Информационная безопасность *

При расследовании компьютерного инцидента первостепенное значение имеет анализ содержимого оперативной памяти и жесткого диска скомпрометированной машины. При этом содержимое памяти, как правило, представляет наибольший интерес, так как зачастую вредоносы и хакерские инструменты либо вообще не имеют файлового тела, либо этот файл хорошо обфусцирован и его исследование потребует дополнительных затрат времени. Поэтому крайне важно сохранить содержимое памяти скомпрометированного узла.

В рамках этой статьи мы поговорим об исследовании дампов памяти ОС Windows с использованием инструментов, предназначенных для работы с данной операционной системой.

Часть выходных улетела на помощь друзьям, которые оказались в весьма неприятной ситуации. Ну, я решил ещё потратить немного времени на написание статьи, наверное по теме информационной безопасности. Сначала я планировал две статьи: краткую и полную. Но понял, что не смогу подготовить хороший технический материал по ИБ. В общем, будет сразу «два в одном», первая часть без сетевых технологий – как рассказ для своих, вторая часть - история моего расследования.

Первая часть, занудная, но поучительная

Итак, последний месяц у меня был очень интенсивным – резкое завершение проектов для выхода на новую работу, погружение обратно в ЦОДы, подготовка к двум конференциям и т.д. Я даже хромать начал – но это, наверное, из-за самокатов. В дополнение, в течение этого месяца произошло три инцидента с довольно близкими мне людьми. К счастью, инциденты не между мной и ними, а с их смартфонами и персональными данными.

Все инциденты были связаны с воровством контактов из смартфона жертвы. (Но в одном случае это не точно, т.к. могла использоваться база из CRM).
Вообще, для понмания лучше назвать субъекта Приманкой.
Контакты: это может быть список контактов в Телеграме или даже список участников конференции, где был спикером Приманка.
Атака может включать в себя обзвон и сообщения по контактам с различными целями.
Цели: получить деньги, доступ в сервисы, например Госуслуги, вытащить контакты других жертв, а так же превратить жертву в очередную Приманку.

Что я наблюдал во всех случаях: в Телеграме создаются группы от имени Приманки, туда добавляются те, кто может знать Приманку и там же размещается призыв голосовать за Приманку в конкурсе лучший врач, лучший учитель, лучший полицейский и т.д. Злоумышленники от имени субъекта просят пройти по ссылке.

Привет, Хабр!

С момента публикации наших прошлых статей о создании программы для стеганографии ChameleonLab прошло немало времени. Мы получили огромное количество фидбэка и поняли, что тема сокрытия данных интересна сообществу не только в контексте классических картинок (LSB), но и в более сложных, повседневных файлах — документах.

После десяти лет обсуждений и тестирования десятков алгоритмов Национальный институт стандартов и технологий (NIST) утвердил окончательный стандарт «облегчённой криптографии» (lightweight cryptography) для микроконтроллеров, встроенных CPU, слабых FPGA и других устройств с ограниченными аппаратными возможностями, то есть минимальным количеством памяти и вычислительными ресурсами.

Принятие стандартов даёт надежду, что современная криптография — идентификаторы, цифровые подписи, шифрование, защита от кибератак — будет поддерживаться на миллиардах устройств Интернета вещей и другой малой электронике, такой как RFID-метки и медицинские имплантаты.

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

На этой неделе новости про не совсем суверенный цифровой суверенитет, Минцифры хочет легализовать DDOS, но не для всех, почему стоит держать web-камеру закрытой и про то, что можно стать учёным, просто делая инструменты для пентеста с использованием ИИ, а также другие только самые важные и интересные новости из мира информационной безопасности.

Хабр, всем привет! Когда инфраструктура созрела до состояния персика и уже пора расширять классический SOC или вам всегда было интересно, как работает ВПО, то необходимо переходить к Threat Intelligence! Сегодня мы соберем свою лабу по исследованию вирусни/инструментов и процедур(PoC) в виртуальной среде для Linux-платформ.

Привет, Хабр! Это очередная номерная часть «Мультивселенной киберполигонов в РФ». Мы уже обсудили несколько полигонов и коснулись главной витрины кибербезопасных полигонов в России. Предыдущие три читайте тут, тут и тут.  Но есть ещё что показать — другой подход к киберучениям и проверке подготовки ИБ‑специалистов.

Встречайте мой разговор с Дмитрием Малинкиным, руководителем направления киберучений компании BI.ZONE. Мы обсудили принципиальное отличие учебной киберплощадки компании от других, причины выбора такого подхода и то, чем российские ИБ‑полигоны отличаются от зарубежных. Приятного чтения!

