Информационная безопасность *

Когда данные врут или молчат: Как мы вытаскивали расследование атаки из трясины плохих логов, и почему вам стоит проверить свои прямо сейчас.

Киберугрозы эволюционируют с невероятной скоростью, и каждый год приносит новые вызовы для специалистов по информационной безопасности. В отчете CrowdStrike Global Threat Report 2025 представлен детальный анализ современных атак, тенденций и тактик злоумышленников.

Краткий обзор, он же Введение из отчета CrowdStrike можно прочитать в CrowdStrike — 2025 — Global Threat Report (Отчет о глобальных угрозах) — Введение

Всем привет! Разбираем самые интересные уязвимости ушедшего месяца. В марте отметилась россыпь RCE: в Veeam Backup & Replication, Apache Tomcat, GraphQL-Ruby, IP-камерах Edimax и продуктах от VMware и Microsoft.

Последняя также исправила семь нулевых дней в своём софте, 0-day на выход из песочницы также закрыли в операционках от Apple. Кроме того, во фреймворке js.React исправили критическую уязвимость на обход авторизации, а в библиотеке ruby-saml — на выдачу себя за другого пользователя. Обо всём этом и других ключевых CVE марта читайте под катом!

В этой статье разберем CVE-2025-24071 — нашумевшую критическую уязвимость, связанную с обработкой файлов .library-ms в Windows Explorer. Расскажем, как работает атака злоумышленников, какие события она оставляет в системе и как обнаружить попытки эксплуатации. А еще — какие меры защиты помогут закрыть уязвимость. 

Спойлер: Microsoft считает угрозу низкорисковой, но эта уязвимость может стать крайне популярной в фишинговых кампаниях.

Приятного чтения!

В свободное от работы время занимаюсь хобби — экспериментирую с умным домом на базе Home Assistant (HA) и окружающей его программно‑аппаратной инфраструктурой в виде различных медиасервисов, сервисов мониторинга и прочего.

Задумывались ли вы о том, что могут скрывать в себе протоколы передачи данных между обычными бытовыми устройствами? Вне зависимости от ответа, я сейчас расскажу об одном занятном кейсе.

Продолжаем знакомиться с небезопасным Web3 и языковыми моделями, которые широко применяются для AI-агентов. В этой статье расскажу о новых подходах и примерах успешных jailbreak-запросов GPT4/4.5/Claude. Посмотрим на современные модели, в т.ч. те, которые и ломать не надо. Сравним стойкость разных моделей, а в конце разберем несколько конкурсных задач по взлому AI Web3 агентов.

Первую часть можно найти тут

В небольшой компании «ТехноСофт», занимавшейся разработкой ПО для автоматизации бизнеса, пятничный вечер казался обычным. Менеджер по продажам — молодая симпатичная девушка с яркими рыжими волосами и в стильных очках — объявила об уходе.

Она была звездой отдела: обаятельная улыбка и умение закрывать сделки делали её незаменимой. Конкуренты переманили её, предложив лучшие условия. В тот вечер она угостила коллег пиццей, попрощалась и ушла, унося в рюкзаке ноутбук и пачку визиток. Команда пожелала ей удачи, а утром её учётную запись в Active Directory (AD) заблокировали. Но никто не проверил доступы к серверу через Remote Desktop Protocol (RDP) — ошибку, за которую «ТехноСофт» скоро поплатился.

Всех приветствую, читатели Хабра!

Четвертая часть анализа защищенности веб-приложений Vulnhub.

Ссылки на первые три части, советую ознакомиться (в первой части детально разбираб где скачать образы уязвимых машин, как их поднять на докер, и много другое):

https://habr.com/ru/articles/894508/
https://habr.com/ru/articles/895092/
https://habr.com/ru/articles/895856/

Примечание

Правовая информация:

Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях.
Автор статьи не несет ответственности за ваши действия.
Автор статьи ни к чему не призывает, более того напоминаю о существовании некоторых статей в уголовном кодексе РФ, их никто не отменял:
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ
УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Все атаки я проводил на локальный сервер, внутри моего сетевого интерфейса, на моем компьютере, то есть все действия легитимны.

