Информационная безопасность *

Некто Росс пожаловался, что испытывает проблемы с работой площадки интернет-аукционов eBay. Маркетплейс якобы не принимает документы Росса для верификации аккаунта продавца, и даже жалобы в техподдержку не помогают.

Проблемный клиент eBay — не кто иной, как Росс Ульбрихт, дурную славу которого ещё никто не забыл. В 2011 году под псевдонимом Dread Pirate Roberts Ульбрихт открыл в даркнете площадку Silk Road, которая торговала за криптовалюту чем угодно — даже психоактивными веществами, оружием и поддельными документами.

Ужасного Пирата Робертса поймали с поличным 1 октября 2013 года, поскольку он допустил несколько ошибок приватности и залогинился на Silk Road в библиотеке. В феврале 2015 года после четырёхнедельного судебного заседания владельца подпольной биржи приговорили к двум пожизненным плюс 40 годам заключения без права на досрочное освобождение.

Второй президентский срок Трампа в 2025 году начался с нескольких указов. Среди прочего 47-й президент США помиловал Росса Ульбрихта. После освобождения Росс начал активное медиаприсутствие. Начал он с благодарностей в адрес Трампа, но вообще просто продолжил свою жизнь, будто и не провёл 11 лет в тюрьме строгого режима.

eBay, как рассказывает Росс, о проблеме с верификацией аккаунта знает, но помогать не собирается. Бывший владелец Silk Road сетует, что впервые после выхода на свободу столкнулся с такой дискриминацией. Как шутит Ульбрихт, подобное заставляет задуматься о создании собственного сайта электронной коммерции. Росс не без юмора просит читателей подсказать имя такому проекту.

3 факта о DS Proxima:
- L4 балансировщик с контролем состояния компонентов кластера на L7
- салатовый корпус, который светится в темноте
- уже в Реестре Минпромторга России

А 25 марта мы вместе с OCS Distribution приглашаем вас на вебинар, на котором расскажем, кому необходим балансировщик и какие задачи он решает, разберём сценарии внедрения и обсудим, каких зарубежных производителей смело можно импортозаместить.

Зарегистрироваться нужно тут, присоединяйтесь!

Вышла новая версия XRay-core v25.3.6, одно из самых интересных нововведений которой - возможность обхода блокировок с помощью domain fronting и локального MitM без использования прокси-сервера. Идея domain fronting основана на том, что некоторые сервисы и CDN (например, Google/Youtube, Meta/Facebook/Instagram, а также Fastly, которую используют Reddit и Twitter) позволяют обращаться к своим сайтам и сервисам, передавая разные домены в поле SNI (при установке зашифрованного соединения - это поле видно оборудование анализу трафика и на основании его содержимого принимается решение о блокировке или замедлении) и в поле "Host" HTTP-запроса. Таким образом можно, например, обратиться к серверу "youtube.com" указав в SNI адрес "google.com", в результате чего клиент получит доступ к Youtube, но для стороннего наблюдателя это будет выглядеть как обращение к поисковику.

XRay в новой версии позволяет автоматически производить такие подмены для заданного списка доменов, и таким образом получать доступ к сервисам, страдающим от устаревания оборудования (по мнению РКН) напрямую без замедления и без использования прокси-серверов.

Поскольку при использовании domain fronting сервер будет отвечать сертификатом "подменного" домена, а не того домена, который запросил браузер, XRay так же на лету подменяет сертификаты из ответа сервера на свои самоподписанные с нужным доменом - для этого нужно добавить в список доверенных сертификатов в браузере свой самоподписанный корневой сертификат.

Краткое описание настройки можно найти здесь, а подробный пример конфигурации клиента - здесь.

В облаке Рег.ру усилили защиту от кибератак

Мы стали партнерами с ведущими компаниями в области информационной безопасности. Совместно со StormWall усилили безопасность облака Рег.ру — добавили возможность подключить защиту от DDoS-атак на уровнях L3-L7 как для сайтов, так и для  IT-инфраструктуры. А для защиты критичных веб-приложений клиентам Рег.ру теперь доступно использование облачного WAF от компании Positive Technologies — PT Cloud Application Firewall. Такой комплексный подход поможет настроить максимально эффективную защиту от любых типов кибератак.

