Информационная безопасность *

Привет! Делимся с вами материалом, подготовленным Романом Стрельниковым — руководителем направления информационной безопасности в Битрикс24. Роман — тот самый человек, который контролирует все и даже аппрувит статьи в этот блог, чтобы ни капли конфиденциальной информации не утекло из компании. 

Как видите, у нас безопасность под контролем человека. Даже несмотря на огромное количество ИИ-решений в сфере защиты информации. Мы понимаем, что ИИ становится полноценным игроком и в этой области. Причём сразу в двух командах: атакующих и защищающихся. Он учится, ошибается, адаптируется и совершенствуется. 

И если злоумышленники могут доверить атаку искусственному интеллекту, то что происходит на стороне защиты? Раньше мы всегда знали, что каковы бы ни были технические причины сбоя, падения сервера или проникновения в систему, ответственность всегда на сотруднике. В реальности, где решение принимает обученная модель, вопрос меняется: а кто виноват, если ошибся ИИ?

Это наша новая реальность. Добро пожаловать в очередную технологическую гонку.

Всем привет! Публикуем вторую и заключительную часть разбора заданий конкурса AI CTF 2025. Задания этой части повышенной сложности! Приготовьтесь вспоминать, как работают ML-модели и сервисы их использующие. А ещё приоткройте учебник эльфийского ;-)

Разбираемся с тем, как накрывающие друг друга волны хайпа в безбрежном океане ИИ влияют на наши профессиональные схемы работы по удостоверению персональных данных (ПД). Последняя волна так или иначе связана с ИИ агентами, но как выяснилось, не только.

Представьте себе такую картинку. В эту минуту миллионы пользователей в онлайне совершают покупки в интернет магазинах или получают в том же онлайне услуги самых разнообразных сервис‑провайдеров. При этом они постоянно передают свои персональные данные поставщикам услуг и товаров, которым необходимо верифицировать полученные ПД, чтобы отфильтровать попытки фрода и убедиться в благонадежности и платежеспособности клиента. Очень часто они для этого обращаются к нам, в компанию IDX, для удостоверения полученных данных. Покупателям товаров и потребителям услуг тоже желательно бы убедиться в надежности поставщика, особенно когда речь идет об операции «из рук в руки» (вторичный рынок товаров и услуги самозанятых и индивидуалов). До недавнего времени для этого можно было воспользоваться услугой многочисленных сервисов типа «Глаз бога», но недавно, после очередного усиления ответственности за обработку ПД вплоть до уголовной, все эти сервисы прикрылись в одночасье.

Конечно, прежде, чем купить что‑то у поставщика, которым раньше не пользовался, люди обычно читают рекомендации, сравнивают предложение с другими похожими, проводят некоторые изыскания в сети. Самые продвинутые могут даже спросить совета у ИИ‑ассистента, но безоглядно доверять этому совету не будут, потому что знают, что лучшие друзья писателя, переводчика и кодировщика в житейских бытовых вопросах часто подвирают и галлюцинируют. Поэтому помощь ИИ пока не выделяется на общем фоне проверок надежности поставщика.

Настоящая публикация - перевод " Baris Dincer / Cyber Threat Intelligence Investigator & CIO / Lex Program - Windows User Activity Analysis".

ВВЕДЕНИЕ

Анализ активности пользователей Windows является краеугольным камнем расследований в области цифровой криминалистики и реагирования на инциденты (DFIR). Этот процесс включает в себя изучение артефактов, создаваемых в результате взаимодействия пользователя с операционной системой Windows, приложениями и сетевыми ресурсами. Эти артефакты, часто разбросанные по журналам событий, записям реестра, метаданным файловой системы и журналам, специфичным для приложений, предоставляют хронологическое повествование о действиях пользователя. Анализируя эти данные, следователи могут восстановить события, предшествующие и последующие инциденту безопасности, идентифицировать вовлечённых лиц и установить методы, использованные злоумышленниками.

Значение анализа активности пользователей Windows трудно переоценить в контексте современных вызовов кибербезопасности. Поскольку Windows является широко используемой операционной системой в корпоративной среде, она часто становится основной целью кибератак и внутренних угроз. Исследование активности пользователя на скомпрометированной системе позволяет организациям понять масштаб и последствия инцидента. Например, такой анализ может выявить несанкционированный доступ, попытки вывода данных или умышленное злоупотребление привилегиями. Кроме того, он играет важную роль в выявлении пробелов в средствах защиты и установлении шаблонов, указывающих на появляющиеся угрозы.