И как всегда просьба не переходить на личности в комментариях, если вы обнаружили ошибку недочет или неточность, просто без оскорблений напишите комментарий или напишите мне личным сообщением.

В последние годы мы наблюдаем активный рост популярности LLM-моделей и интереса к их интеграции в Web3-приложения, такие как DAO и dApp-боты или автоматические трейдеры. Представьте: смарт-контракт управляет финансами, а подключённая языковая модель принимает решения, основываясь на анализе новостей или команд пользователей. Ещё недавно такая идея казалась футуристичной, однако сегодня, в 2025 году, web3 AI-агенты, взаимодействующие с блокчейном и децентрализованными системами, стали реальностью.

Многие уже слышали истории о том, как пользователи вынуждают LLM-модели отвечать на неэтичные вопросы, сочинять матерные стихи и совершать другие «шалости». Однако в контексте web3 подобные нестандартные поведения моделей могут привести к реальным и ощутимым финансовым последствиям. В этой статье мы рассмотрим устройство web3 AI-агентов, проанализируем возможные векторы атак, обсудим актуальные jailbreak-методы и разберём несколько конкурсных задач на примерах из личного опыта.

Игнорирование уязвимостей в операционных системах или других программных продуктах – ситуация в принципе невообразимая. Напротив, разработчики всегда стремятся найти источник бреши и как можно скорее его устранить, даже если речь идет о какой-то незначительной утилите. Ведь именно от этого зависит, будут ли пользователи защищены от внешних угроз. Тем более, если речь идет о такой глобальной платформе, как Windows. Но обстоятельства бывают разными, и иногда компании осознанно идут против правил, игнорируя вполне реальные опасности.

Microsoft отказалась устранять уязвимость в Windows с идентификатором ZDI-CAN-25373, которая активно эксплуатируется хакерами с 2017 года. Несмотря на очевидную опасность, компания классифицировала проблему как "несущественную" и решила не выпускать патч с исправлением. Об этом и поговорим сегодня.

Как компаниям противостоять растущим киберугрозам

Бизнес все больше зависит от цифровых технологий, а вместе с этим растет и поток киберугроз. Хотя методы атак эволюционируют, их суть остается прежней, меняясь лишь в деталях. Для команд безопасности (Supplier Relationship Management, SRM) задача не сводится лишь к устранению рисков — важно правильно расставлять приоритеты, особенно в условиях ограниченных ресурсов. Эксперты Gartner подчеркивают: пассивная защита больше неэффективна, необходим проактивный подход.

Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 2 данного свода знаний объясняются принципы оценки и управления киберрисками, описывается ряд методик оценки рисков и показывается, как и почему эффективное управление киберрисками позволяет обеспечивать кибербезопасность, а также обсуждается важность корректного реагирования на киберинциденты в случае, если реализацию риска не удалось предотвратить. Сегодня – первая часть обзора Главы 2 CyBOK.

‎Cloud IDE, Cloud Desktop, Cloud CDN и DNS, контейнеры Kubernetes, BaaS и DBaaS — у вашего безопасника уже задергался глаз? И не только у него. Многие компании все еще не доверяют облакам. Их пугает чужая платформа, которая на первый взгляд выглядит как черный ящик. Нельзя же просто взять и переехать туда на доверии, разместив в ней критические бизнес-приложения?

Меня зовут Александр Лугов, я руковожу группой по обеспечению информационной безопасности облачной платформы K2 Cloud. Давайте последовательно разберемся, как выстроить доверительные отношения с провайдером и на что обратить внимание.

[CIS Controls: 1 - Inventory and Control of Hardware Assets]

Описание инцидента: Злоумышленник взломал старый роутер с известными уязвимостями, перехватив трафик и украл данные.