Решение AntiDDoS + WAF позволяет использовать действия пользователей для тонкой настройки WAF или передачи информации в другие внутренние системы. В основе сервиса лежит межсетевой экран прикладного уровня. Он анализирует работу отдельных веб-приложений и своевременно распознает вредоносную атаку.

Среди возможностей:

• WAF-защита анализирует состояние приложения и обновляет правила безопасности в случае угрозы — изменения зависят от типа и интенсивности атаки;

• в процессе масштабирования проекта WAF подстраивается и продолжает фильтровать трафик для непрерывной безопасности веб-приложений, а атаки блокируются за минимальное время: от 1 секунды автоматически и от 1 минуты вручную;

• сетевая защита противодействует переборным атакам и действиям ботов, в нее встроены такие механизмы, как позитивная модель, рейтлимитинг, анализ пользовательского поведения и др.;

• алгоритмы машинного обучения собирают информацию о поведении легитимных пользователей и помогают быстро анализировать эти данные для усиления защиты от кибератак различного типа.

Подключить сервисы можно не только к облачным проектам, но и к серверам и собственной инфраструктуре. Узнать больше и попробовать решение можно на сайте.

Топ-10 инструментов для анализа вредоносного ПО и цифровой криминалистики

• CrowdStrike Falcon Sandbox – Автоматизированная песочница для глубокого анализа сложных и неизвестных угроз с предоставлением подробных индикаторов компрометации.

• Hybrid Analysis – Платформа для детального анализа подозрительных файлов с использованием нескольких антивирусных движков.

• Joe Sandbox – Облачная и локальная песочница для анализа вредоносного ПО, выявления эксплойтов и угроз.

• VirusTotal – Сканирование файлов и URL с помощью множества антивирусных движков и движка машинного обучения.

• Intezer Analyze – Распознаёт вредоносный код и идентифицирует угрозы на основе анализа ДНК кода.

• Any.Run – Интерактивная песочница для анализа вредоносных файлов в режиме реального времени.

• Palo Alto AutoFocus – Платформа для анализа угроз с использованием большой базы данных вредоносного ПО.

• CAPEv2 – Расширенный форк Cuckoo Sandbox с возможностями анализа загрузчиков вредоносного ПО и эксплойтов.

• Hatching Triage – Облачная песочница для детального анализа вредоносных файлов с поддержкой сложных угроз.

• Ghidra – Мощная платформа реверс-инжиниринга, разработанная АНБ США, для анализа бинарных файлов.

Эти инструменты позволяют исследовать подозрительные файлы, выявлять вредоносный код и анализировать киберугрозы.

Ещё больше познавательного контента в Telegram-канале — AI & cybersecurity

CTF-турнир Selectel стартовал!

Первое задание нашего онлайн-соревнования уже доступно для выполнения. Успейте завершить его до 23:59 сегодняшнего дня (по московскому времени). Это вполне реально. По нашим оценкам, вы потратите от 5 до 30 минут.

Если вы спросите, где же ссылка на сам турнир, то вот она.

Заполните форму на сайте, чтобы принять участие в CTF-турнире и выиграть призы. Победители получат 15 комплектов подарков, среди которых — мерч Selectel, печатный комикс «Мультихакер» и не только.

КАК нас ПРОСЛУШИВАЮТ крупные компании [Информатика]

Друзья, я уверен вы замечали, что иногда вы говорите что-нибудь рядом с телефоном или голосовым помощником, а потом видите повсюду рекламу того о чем говорили. Но иногда даже бывают ситуации, когда вы видите рекламу вещей, о которых вы просто подумали. И тут непонятно. Неужели они читают наши мысли?

Действительно ли нас прослушивают? Как собираются данные с наших устройств? Есть ли доказательства прослушки от компаний? А также разумеется как это все связанно с рекламой? 

Все ответы вы найдете в видео
КАК нас ПРОСЛУШИВАЮТ крупные компании / Информатика
YOUTUBE | VkVideo

Подписывайтесь на канал ИНФОРМАТИКА:
Информатика в Telegram: https://t.me/itstorytelling
Информатика на YOUTUBE: https://youtube.com/@itstorytelling
Информатика на VkVideo: vkvideo.ru/@itstorytelling

#технологии #прослушка #информатика #истории

Топ-10 инструментов для анализа трафика и сетевой безопасности

• Wireshark – Анализирует сетевой трафик, помогает выявлять угрозы и аномалии.