В прошлой статье мы разбирались, как можно спрятать данные внутри файлов Microsoft Office, причем не только в текстовых документах (.docx), но и в таблицах (.xlsx) и презентациях (.pptx), используя стандартный механизм Custom XML Parts. Сегодня мы продолжим исследовать мир офисной стеганографии и обратим свой взор на открытый и популярный формат OpenDocument Format (ODF), на котором работают LibreOffice и Apache OpenOffice. Этот метод так же универсален и применим ко всей линейке форматов: .odt (текстовые документы), .ods (таблицы) и .odp (презентации).

Всем привет! Закрываем август дайджестом самых интересных ИБ-новостей месяца. Сегодня у нас фантомные краши жёстких дисков от Microsoft, сотни тысяч чатов с LLM’ками в открытом доступе и первая запитанная от ИИ рансомварь.

Август также отметился взломом чат-бота Drift от Salesloft и кражей всевозможных токенов — затронуты более 700 компаний. Ответственность за взлом на себя взяли Scattered Spider в коллабе с другими юными дарованиями на пути к посадке и экстрадиции. А наследница криптобиржи Garantex оперативно попала под санкции США. Обо всём этом и других интересных ИБ-событиях последнего летнего месяца читайте под катом!

Сегодня мы уроним прод в Яндекс Облаке, действуя из тестовой среды. В процессе разберемся: что такое сервис метаданных, IAM токен, сервисный аккаунт, зачем сервисные аккаунты привязывают к облачным ресурсам.

А дочитавшие до конца узнают, как понять и предотвратить атаки на облачную инфраструктуру.

В своих исследованиях мы с коллегами часто делаем акцент на масштабах и характере негативных последствий, которые влекут за собой реальные кибератаки. В своем недавнем аналитическом отчете мы подробно рассказали об актуальных угрозах первого полугодия 2025 года: хакерских инструментах, жертвах кибератак среди отраслей и пользователей, а в этой статье хотим поделиться живыми примерами атак в I–II кварталах, которые повлекли за собой негативные последствия и вызвали большой резонанс.

Итак, что же привлекло наше внимание и внимание других специалистов ИБ-отрасли.

Я Махмуд Круш, студент третьего курса факультета инженерии. Я стремлюсь стать тестировщиком на проникновение и в данный момент подрабатываю охотником за уязвимостями.

Практически каждый день в новостях мы слышим про очередной взлом компании, где были украдены персональные данные или «уничтожены» сервера. Казалось бы, многие компании тратят огромные деньги на информационную безопасность, однако это им не всегда помогает. Почему же так происходит? В статье постараемся разобраться зачем же компании добровольно пускают «хакеров» внутрь и как это может помочь бизнесу. Постараюсь изложить все максимально просто, чтобы статья была понятна широкому кругу лиц, так как я столкнулся с тем, что многие не понимают что такое пентест и зачем это нужно компаниям.

Количество ИБ-инцидентов непрерывно растет с каждым годом. Это предъявляет дополнительные требования к защищенности используемых сервисов и стало драйвером для развития методологии DevSecOps (Development, Security, Operations), согласно которой проверки кода на уязвимости — неотъемлемый этап разработки ПО. Поэтому все чаще компании применяют различные решения для безопасной разработки.

Меня зовут Игорь Игнатьев. Я руководитель направления защиты приложений в VK. В этой статье я расскажу о типовых потребностях команд разработки и ИБ в контексте создания безопасных приложений и познакомлю с решением для автоматизации проверок безопасности кода от VK Cloud.

2025 год оказался богат на поправки в законодательство о персональных данных. Одна часть изменений вступила в силу весной, другая — летом, а некоторые начали действовать только с 1 сентября.

Привет, Хабр! На связи Алёна, аналитик по информационной безопасности в Selectel. В этой статье разберем, что делать владельцам интернет-ресурсов, чтобы избежать штрафов и других санкций. Материал основан на моем опыте работы с регулятором и анализе его публичных разъяснений.

Интересным является вопрос о погружении арифметики в n+1-значные логики Лукасевича Ł_n+1. Какая часть арифметики может быть погружена в Ł_n+1? Для функции φ(х) = m  рассматривается обратная к ней, определяемая  соотношением φ ^–1(m) = {n, φ(n) = m}, где φ(х) – функция Эйлера.

