым последствиям и эту тему лучше особо не развивать, то пентест различных терминалов стоило бы осветить подробнее. В этой статье мы поговорим о том, как можно проверить защищенность банкоматов, платежных терминалов и других аналогичных устройств. Но для начала дежурный дисклеймер.

Дисклеймер

Материалы данной статьи приводятся в ознакомительных целях. Автор снимает с себя всякую ответственность за незаконной использование описываемых в статье решений. Также автор напоминает о статьях УК 272 (Несанкционированный доступ), 273 (Вредоносы), 274 (Нарушение правил работы) и 274.1 (все тоже самое, но для субъектов КИИ).

 

Читать далее

Security Week 2450: бэкдор в SDK для блокчейн-платформы Solana

Время на прочтение3 мин
Количество просмотров992
На прошлой неделе разработчики JavaScript-библиотеки solana/web3.js сообщили об обнаружении бэкдора, который позволял злоумышленникам красть средства у пользователей. Библиотека входит в набор SDK для блокчейн-платформы Solana и может использоваться разработчиками других приложений, если они хотят реализовать поддержку этой платформы или проводить платежи с использованием связанной криптовалюты SOL. Таким образом, данный инцидент является примером атаки на цепочку поставок, когда взлом одного компонента в итоге приводит к компрометации множества приложений.


Это еще один инцидент, в котором вредоносный код добавлялся в проект с открытым исходным кодом, также с целью дальнейшего внедрения в другие проекты. Библиотека solana/web3.js распространяется через репозиторий NPM, где ее скачивают в среднем 350 тысяч раз в неделю. По данным разработчиков библиотеки, 3 декабря кто-то получил доступ к учетной записи с правами публикации обновлений и в течение нескольких часов выложил целых два обновления со встроенным бэкдором.
Читать дальше →

Обратная сторона использования ИИ хакерами для поиска уязвимостей в ПО

Время на прочтение6 мин
Количество просмотров1.1K

Привет, Хабр! На связи Ольга Овсянникова, старший программист-консультант на проектах для Fix Price. Распространенность и доступность ИИ привела к тому, что злоумышленники начали адаптировать возможности ИИ-моделей для своих нужд. Кибератаки становятся более сложными и изощренными, и ИИ помогает злоумышленникам находить и использовать уязвимости быстрее и эффективнее, чем традиционные методы взлома. А по мере роста объема данных и сложности программных систем, ИИ позволяет хакерам даже автоматизировать свои методы атаки, что делает угрозу кибератак еще более серьезной. Но многие компании и отдельные пользователи пока не готовы к тому, чтобы противостоять новым вызовам. Давайте рассмотрим подробнее, как киберпреступники используют ИИ в своих целях, и что мы можем противопоставить этому.

Читать далее

Поиск по почте и никнейму

Время на прочтение4 мин
Количество просмотров3.9K

Приветствуем дорогих читателей! Продолжаем рубрику статей на тему OSINT под названием «ШХ». В этой статье для вас подготовили инструменты, которые неплохо помогут в решении задач сетевой разведки. Попробуем автоматизировать поиск по электронной почте и рассмотрим многофункциональный инструмент по поиску никнейма. Данный материал отредактирован и опубликован повторно, в связи в блокировкой прошлого материала РКН на территории РФ.

Дисклеймер: Все данные, предоставленные в данной статье, взяты из открытых источников, не призывают к действию и являются только лишь данными для ознакомления, и изучения механизмов используемых технологий.

Читать далее

Ближайшие события

25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань

От пары «древних» уязвимостей в IP-камере до пробива инфраструктуры

Время на прочтение3 мин
Количество просмотров2.7K

Никто не ожидает, что принтер, беспроводная мышь или IP‑камера могут таить в себе угрозу, оттого вдвойне обидно получить удар в спину от, казалось бы, безобидных девайсов. Тем не менее, уязвимости, обнаруженные в IP‑камере в одном из наших проектов, позволили пентестерам УЦСБ беспрепятственно осуществить атаку, оставаясь при этом незамеченными службой безопасности.

В третьем кейсе из цикла публикаций о победителях премии Pentest Awards мы расскажем о том, как несколько уязвимостей в полезном устройстве, созданном для обеспечения безопасности, могут стать для хакеров окном в инфраструктуру компании.