• Zeek (Bro IDS) – Мониторинг сетевой активности, обнаружение атак и аномалий.

• Suricata – Система обнаружения вторжений и мониторинга сетевого трафика.

• Snort – Система предотвращения атак с анализом трафика в реальном времени.

• Tshark – Консольный инструмент для глубокого анализа пакетов.

• Arkime – Платформа для захвата и индексации сетевого трафика.

• Nmap – Сканирует сети, выявляет открытые порты и уязвимые сервисы.

• NetFlow Analyzer – Анализ трафика для выявления подозрительной активности.

• PacketTotal – Облачный анализатор сетевых пакетов с визуализацией угроз.

• Security Onion – Платформа для мониторинга безопасности и расследования инцидентов.

Ещё больше познавательного контента в Telegram-канале — AI & cybersecurity

Топ-10 AI инструментов для кибербезопасности и защиты данных

• Metadefender – AI-анализатор файлов на вирусы, уязвимости и скрытые угрозы.

• CyberSec GPT – AI-ассистент для анализа киберугроз и прогнозирования атак.

• Falcon Sandbox – Глубокий AI-анализ подозрительных файлов и программ.

• Vectra AI – AI-обнаружение атак на сети и облачные системы.

• Darktrace – AI-система обнаружения аномалий и предотвращения атак в реальном времени.

• ReversingLabs – AI-платформа для анализа вредоносного кода и файлов.

• Traceable AI – AI-защита API от атак и утечек данных.

• OCRadar – Мониторинг даркнета и угроз с AI-обработкой данных.

• MalwareBazaar – База данных вредоносного ПО с AI-анализом угроз.

• Cylance AI – Предиктивный AI-антивирус для защиты конечных устройств.

AI-инструменты помогают обнаруживать угрозы быстрее и защищать данные эффективнее!

Ещё больше познавательного контента в Telegram-канале — AI & cybersecurity

В мобильном приложении «Сбера» появилась возможность вернуть деньги, если вам их перевели по ошибке и без обращения в техподдержку.

«Чтобы вернуть ошибочный перевод нужно выбрать этот перевод и отправить его обратно. Пока что функция работает только между переводами внутри банка», говорится в сообщении «Сбера». Новая опция помогает в борьбе с мошенничеством в случаях, когда на счёт клиента переводят деньги, а затем мошенники просят их вернуть на свои реквизиты.

Вирус получил доступ к системе — сможете его остановить? Участвуйте в CTF-турнире от Selectel

С 17 по 21 марта проведем онлайн-соревнование по ИБ, где участникам нужно искать и захватывать «флаги». Последние находятся на преднамеренно уязвимых страницах, в строках кода, URL-адресе и других неочевидных местах.

Регистрируйтесь, чтобы принять участие в CTF-турнире и выиграть призы. Победители получат 15 комплектов подарков, среди которых —мерч Selectel, печатный комикс «Мультихакер» и не только.

Что ни месяц в наступившем году, то новое сообщение НКЦКИ о компрометации информационной инфраструктуры крупнейших российских компаний, связанных с ИБ.

Перед нами новое веяние в плане развития атак на цепочки поставок, — считает руководитель отдела развития продуктов «АйТи Бастион» Алексей Ширикалов.

Цепочки поставок, безусловно, остаются трендом атак, но от него отделяется ветка по атакам на поставщиков ИБ решений.

Вот, что происходит: злоумышленник может получить доступ к инфраструктуре заказчика, который, как положено в регламентах, установил себе средства защиты; но через подрядчика этот доступ может оставаться замаскированным под легитимный, в том числе проходящим через те же средства ИБ, с помощью которых в «целевой компании» пытаются выстроить защиту.

Если злоумышленнику повезёт, то он ещё и получает доступ к внутренним данным о том, как работает средство ИБ в инфраструктуре жертвы, или же у атакующего появится простор на поиск уязвимостей.

