Приглашаем на BIS Summit 2025
18 сентября в Москве на конференции BIS Summit 2025 соберется сообщество специалистов по ИБ, чтобы обсудить ключевые вызовы и будущее отрасли.
В программе:
Пленарные сессии «Диалог с регулятором» и «Диалог с бизнесом».
Актуальные темы на дискуссионных секциях от спикеров-экспертов и лидеров рынка.
Продуктивный нетворкинг и выставка решений ведущих разработчиков СЗИ.
Программа мероприятия — на сайте конференции.
Интеграция PVS-Studio c SGRC SECURITM
Компания PVS-Studio и платформа Securitm заключили технологическое партнёрство для обеспечения интеграции статического анализатора кода PVS-Studio в экосистему DevSecOps.
Облачный сервис и программное обеспечение SGRC Securitm позволяют построить управление информационной безопасностью на базе риск-ориентированного подхода и единой информационной модели компании.
Отчёт анализатора PVS-Studio стало возможным загрузить в Securitm для дальнейшего использования с помощью пользовательского интерфейса системы.
Подробнее о том, как загрузить отчёт анализатора PVS-Studio в систему Securitm можно прочитать в посвящённом этому разделе нашей документации.
Также мы с коллегами из Securitm провели совместный вебинар, на котором обсудили, как обеспечить соблюдение требований ГОСТ в области РБПО, а также показали реальные примеры использования PVS-Studio и Securitm.
Мой обход блокировок Telegram и WhatsApp (колхозный?)
Живу в за пределами России и часто общаюсь с родственниками и друзьями из России.
Основное общение всегда было через Скайп, Telegram и WhatsApp.
Скайп помер в Мае, а когда звонки начали глючить в Telegram и WhatsApp, сначала подумал, что у мамы Wi-Fi тупит.
Просил перезагрузить роутер, попробовать выйти на улицу. Затем спросил знакомых, почитал новости и прозрел - звонки глючат у всех.
MAX.
Что попробовал:
VPN на телефоне → тяжело для пожилых родственников, NordVPN - два года подписки в топку.
Viber → работает, но нестабильно.
Zoom → громоздкий для простых звонков.
Нужен более простой и независимый способ.
Решение
После поиска остановился на Jitsi Meet — системе для видеозвонков с открытым кодом. Её можно развернуть на своём сервере и не зависеть от блокировок.
Настройка
Поднял виртуалку на Ubuntu.
Настроил pfSense с NAT и SSL.
Установил Jitsi Meet в Docker.
Мои проблемы по пути:
DNS не резолвился → сделал Split DNS на pfSense.
SSL лучше сразу через Let’s Encrypt, без self-signed.
Компоненты Jitsi не стыковались → поправил конфиги.
Медиа не шло → открыл UDP 10000.
Пользователи за NAT всё равно не могли подключиться → добавил TURN-сервер.
Результат
Теперь у каждого есть ссылка вида https://calls.ДОМЕН/room1. Родственники открывают её в браузере или приложении, подключаются по линку, разговор без ограничений.
Решение получилось достаточно простым в использовании и устойчивым к блокировкам.
Скрипты и инструкции:
http://softcreator.com/static/temp/jitsi_deployment.tar.gz
Notes:
1. В инструкциях я выделил переменные, которые нужно заменить на свое окружение (экономит время).
2. Уверен, вокруг масса инструкций по установке Jitsi, но я ориентировался на простоту установки и селф-хостинг на домашнем бесполезном ноуте.
Такие инструкции не нашел, поэтому наколхозил для себя сам.
3. Первый пост на Хабре за 10+ лет чтения. Сильно не пинайте.
Алоха! Ловите хакинговую волну
И участвуйте в соревновании по спортивному хакингу с призовым фондом в 3 100 000 рублей.
Если вы готовы решать таски и искать флаги — регистрируйтесь на первое соревнование по спортивному хакингу Capture The Flag (CTF) от Альфа-Банка!
Это соревнование по спортивному хакингу, где вам предстоит решать таски на поиск уязвимостей в системах. Призовой фонд: 3 100 000 рублей, на команду можно получить до 450 000!