Пример, если φ(n) = 4, то это уравнение имеет ровно четыре решения φ ^–1(4) = {5, 8, 10, 12}. Гольдбахом (1690 –1764) поставлена проблема о разложении четных чисел ≥ 4 на сумму двух простых. Если это верно, то для каждого числа m найдутся простые числа р и q такие, что φ(р) + φ(q) = 2m.

Эдмунд Ландау в 1912 г. на международном конгрессе математиков в Кембридже заявил, что проблема Гольдбаха недоступна для современного состояния науки. Недоступна она и сейчас. Верифицируемость предположения Гольдбаха установлена до 4∙10¹⁴.

Делались попытки найти формулу, с помощью которой вычислялись бы (или порождались) все простые числа. Наилучший результат принадлежит Ю.В. Матиясевичу (1977), который нашел полином из 10 переменных. Асимптотическое распределение простых чисел в НРЧ, доказываемое аналитическими методами, приводится в книге К. Прахара (1967). О первых 50 млн простых чисел статья Д. Цагера (1984).
Можно считать, что впервые на проблему решения подобных уравнений обратил внимание Э. Люка (1842 – 1891). Об этом сказано в книге И.В. Арнольда (1939) «… следуя Люка, сгруппированы числа n с одним и тем же значением функции φ(n) в пределах от 1 до 100, т.е. дана таблица функции обратной по отношению φ(n).

В книге Серпинского (1968) задача №245 «Найти все натуральные числа n≤ 30, для которых φ(n) = d(n), где φ(n) – функция Эйлера, а число d(n) – число натуральных делителей числа n». Рассмотрим только случай n = 30. Делителями числа 30 являются числа 1, 2, 3, 5, 6, 10, 15 и 30, т.е. d(n = 30) = 8. Значит надо решить уравнение φ(30) = 8, где n≤ 30. Или, по-другому, найти значения для обратной функции Эйлера φ ^–1(8), т.е. определить множество {n, φ (n) = 8} для  n≤ 30. Это множество образовано числами {15, 16, 20, 24, 30}. Более того, ни для каких других n >30 φ (n) ≠ 8.

Множество значений φ ^–1(m) = Ø пусто для всех нечетных значений и многих четных значений m > 1. В первой сотне числа 14, 26, 34, 38, 50, 62, 68, 74, 76, 86, 90, 94 и 98 не являются значениями φ (n).

Многие читатели, и я в их числе тоже, никогда раньше не задавался вопросом, какой прокси я использую и что это за странные абревиатуры TCP, UDP и так далее? Мы просто брали прокси не вникая в тонкости и использовали, если что то не работало, просто писали в поддержку и просто меняли. Но я уже разобрался с TCP, с прокси разных видов и вот время дошло до UDP. Давайте разбираться что это за зверь и как его приручить!

Периодически мне задают следующий вопрос — «Наша компания не имеет базы данный по клиентам, не ведет кадровый учет и вообще не собирает, не хранит и не обрабатывает ПДн. Если клиент прислал нам электронное письмо на корпоративную почту и подписался (ФИО, телефон), является ли это обоснованием считать нас оператором ПДн и обязывает ли выполнять требования 152-ФЗ?»

Короткий ответ: да, ваша компания становится оператором ПДн уже в момент, когда вы настроили корпоративную почту и получили/прочитали/сохранили письмо, содержащее ФИО и телефон отправителя. Это уже «обработка» ПДн (запись, хранение, использование, удаление и т. д.), а вы — лицо, организующее обработку и определяющее её цели и средства (деловая переписка через корпоративный e‑mail). Значит, на вас распространяются требования 152-ФЗ.

Загружая фото в ChatGPT или другие ИИ-сервисы, мы редко задумываемся, что отдаем куда больше данных, чем кажется на первый взгляд. Метаданные, детали фона, лица посторонних людей или даже случайно попавшие в кадр документы могут превратиться в ценный набор информации для компаний и потенциальных злоумышленников. Эксперты по кибербезопасности предупреждают: снимок, который вы считаете безобидным, может продолжить существовать и использоваться компаниями и системами ИИ даже после того, как вы завершите с ним взаимодействие.

Недавно в блоге Beeline Cloud мы рассказывали про open source-проекты, которые могут помочь с разработкой ИИ-агентов. Посмотрим на тему ИИ-агентов с другой стороны и разберем исследования, посвященные промпт-атакам — их авторы рассматривают новые способы обхода фильтров, ищут слабые места в генерации ответов и подбирают особые формулировки, призванные сбить LLM с толку.