Вывод напрашивается, и мы его озвучим: ко всем подрядчикам необходимо относиться как к потенциальной угрозе‼️

⚫️ Обязательно предъявляйте требования по ИБ исполнителю подряда кстати, мы уже ждём от регуляторов появления рекомендаций о необходимых средствах защиты информации, которые должны быть у подрядчика
🟠 Контролируйте доступы
⚫️ Контролируете ролевые модели
🟠 Убирайте избыточные доступы
⚫️ Отслеживайте выполняемые пользователем действия и выявляйте попытки нетипичных действий в рамках легитимных сессий (поведенческий анализ)
🟠 Персонализируйте УЗ для доступа — никаких root и т.д.
⚫️ Берегите учётки и пароли, особенно привилегированные

Что касается громкой мартовской компрометации, то надеемся, учётки важных ресурсов не ушли в подрядчиков, и волна не дошла до заказчиков. А сама пострадавшая компания, на чьём сервисном центре произошёл инцидент, сделала всё грамотно. Можно использовать в качестве методички на случай серьёзного происшествия.

✅ Сообщили в НКЦКИ и организовали совместную работу
✅ Прекратили сетевое взаимодействие с клиентскими системами
✅ Подключили расследовательские команды, чтобы минимизировать последствия
✅ Проинформировали заказчиков, чтобы «задраили люки» на время полного расследования

К слову, на случай подобных инцидентов может помочь наше решение Синоникс со своими ограничениями и контролем информационного обмена.

Остаётся добавить немного из практического опыта — 15-минутный инцидент с пребыванием злоумышленника в инфраструктуре может затянуться на долгие месяцы расследования. А это ощутимый удар по бизнес-процессам, которые — в идеальной картине мира — должны продолжаться в части доступа к заказчикам, уже только после полного расследования атаки и устранения всех «хвостов».

Приглашаю вас на весеннюю сессию вебинаров! Мы подготовили много экспертного контента и готовы поделиться с вами актуальной информацией о текущем состоянии и развитии рынка, а также современными подходами к защите веб-приложений и API.

Основные темы вебинаров:

• Защита веб-приложений (WAF)

• Защита интеграций между сервисами (API Security)

• Тренды развития рынка защиты веба

• Безопасная разработка

Для кого:

CISO

ИБ-специалисты

ИТ-специалисты

DevOps

Приготовьтесь к морю полезной информации, лучшим практикам и встрече с ведущими экспертами отрасли. Мы расставим все точки над «и».

Вы можете зарегистрироваться как на всю сессию сразу, так и на любой отдельный вебинар.

 Ссылка на регистрацию 

До встречи!

Вебинар про защиту ПДн

Персональные данные (ПДн) — сложный информационный актив. На рынке представлено много решений для защиты ПДн. Многие из них либо плохо детектируют ПДн, либо создают массу ложных срабатываний, мешая легитимным бизнес-процессам.

Приглашаем на вебинар «Как защитить персональные данные и не «положить» бизнес-процессы», где познакомим с возможностями InfoWatch Traffic Monitor. Это единственная российская DLP-система, обеспечивающая качественную защиту ПДн без ущерба для бизнеса.

Вебинар состоится 13 марта в 11:00. Участие бесплатное, регистрация — по ссылке.

Тема ПДн очень объемна. У нас на сайте доступны записи двух прошедших вебинаров. Ведущий — юрист по ИБ.

• Изменения в регулировании ПДн: новые риски

• Изменения в регулировании ПДн: топ практических вопросов и ответов

⚡«Бастион» запускает третий сезон летних стажировок!

Друзья, рады сообщить, что мы открываем набор на летние стажировки 2025 по семи направлениям в ИБ и IT:

✅ Аудит инфраструктуры и процессов ИБ ✅ Анализ исходного кода приложений ✅ Мониторинг и реагирование на инциденты ИБ ✅ Расследование инцидентов ИБ ✅ Анализ вредоносного ПО ✅ Тестирование ПО и мобильных приложений ✅ Системная аналитика

Что вы получите:

• Бесплатное профессиональное обучение;

• Участие в реальных проектах;

• Работу с наставниками-экспертами;

• Сертификат о прохождении стажировки;

• Возможность начать карьеру в компании.

В прошлом году мы рассмотрели более 800 заявок, в этом году ждем еще больше талантливых будущих специалистов!

Условия:

• Удаленный формат;

• Гибкий график (20-40 часов в неделю);

• Оплата (зависит от направления);

• Срок стажировки: от 2 до 4 месяцев.

