Информационная безопасность *

Я — Оксана Пастернак, старший юрисконсульт компании Cloud.ru. Мы предоставляем облачные сервисы и взаимодействуем с Роскомнадзором (РКН) по вопросам защиты персональных данных и соответствия требованиям законодательства. Изнутри вижу, как важно выстроить процессы так, чтобы облако оставалось безопасным и проверку можно было пройти спокойно.

Облачная безопасность — тема, которая становится все более актуальной для бизнеса. Компании переходят в облако, размещают там рабочие среды, базы клиентов и персональные данные сотрудников. Но вместе с удобством растет и ответственность: любая ошибка в настройках доступа, неактуальная политика безопасности или задержка с уведомлением регулятора может закончиться штрафом.

Специалисты «Лаборатории Касперского» опубликовали на прошлой неделе свежую статью, в которой подробно описывается работа ботнета Tsundere. Имплант данного ботнета использует для коммуникации протокол WebSocket, а для первоначального соединения с командным сервером задействует необычный механизм с применением смарт-контрактов в криптовалютной сети Ethereum.

Исследователям не удалось достоверно определить первоначальный вектор заражения данным вредоносным кодом. В одном задокументированном случае имплант был установлен с помощью файла pdf.msi, который, в свою очередь, был загружен со скомпрометированного веб-сайта. По имеющимся названиям других образцов можно также предположить, что организаторы атаки используют в качестве приманки популярные игры для Windows, в частности Valorant, Counter-Strike 2 и Tom Clancy’s Rainbow Six Siege X. Распространяется имплант как в виде инсталлятора MSI, так и в формате скрипта PowerShell.

Представьте ситуацию. Вы, как работодатель, предприняли меры по охране конфиденциальности информации. Но в какой-то момент работник разгласил эту информацию. Возбуждено уголовное дело, процесс запущен, государство на защите потерпевшего. И вдруг, на стадии расследования дела или в суде, сторона защиты начинает ссылаться на то, что требования закона «О коммерческой тайне» в компании выполнены ненадлежащим образом и режим коммерческой тайны в компании не обеспечен, что исключает виновность подзащитного. 

Рассмотрим ситуацию в рамках требований закона, а также реалий сложившейся судебной практики. 

В этом семестре мы проходим в Висконсинском университете курс «Введение в алгоритмы» (577), где нам рассказывают о способах доказательства корректности программ, динамическом программировании, сетевом потоке и обстоятельствах, при которых Дейкстра изобрёл свой алгоритм поиска кратчайшего пути.

Однако этот курс стал для меня довольно уникальным тем, что оказался первым, требующим обязательного присутствия на лекциях. Проверка посещаемости реализована на основе платформы TopHat, которая известна многим студентам.

Чтобы доказать, что ты присутствовал на лекции, нужно указывать в TopHat четырёхзначный код (сообщаемый лектором). Достаточно ввести код на странице студента в TopHat, после чего он считается посетившим лекцию.

Однако, наверно, разработчики поняли, что у системы есть уязвимость, которую невозможно пропатчить — друзья. Если они учатся на том же курсе, что и ты, то лёжа в кроватке, можно отправлять им сообщения со слёзными просьбами поделиться кодом.

Поэтому для лекторов-параноиков TopHat реализовала фичу «надёжной проверки посещаемости», которая, согласно описанию, определяет местоположение «по геолокации устройства и близости к аудитории и другим студентам».

Эти выходные прошли под эгидой Connection Reset. Пока новостные каналы писали расплывчатое «пользователи жалуются на сбои», мы в чатах и на тестовых стендах пытались понять физику процесса.

Если бы кто-то создал кнопку «Сделать безопасно», то заработал бы миллиарды. Но увы — такой не существует, приходится всё делать вручную.

Привет, Хабр! Меня зовут Анна Лучник. Последние два десятилетия я реализую сложные и безопасные ИТ-проекты.