Alfa CTF пройдет с 13 по 14 сентября в 2-х форматах: онлайн или офлайн по дополнительной регистрации в IT-хабах Москвы, Санкт-Петербурга и Екатеринбурга
Что нужно сделать:
⚡️ Собрать команду или подготовиться к игре в соло (если вы не можете найти напарников, мы вам поможем и объединим с другими игроками)
⚡️ Зарегистрироваться на соревнование
⚡️ Выбрать один из 3 треков (для IT-специалистов, для профи или для студентов)
⚡️ Решить как можно больше тасков 13-14 сентября
Ждём вас — будем вместе сёрфить на CTF!
Как оптимизировать бэкапы и резервное восстановление в облаке? Расскажем на вебинаре 👨💻
📆 Когда: 26 августа в 11:00 мск
📍 Где: онлайн
Объемы данных растут — растут и операционные расходы, а еще риски утери информации. Поговорим о том, как оптимизировать резервное копирование и восстановление данных, и вместе с этим сэкономить на их защите. Будет полезно IT-директорам, системным администраторам, инженерам и архитекторам инфраструктуры.
На вебинаре расскажем:
что такое резервное копирование и аварийное восстановление, в чем между ними разница и когда они нужны;
что такое непрерывность данных, как ее обеспечить и для чего здесь нужно облако;
дополнительные способы защиты информации.
Бонусом проведем демо в прямом эфире: эксперты Cloud.ru настроят в облаке резервное копирование и аварийное восстановление.
Пройдите опрос и получите подарки от Selectel
Мы развиваем в Академии Selectel Security Center — спецпроект по информационной безопасности. Чтобы сделать его еще полезнее, нам важно знать, какие темы вам интересны.
Возможно, вы читаете новости об утечках? Или вас интересуют инструкции по защите инфраструктуры? А может, вы хотите узнать о новых угрозах? Расскажите об этом — пройдите короткий опрос.
С нас — подарки
15–21 сентября среди всех, кто поделится мнением, разыграем подарки:
— 10 сертификатов в крупный маркетплейс,
— 5 плюшевых Тирексов.
Пройти опрос ➡️
Вебинар "От кода до запуска: российский стек для Java — Axiom JDK и OpenIDE"
Приглашаем на вебинар, посвященный безопасному стеку базовых технологий для разработки и исполнения Java-приложений и безопасной среде разработке OpenIDE. Вы поймете, что такое OpenIDE, как это всё относится к Intellij IDEA, зачем OpenIDE бизнесу и какие у проекта OpenIDE планы на будущее.
Кому будет полезен вебинар:
• тимлидам
• разработчикам
• DevOps
Вебинар проведут:
• Дмитрий Сапожников, технологический консультант Axiom JDK
• Илья Сазонов, директор по продуктам Axiom JDK, направления Spring и OpenIDE
Когда: 21 августа 2025 г.
Во сколько: 11:00–12:30 по мск
Формат: Онлайн
Участие: Бесплатное (нужно предварительно зарегистрироваться)
ИБ-ДАЙДЖЕСТ INFOWATCH
Больше миллиона человек пострадали от утечки данных лабораторий для диализа компании DaVita — скомпрометированы ПДн, финансовая и медицинская информация.
Хакеры завладели ПДн участников Венецианского кинофестиваля, но его представители утверждают, что это не повлияет на работу мероприятия этого года.
Сеть онкологических клиник Highlands Oncology Group призналась в утечке ПДн более 113 тыс. пациентов — они могут добиться компенсации, подав коллективный иск.
Авиакомпании KLM и Air France сообщили об утечке данных пассажиров, произошедшей на стороне их внешнего партнера.
У рентгенологической компании Northwest Radiologists злоумышленники украли ПДн около 350 тыс. пациентов из штата Вашингтон.
Прокомментировали ситуацию с ростом атак хакерских группировок в 2025 г. — хактивисты чаще стремятся нарушить работу компаний, чем заработать на продаже украденной информации.
Это же шутка, да? Ведь, да?(С)падме.джпг
https://www.securitylab.ru/blog/personal/Bitshield/355756.php
Самое серьёзное обвинение связано с подозрением, что MAX передаёт пользовательские данные на зарубежные серверы. Автор Telegram-канала Scamshot утверждает, что с последним обновлением мессенджер получил полный доступ к буферу обмена смартфона и начал собирать информацию обо всех установленных приложениях, после чего эти данные якобы отправляются за пределы России.