Важно! У каждого направления свои сроки подачи заявок — с 22 апреля по 10 мая 2025 г. Подробности ищите в разделе с новостями компании.

Чтобы подать заявку:

• Выберите подходящее направление стажировки через бота в группе «Бастион» ВКонтакте.

• Или оставьте отклик на Head Hunter или Хабр Карьере.

Не упустите шанс начать карьеру в информационной безопасности в крутой команде!

ЦБ РФ разъяснил, на что распространяется самозапрет на кредиты:

• самозапрет на кредиты не распространяется на сервисы "покупай сейчас, плати потом";

• если под термином "рассрочка" прячется именно заем или кредит, который предоставляет банк или МФО, то будет распространяться самозапрет, в противном случае — нет;

• самозапрет не распространяется на уже действующие кредитные карты клиентов банков, но оформить новую кредитку уже не получится;

• самозапрет нельзя установить на ипотеку, автокредиты, обеспеченные залогом транспортного средства, основные образовательные кредиты и поручительства.

С 1 марта 2025 года вступил в силу закон о самозапрете на выдачу кредитов (кроме ипотечных, образовательных и автокредитов). Для такого запрета гражданин РФ должен подать заявление через «Госуслуги» или в МФЦ. Возможен полный отказ от потребительских займов или ограничение только на дистанционные способы оформления. Мера вводится для борьбы с мошенниками и для лучшего контроля собственных финансовых решений.

Соответствующий документ (Федеральный закон от 26.02.2024 № 31-ФЗ) опубликован на официальном интернет‑портале правовой информации.

Для активации запрета гражданин РФ должен подать заявление через портал «Госуслуги» или в МФЦ. Потребуется указать персональные данные, а также выбрать параметры запрета: полный отказ от потребительских займов или ограничение только на дистанционные способы оформления.

Какой запрет можно установить:

• частичный — на дистанционное или очное и дистанционное получение кредита в кредитной либо микрофинансовой организации;

• полный — включает в себя все виды запретов.

Снять самозапрет на выдачу кредитов можно также с помощью заявления через «Госуслуги» и МФЦ. Запрет снимается на следующий день после обновления данных в реестре, что исключает возможность мгновенной отмены под давлением мошенников и дает время для принятия взвешенного решения.

Как сделать сервис быстрым и безопасным?

Представьте, что ваш бизнес обслуживает более 500 компаний, у каждой из которых есть тысячи или даже десятки тысяч клиентов. И все они ежедневно обращаются в клиентскую поддержку через телефон, почту, соцсети, мессенджеры и т. д.

Ваша задача — сделать так, чтобы поддержка стабильно работала даже под высокой нагрузкой, персональные данные были в безопасности, а важная информация случайно не пропала. Справитесь? Вот платформа Юздеск справляется на инфраструктуре Selectel.

В Академии Selectel рассказываем, как компания:

• добилась 100% соответствия инфраструктуры 152-ФЗ и готовности к аттестации по требованиям ФСТЭК,

• сократила максимальное время загрузки страниц со стороны конечного пользователя до 1 секунды,

• стабильно работает при средней нагрузке 1 500 RPS.

Представим, что у нас некоторая система, состоящая из микросервисов, которые работают на разных машинах, но внутри общей IP-сети на немаршрутизируемых IP-адресах (10.0.0.0/8, 192.168.0.0/16 и т.д.). Микросервисы разговаривают друг с другом по TCP, подключаясь по IP-адресам, указанным в соответствующих конфигурационных файлах каждого. Но можно указать и не IP-адрес, а некий хостнейм, прописав его же в /etc/hosts. Почему-то часто считают, что "хостнейм эквивалентен IP-адресу". Оно, конечно, удобно так считать, с точки зрения "человекопонятности", но не всегда хорошо с точки зрения безопасной настройки.