Привет, Хабр! На связи снова команда UserGate uFactor, и мы продолжаем делиться нашими исследованиями в области кибербезопасности. В прошлом материале мы рассказали о двух сценариях атаки: об атаке через LNK-файлы с применением криптографических методов и о многоступенчатой загрузке через BAT-файлы. В этот раз разберем атаку, основанную на фишинговой рассылке вредоносного программного обеспечения DarkWatchman (Buhtrap).

Привет! Без лишнего: в статье расскажу про атаки на кэш-память в процессорах семейства ARMv8. Подробно изучил их для совершенствования безопасности KasperskyOS: познакомлю с теорией и практикой, механизмами работы и способами митигации. Также кратко расскажу, как мы тестировали каждый способ атаки на KasperskyOS, какие из них оказались неприменимы, какие могут представлять угрозу и как микроядро с подобными угрозами справляется. Если интересно гранулярно погрузиться в типологию атак на кэш — добро пожаловать!

Все мы знаем, что устройства физической безопасности собирают колоссальные объёмы информации об окружающей среде, в которой они работают. При грамотной классификации и анализе эти данные превращаются в прикладную аналитику, позволяющую значительно повысить уровень защиты организации. Именно здесь на сцену выходит метаданные.

В крупных компаниях с множеством платформ, например, интерфейсом интернет-магазина и системой обработки данных, часто требуется настроить доступ между системами через единый вход (SSO). Эта статья рассматривает задачу: обеспечить доступ из фронт-системы (reports-frontend) к API отчётов (reports-api) через Keycloak, чтобы JWT-токен содержал роль report_user. В контексте e-commerce это можно представить как интерфейс магазина, где менеджеры запрашивают отчёты о продажах, а Keycloak управляет аутентификацией.

Кому будет полезно?

Аналитики: Узнаете, как составлять заявки (например, в Jira) на настройку Keycloak, координировать с командами и проверять JWT в DevTools, чтобы избежать ошибок, таких как отсутствие роли в токене.

Разработчики: Познакомитесь с примером кода для React-фронтенда и Node.js-бэкенда, реализующим OIDC и PKCE.

Архитекторы: Поймёте, как Keycloak поддерживает SSO, масштабируемость (через PostgreSQL или Active Directory) и безопасность (PKCE, HTTPS).

Что внутри?

Теория: Объясняем SSO, OpenID Connect (OIDC), компоненты Keycloak (realms, хранилища, PKCE) и как JWT с ролью report_user обеспечивает доступ.

Практика: Показываем проект с React (reports-frontend), Node.js (reports-api) и Keycloak, запущенный через Docker Compose. Код включает realm-export.json, App.tsx, server.js, ReportPage.tsx.

Аналитика: Рассказываем, как аналитик формирует заявки на настройку Keycloak и координирует работу с админами, разработчиками и DevOps.

В этой статье разбирем XSS уязвимость, обнаруженную в парсере Reddit, который при определенном условии (запланированных постах)  не очищал гиперссылки. Уязвимость была не в живом контенте — она скрывалась в редакторе. Эта находка принесла $5000 вознаграждения.

Уязвимость за 60 секунд  

Цель: Запланированные посты на Reddit
Вектор: Вредоносная гиперссылка, встроенная с использованием javascript
Триггер: Редактирование запланированного поста через интерфейс  
Влияние: XSS на привилегированных пользователей (администраторов/модераторов) в один клик

Компания Linx — сервис-провайдер с дата-центрами в Москве и Санкт-Петербурге. Мы развиваем свою облачную платформу и недавно запустили Kubernetes as a Service на базе Deckhouse Kubernetes Platform (DKP).

DKP (№27871 в Едином реестре российского ПО) автоматизирует процессы администрирования и эксплуатации K8s-кластеров, связанные с аутентификацией и управлением доступом, мониторингом и логированием, работой с сертификатами и настройкой отказоустойчивости. В этой статье мы рассмотрим ключевые возможности решения и покажем интерфейс платформы. Будет полезно, если вы задумываетесь о том, чтобы попробовать Kubernetes как сервис из облака и хотите узнать больше о доступных на отечественном рынке вариантах.

Сегодня, мои дорогие читатели, хочу поговорить об экономике или почему за программы приходится платить.

На некоторые устройства не очень удобно или вообще невозможно поставить приложения, которые позволяют создавать тоннели или изменять роутинг.