В этой статье расскажу:

От каких угроз может защитить внедрение Service Mesh в теории и на практике.

Какие конфигурации и решения обесценивают включение mTLS, на какие конфигурации стоит обратить внимание, чтобы всё корректно работало.

Поговорим о том, чем mTLS отличается от обычного TLS.

К каким сбоям и проблемам может привести режим strict mTLS. И что делать, чтобы безопасность на стала причиной того, что у нас ничего не работает. 

В современном мире, где киберугрозы становятся всё более изощрёнными, а квантовые компьютеры угрожают взломать традиционные криптографические алгоритмы, возникает острая необходимость в новых подходах к защите информации. Волновая криптография на основе геометрической волновой инженерии (ГВИ) предлагает новое решение, основанное не на математической сложности, а на физических законах.

При разработке сложной системы приходится сталкиваться с использованием nginx в качестве reverse proxy: роутинг, список правил, регулирующих путь запроса во внутренние системы или между подсистемами.
Быстро развивающиеся сервисы обрастают правилами, назначение которых не очевидно или имеет недокументированные особенности. Проверенный способ рефакторинга таких систем: зафиксировать и вылечить упростить. Фиксировать будем тестами.

Как проверить корректность вашей конфигурации Nginx'а? Как проверить ее безопасность и нет ли уязвимостей ? Какие есть для этого варианты, их плюсы, минусы, практическая применимость и как эти проверки встроить в CI пайплайн ?
Ответы на эти вопросы под катом. Будет полезно, погнали.

На связи CISO Дмитрий Бабчук, и сегодня я хотел бы поговорить о метриках информационной безопасности — о том, какие из них действительно доносят ценность ИБ до бизнеса, а какие остаются просто техническими цифрами в отчетах.

На протяжении многих лет спутники на геостационарной орбите (ГСО) были основным средством обеспечения высокоскоростной связи с удалёнными объектами. Они используются для телевидения и интернета, в том числе через WiFi на борту самолётов, а также для связи с GSM-вышками в удалённых районах.

Однако недавнее исследование показало, что этот трафик часто передаётся незашифрованным и доступен для перехвата на недорогом оборудовании:

спутниковая антенна ($185);

крепление на крышу ($140);

мотор для крепления ($195);

тюнер ($230).

Весь эксперимент они описали в научной работе для конференции ACM.

Disclaimer: Эта статья предназначена исключительно для образовательных целей и повышения осведомлённости о киберугрозах. Любое использование описанных техник в злонамеренных целях строго запрещено и преследуется по закону.

Security Support Provider Interface (SSPI) - программный интерфейс в Microsoft Windows между приложениями и провайдерами безопасности.

В статье рассмотрим:
1. Как устроен SSPI и зачем нужны провайдеры
2. Разбор и создание кастомного SSP для перехвата учетных данных
3. Где искать следы в системе: реестр, логи, артефакты
4. Методы обнаружения и защиты

В начале года мы отметили тенденцию на общий рост количества и мощности кибератак. Сегодня посмотрим, что произошло за последние месяцы — взглянем на актуальные работы исследователей и отчеты профильных компаний по данной теме.

20 ноября в «Точке кипения» на Малом Конюшковском переулке прошел отраслевой слёт «Молодёжные инженерные команды (МИК). Развитие талантов для дроносферы будущего», который стал ключевой точкой для подведения итогов двух лет работы федерального проекта под эгидой Минобрнауки «Кадры для БАС». На одной площадке встретились представители федеральных властей, ректоры ведущих вузов и руководители профильных компаний, чтобы оценить достижения и определить новые цели проекта на 2026 год.