Дело в том, что опечатка (или намеренная замена символа) в имени хоста может привести к тому, что адрес окажется в чужой DNS-зоне. Простейший случай: users-db.example.com -> users-db.example.co. Да, должно быть закрыто, да, есть .local, а хостнеймы можно записывать одним "лейблом", но это не решает проблему: использование символьного хостнейма гарантирует дополнительные запросы для разрешения имён, будь то локальные запросы на той же машине или запросы внешние, возникшие из-за опечатки. А всякий, даже локальный, библиотечный/системный вызов, выполняющий трансляцию имён и адресов, готов принести с собой неожиданные эффекты (см. ниже пример уже про IP-адреса). Не обязательно это эффекты от подмены библиотеки или подмены конкретного вызова. А если кто-то умеет записывать в /etc/hosts, то он и конфиг любой поправит. Что, впрочем, не всегда так, поскольку раскладывание hosts по машинам могут автоматизировать - тогда перехватить нужно только точку управления скриптом, формирующим файл. А ведь ещё обычно используется два протокола: v6 и v4, адреса и "резолвинг" там разные.

Если в конфигах микросервисов прописывать непосредственно IP-адреса (пусть и автоматом), то ситуация несколько лучше. Есть неплохие шансы, что трансляция имён/адресов не будет использована. Минимальная опечатка в записи немаршрутизируемого адреса реже приводит к тому, что трафик убегает наружу. Это так потому, что, во-первых, на то они и немаршрутизируемые; во-вторых, в таких системах обычно настраивают различные ACL, а они настраиваются для IP, в других местах, не на конкретной машине с микросервисом, да и пальцы у настраивающих ACL дрожат по-иному.

Тут, впрочем, необходимо отметить некоторые тонкости: ping 010.010.010.010 -- на многих и многих системах отправит пакеты в сторону серверов Google (проверьте). Я раньше рекомендовал использовать этот довольно хитрый "оборот" в рамках собеседований на должность сетевого инженера/разработчика (теперь уже смысла, понятно, нет), поскольку понимание того, почему здесь пакеты уходят в сторону сети Google, раскрывает основную часть опасений, связанных с использованием имён хостов в конфигах. Но всё же, в 010.010.010.010 - более одной "опечатки".

Приложение «МойОфис Документы для ОС Аврора» версии 5.х получило сертификат ФСТЭК России

Приложение «МойОфис Документы для ОС Аврора» успешно прошло сертификацию ФСТЭК России. Теперь на устройствах с операционной системой версии 5.1.0.124 и выше можно использовать защищенную версию приложения МойОфис.

Сертификат подтверждает, что «МойОфис Документы для ОС Аврора» соответствует требованиям четвертого уровня доверия в сфере информационной безопасности (УД 4). Приложение может применяться:

• в значимых объектах критической информационной инфраструктуры 1 категории;

• в государственных информационных системах 1 класса защищенности;

• в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности;

• в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных и в информационных системах общего пользования II класса.

Сертификация распространяется на версию «МойОфис Документы для ОС Аврора» 1.6.1.

Защищенная работа с документами на ОС Аврора

Приложение позволяет пользователям работать с документами на мобильных устройствах в безопасной среде. Компании-заказчики могут внедрять «МойОфис Документы для ОС Аврора» в доверенный контур, создавая защищенные рабочие среды, соответствующие требованиям ФСТЭК России. Это особенно важно для организаций, работающих с критически важной информацией, персональными данными и государственными системами.

«МойОфис Документы для ОС Аврора» — это нативное приложение, которое позволяет редактировать текстовые документы, таблицы и презентации без подключения к интернету.

Что умеет приложение:

• Создавать, редактировать и форматировать документы разных типов и форматов;

• Работать с таблицами, форматировать ячейки, строить графики и диаграммы, использовать формулы;

• Просматривать и изменять презентации, запускать слайд-шоу, использовать таймер демонстрации.

Продукт поддерживает русский и английский языки и совместим с смартфонами и планшетами, а также другими устройствами под управлением ОС Аврора версии 5.1.0.124 и выше. Тестирование приложения производилось на оборудовании НИИ «Масштаб».

Узнайте больше об NGFW

6 марта на вебинаре с MONT расскажем про результаты пилотного внедрения InfoWatch ARMA Стена (NGFW) в инфраструктуре дистрибьютора и поделимся другими кейсами с разными задачами — от VPN на 300 пользователей с двухфакторной аутентификацией до блокировки торрентов и запрещённых внешних ресурсов и организации бесперебойной работы корпоративного сегмента.

А еще расскажем, как дальше будет развиваться InfoWatch ARMA Стена (NGFW) и что появится в продукте.

Присоединяйтесь!