Читать далее

Сĸрытые угрозы в MS Exchange: почему перебор пользователей — это больше, чем просто ошибĸа

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров802

Ранее экспертами СайберОК была обнаружена уязвимость перебора пользователей в модуле Autodiscover продуĸта Microsoft Exchange Server. В данной статье мы рассмотрим техничесĸие детали уязвимости, обсудим причины, по ĸоторым она заслуживает внимания со стороны специалистов в области информационной безопасности и разберем методы минимизации риска. 

Читать далее

Скрыть нельзя найти: как прятали информацию на ПК в 2000-х

Время на прочтение6 мин
Количество просмотров21K

Приватность — одна из базовых потребностей человека. Как только персональные компьютеры распространились по миру, проблема защиты личных данных стала очень актуальной. Сегодня расскажу о практических приемах сокрытия информации от посторонних глаз. Речь пойдут о способах и инструментах, которые были популярны у пользователей ПК с начала 2000-х. То есть когда интернет был еще не слишком распространен, места на жестком диске вечно не хватало, а про облака так и вообще никто не слышал.

Читать далее

Как я взломал одну из самых топовых нейросетей (Claude 3.5 Sonnet) для студенческой научной статьи

Уровень сложностиСредний
Время на прочтение33 мин
Количество просмотров15K

Я — простой студент, который обучается по направлению «Информационная безопасность». Так вышло, что по программе мне нужно было написать научную статью по теме ИБ. Будучи авантюристом я выбрал тему, которая была мне ближе и интереснее... и так получилось, что в пылу энтузиазма я немного перевыполнил свой план. К сожалению, я был ограничен в объеме по написанию научной статьи, и много интересного материала пришлось вырезать или сократить. Поэтому, тут я хотел бы написать полную версию моей статьи, во всяком случаи, какой я бы хотел ее видеть.

Как итог - у меня получилось полностью снять защиту в современной и защищенной языковой модели, и написать программу которая это автоматизирует. Эта модель признана одной из лучших.

Читать далее

ZIP-бомба в формате Apache Parquet

Время на прочтение5 мин
Количество просмотров5.1K


Давние хаброжители помнят, как в 2015 году ZIP-бомба в формате PNG ненадолго вывела из строя Habrastorage. С тех пор появились новые разновидности этого «оружия»: например, разработаны нерекурсивные и компиляторные бомбы (29 байт кода → 16 ГБ .exe).

Подобного рода экспоиты можно встроить не только в формат ZIP или PNG, но и в других форматы файлов, которые поддерживают сжатие. Например, в формате Apache Parquet.
Читать дальше →

От CNAPP до CTEM — ИБ-термины простыми словами

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров2.1K

Современные облачные сервисы и другие области ИТ включают большое количество специализированных терминов и аббревиатур, связанных с информационной безопасностью. Чтобы упростить понимание этих понятий, мы подготовили компактный словарь для менеджеров и начинающих специалистов.

Простыми словами объясняем распространённые термины, обозначающие механизмы и решения для защиты различных сред: от управления правами доступа до межсетевых экранов. Материал поможет разобраться в технологиях безопасности и сделать их использование максимально эффективным.

Читать далее

Анализ аккаунтов Telegram

Время на прочтение4 мин
Количество просмотров6.5K

Приветствуем снова дорогих читателей! Продолжаем цикл статей "ШХ" и сегодня нашим блюдом будет Telegram. В ранних статьях мы рассмотрели способы аккаунтов целевого пользователя по его никнейму, после чего проводили разведку его аккаунта в социальной сети Вконтакте. На данном этапе мы ставим для себя важным узнать номер телефона пользователя, т.к. от номера уже можно будет неплохо отталкиваться в разведке и номер телефона может поведать о ещё подробней о своём владельце. В прошлой статье мы пытались выяснить номер при помощи страницы Вконтакте, а в этой как уже догадались по названию, мы будем пытаться выяснить как можно больше информации об аккаунте Telegram. Данный материал отредактирован и опубликован повторно, в связи в блокировкой прошлого материала РКН на территории РФ.

Дисклеймер: Все данные предоставленные в этой статье взяты из открытых источников. Не призывают к действию и размещены только лишь для ознакомления и изучения механизмов используемых технологий.

Читать далее