На одной из предыдущих работ нужно было собрать свои достижения в области кибербеза. У меня были различные найденные уязвимости. Но, я даже не знал: были ли им присвоены CVE? Я этим не занимался. Занимались ли вендоры - не в курсе. Тогда я вспомнил ситуацию с выявлением мной уязвимости в антивирусе Agnitum и взгрустнул: CVE не был зарегистрирован. Год назад я вспомнил эту историю и задумался: а можно ли оформить CVE сейчас, спустя 12 лет после обнаружения уязвимости? Ситуация осложнялась тем, что вендора уже много лет как нет. И его сайта, конечно, тоже. Но, раз вы читаете этот текст - то мне это удалось (за этот кейс я попал в топ-10 Pentest award 2025 - номинация "Раз bypass, два bypass"). Но, путь занял почти год. И вот как это было (спойлер: помог сервис WayBack).

На дворе уже ноябрь 2025 года, за окном нашей необъятной во многих городах и селах, уже наступила зима, но в инфополе ярко полыхаент схема «купи квартиру, отдай обратно продавец заскамлен был — неведал что творил».

На фоне этих «интересных» событий мне стало интересно изучить техническую сторону того, как это происходит. Анализ множества видео с красно‑белого видеохостинга показал, что залог успешно обмана это момент когда мошенник контролирует ПК или телефон жертвы, заставив ее включить видеозвонок в месенджере или установив специальную программу на устройство.

Конечно же, взломать – громко сказано, но заголовок рождён эмоциями :-)

Эта история о том, как лень, заставила меня окунуться в реверс-инжиниринг бинарного файла адресной книги Radmin (.rpb).

Внутри – странные заполнители, контрольные суммы, таинственные временные метки и структуры данных, где папки и компьютеры имеют одинаковый размер и бескрайние просторы нулей, о мои глаза!

Результат – opensource утилита для конвертации между RPB и JSON, возможно кому-то пригодится.

Представьте: вы – ответственный за парк из сотен компьютеров. Вам нужно актуализировать таблицу имен и IP-адресов компьютеров или адресную книгу Radmin, или, как в моём случае, использовать список этих записей в другом ПО. Работа трудоёмкая, но я – человек не ленивый, но оптимизированный. Вводить вручную имя, IP, порт, настройки для каждого компьютера – рутина, однообразное щёлканье кнопок! Кажется, жизнь пролетает впустую, так я подумал, когда представил, что мне предстоит это сделать.

Вот и мне довелось писать внутренние ПО по массовому контролю доступности и сбору инфы, а в основном, по массовому сетевому копированию и развертыванию с использованием промежуточных групповых серверов. И уже на этапе бета-тестирования от меня потребовалось внесение информации о сотнях сетевых устройств.

«Эврика! – подумал я. – У меня же есть Radmin, а там есть все адреса! Я экспортирую их и использую себе во благо!».

Эврика длилась ровно до момента, когда я обнаружил, что Radmin экспортирует адресную книгу только в свой собственный формат - rpb, добавили бы csv, с моей точки зрения логично, «Спасибо, разработчики». Документации? Конечно, нет, это же не api и не опенсорс.

Конференция по практическим аспектам ИБ ZeroNights возвращается! Мы готовы к покорению вершин кибербезопасности с новыми силами и неизменной преданностью традициям.

Мес­то: Рос­сия, Санкт‑Петер­бург, LOFT#7
Да­та: 26 ноября 2025, 09:00

Подробнее о треках и программе.

Екатерина Гайнуллина, Security Vision

Веб-токен — это маркер доверия, цифровой идентификатор, который сервер выдает пользователю после успешной аутентификации. Получив токен, клиент передает его при каждом обращении, а сервер по этому маркеру проверяет, что запрос исходит от авторизованного пользователя. Обычно токен не содержит секретов вроде пароля. На практике же это либо случайный идентификатор сессии, либо структурированные данные с подписью, например JSON Web Token (JWT). Цифровая подпись защищает содержимое токена от подделки, а сервер может проверить подлинность токена проверкой подписи или по записи об активной сессии. По смыслу токен можно сравнить с удостоверением личности, которое подтверждает, что проверка уже пройдена и повторный ввод пароля не требуется при каждом запросе.

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.