План реагирования:

1. Обнаружение: Заметить подозрительный трафик или медленный интернет.

2. Изоляция: Отключить роутер от сети.

3. Оповещение: Сообщить руководству и провайдеру.

4. Исправление: Обновить прошивку роутера или заменить его.

5. Проверка: Убедиться, что трафик идет безопасно, и данные не утекли.

6. Предотвращение: Регулярно обновлять оборудование и проверять уязвимости.

Что может пойти не так:

- Администратор не знает пароль роутера.

- Прошивка не обновляется из-за старости.

- Нет логов для анализа трафика.

- Новый роутер не куплен из-за бюджета.

- Сотрудники подключаются к старой сети.

- Утечка не замечена вовремя.

Базы данных (БД) – это настоящие клады, где хранятся персональные данные, финансовые отчеты, коммерческие тайны и иная чувствительная информация. Поэтому неудивительно, что компании любых размеров – от стартапов до гигантов вроде Sony и Tesla – регулярно становятся жертвами атак, направленных именно на взлом БД.

Последствия таких атак могут быть катастрофическими: от миллионных штрафов и судебных разбирательств до серьёзного урона репутации. Но ирония в том, что в большинстве случаев взломы происходят не из-за гениальности хакеров, а из-за банальных ошибок самих компаний. Разберём самые распространённые уязвимости.

Каждый хотя бы раз в жизни должен устроить одну великолепную шутку. В этой статье я расскажу о своей (кажется, срок исковой давности уже прошёл). История правдива, вырезаны только имена, чтобы защитить виновного.

На своей первой работе после колледжа я был программистом баз данных, несмотря на то, что мой диплом никак не был связан с компьютерами, да и сегодняшняя профессия тоже. Причина заключалась в том, что университет, в котором я работал, не мог предложить конкурентоспособную зарплату, но имел различные неденежные бонусы, плюс они готовы были обучать любого, обладавшего достаточными для работы знаниями. Я, только что выпустившийся студент Университета Калифорнии, вполне освоил работу как минимум с BSD/386 и SunOS, и, что более важно, имел отличные рекомендации от своего предшественника, получившего повышение. Меня наняли, и это стало их первой ошибкой.

Не позволяйте вашем мыслям стать учебным материалом для ИИ — или всплыть в случае утечки данных. Неважно, какого чат-бота вы выберете: чем больше вы делитесь, тем полезнее он становится.

Пациенты загружают результаты анализов для расшифровки, разработчики отправляют фрагменты кода для отладки.

Однако некоторые исследователи ИИ советуют с осторожностью относиться к тому, что мы рассказываем этим человечно звучащим инструментам. Особенно рискованно делиться такой информацией, как паспортные данные или корпоративные секреты.

С вами снова Юля, системный аналитик из EvApps и мы продолжаем разбираться в технологии WebSocket. В первой части (WebSocket для начинающих системных аналитиков: просто о сложном. Часть 1), мы познакомились с основами WebSocket, а теперь давайте заглянем под капот реального сайта, например, криптобиржи. Попробуем понять, как работает этот сложный механизм: что происходит, когда вы видите мгновенно меняющиеся котировки и графики, и что происходит “за кулисами”.

​Описание инцидента: Злоумышленник использует украденные учетные данные (например, от сотрудника или подрядчика) для входа в сервер, сайт или облако компании.

План реагирования:

1. Обнаружение: Заметить подозрительную активность в логах (например, вход ночью).  
2. Блокировка: Отключить учетную запись и сменить все пароли.  
3. Оповещение: Сообщить руководству и проверить, какие данные могли быть украдены.  
4. Проверка: Просмотреть действия злоумышленника в системе.  
5. Усиление: Ограничить доступ по IP и обновить политики паролей.  
6. Расследование: Установить, как данные были украдены (фишинг, утечка).