Можно создать в сети несколько VLAN и на точке доступа WiFi на каждую создать свой SSID (имя точки) и иметь несколько "виртуальных" WiFi точек с разными маршрутами и тоннелями.

Здесь мы рассмотрим настройку такой схемы с роутером на pfSense, точкой доступа на OpenWRT и отдельным линуксом для тоннеля в VM на Proxmox. Эти идеи можно использовать и в других комбинациях железа и софта.

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

На этой неделе новости про: почему не стоит трудоустраиваться в Макдональдс; Госдума против легализации белых хакеров; про ещё одну причину не покупать себе Мерседес; Android, наверное, стал безопасным и другие только самые важные и интересные новости из мира информационной безопасности.

Привет, Хабр!

Помните то блаженное время, когда для доступа к любому ресурсу хватало простого WireGuard до сервера в Германии? Я тоже помню. Но эта эпоха закончилась. Недавно я заметил, что мой верный VPN стал лагать, рвать соединение и вести себя так, будто его кто‑то целенаправленно «душит». Это был тот самый момент, когда я понял: игра изменилась. Системы глубокого анализа трафика (DPI) стали умнее, и мой трафик для них был как на ладони.

Это стало моим личным вызовом. Я отправился в путешествие по миру современных средств обхода блокировок, наступил на множество граблей (чего только стоит осознание, что «двойное шифрование» — это миф!), но в итоге нашел свое сокровище — рабочую и относительно устойчивую схему на базе VLESS+Reality и Multi‑hop.

Эта статья — не «серебряная пуля». Это честный, подробный и, надеюсь, полезный гайд по постройке сложной VPN‑цепочки. Мы разберем ее архитектуру, честно поговорим о рисках и соберем все по шагам.

Сегодня я хочу поделиться с вами решением, которое позволит вам реализовать подписание PDF-документов электронной подписью и их визуализацию прямо на вашем Laravel сервере.

9 июля 2025 года компания Perplexity представила свой первый AI-браузер Comet, который объединяет возможности фирменного поисковика и умного ассистента. Новый продукт напрямую конкурирует с Google Chrome и привычными способами работы в интернете.

Всем привет! В нашей сегодняшней статье мы рассмотрим применение OSINT в условиях современных военных конфликтов. Важность разведки по открытым источникам сложно переоценить — OSINT становится одним из краеугольных тактических инструментов на поле боя.

Мы поговорим о роли спутниковых снимков и геолокационного анализа, работе с утечками и фишинге по противнику. Затронем тему информационно-психологических операций и роли БПЛА как OSINT-инструмента. А также выделим ключевые тренды будущего OSINT-разведки, которая будет играть всё большую роль в боевых действиях. За подробностями добро пожаловать под кат!

Интервью с человеком, который провёл несколько сотен p2p-сделок по продаже и покупке USDT на Bybit и наступил на разные грабли. Пятничная история, чтобы читатели были предупреждёнными и осторожными.

Привет, Хабр! На связи снова Антон Дятлов, инженер по защите информации в Selectel. Буквально несколько дней назад мы с вами рассмотрели установку и безопасную настройку pgcrypto и изучили его основные возможности. Пришло время перейти к практическому применению этих знаний.

В этой статье разберем конкретные сценарии использования pgcrypto в реальных проектах и углубимся в вопросы производительности и проблемы индексирования зашифрованных данных. Отдельно я сформулировал чек-лист лучших практик безопасности и сравнил pgcrypto с альтернативными подходами, чтобы вы могли сделать осознанный выбор для своей архитектуры. Прошу под кат!

Когда я начинал писать Node.js-сервис, который должен был интегрироваться с LLM-моделью, я уже понимал, что доступ к некоторым зарубежным API из России может быть проблемой. Именно поэтому моим первоначальным выбором была модель от Yandex Cloud — Yandex GPT.

Но после того как я и мои товарищи немного пообщались с ней, стало ясно, что Yandex GPT нам не подходит. Её ответы были слишком неестественными, «нечеловеческими» — особенно это было заметно в нашем конкретном кейсе. Поэтому пришлось искать альтернативу среди зарубежных моделей. Вариант обучать собственную модель отпал сразу — опыта у меня в этом не было, а искать кого-то, кто сможет это сделать, не было времени, так как хотелось быстро запустить. Так выбор пал на Gemini API от Google, о котором было много позитивных отзывов.

Однако это означало, что нужно было как-то решить проблему доступа из России, ведь мой сервис размещён именно в Yandex Cloud.