Особенно иронично выглядит тот факт, что мессенджер, позиционируемый как «полностью отечественный», использует библиотеки из «недружественных стран». В коде MAX обнаружили украинскую библиотеку uCrop от компании Yalantis, а также компоненты из США и Польши. Критики язвительно называют это «безопасным национальным мессенджером с утечкой данных непосредственно в днепровские офисы».
Фиксируем следы на сайте нарушителя: 5 способов
Зафиксировать следы - первое, что нужно сделать после обнаружения нарушения ваших интеллектуальных прав.
Обычно такая фиксация проводится на веб-сайте виновника владельцем интеллектуальной собственности.
Ниже даны пять способов фиксации нарушения, которые суды принимают:
1. Самозащита. Вы определяете веб-сайт нарушителя, выбираете его страницы или их отдельные блоки, делаете снимки экранов.
Используете сервисы, встроенные в систему вашего компьютера или смартфона. Например, сервис работы со скриншотами в браузере Яндекса.
2. Автофиксация. Вам доступны специальные веб-сервисы для автоматической фиксации данных на сайте нарушителя.
Например, программный комплекс "Вебджастис". Его алгоритм собирает пакет сведений о сайте и условиях его работы, делает снимки экранов. И передает вам документ в формате pdf.
3. Нотариальный осмотр. Когда-то единственный способ закрепления следов. По вашей инициативе нотариус описывает сайт нарушителя и делает нужные скриншоты.
4. Осмотр правоохранителей. Например, следователь может осмотреть сайт в ходе проверки вашего сообщения о преступлении.
Копию протокола осмотра по запросу суда можно будет вовлечь в арбитражный процесс по нарушению интеллектуальных прав.
5. Адвокатский осмотр. С помощью адвокаты вы выбираете веб-ресурс для осмотра. После чего адвокат фиксирует условия осмотра и содержимое страниц сайта, передает вам сделанные скриншоты.
Поговорите с вашим адвокатом. Он поможет выбрать способ с учетом конкретной ситуации.
Если забыл какой-либо из способов фиксации, сообщите в комментариях. Приму с благодарностью.
Квиз: насколько вы разбираетесь в законодательстве и ИБ
Регуляторы, аттестации, законы и стандарты — звучит просто, пока не начнешь отвечать на конкретные вопросы. Разберемся, кто здесь настоящий знаток законов ИБ.
Квиз проверит, насколько глубоко вы в теме.
Ответьте на девять вопросов и получите подборку полезных материалов. Не забудьте заглянуть в комментарии поделиться своим рекордом.
Интеграция PVS-Studio в Inseq RBPO
Компания PVS-Studio и Inseq заключили технологическое партнёрство для обеспечения интеграции статического анализатора кода PVS-Studio в экосистему DevSecOps.
Программное обеспечение Inseq RBPO предназначено для создания и управления конфигурациями, необходимыми для автоматического развёртывания и настройки компонентов инфраструктуры безопасной разработки ПО — систем контроля версий, анализаторов кода, инструментов автоматизации сборки, тестирования и развёртывания. Управление конфигурациями и политиками безопасности осуществляется централизованно.
"ИНСЕК.РБПО" представляет собой клиент-серверную систему, работающую на локальном оборудовании. Она включает серверную часть, генерирующую конфигурационные файлы, и веб-приложение с графическим интерфейсом для взаимодействия с пользователями.
Внутри этой платформы стало возможным использовать статический анализатор PVS-Studio для поиска критических ошибок в исходном коде.
Также мы провели вебинар с коллегами из Inseq, в котором поговорили о необходимости регулярного статического анализа, а также в целом об автоматизации в РБПО.
Стань спикером SOC Forum 2025 — сделай вклад в развитие безопасного цифрового общества
С 17 по 23 ноября состоится Российская неделя кибербезопасности — масштабная серия событий для обсуждения темы ИБ в государстве, бизнесе и граждан. Главная цель Недели — создание и развитие безопасного цифрового общества. Ее ядром станет ежегодный SOC Forum, который пройдет в Москве 19-20 ноября. Форум притянет еще больше профессионалов и лидеров отрасли для выстраивания стратегий защиты от самых актуальных киберугроз. Сбор докладов на форум уже открыт. ГК «Солар» — организатор Недели и соорганизатор форума.
SOC Forum 2025 – это:
• Новая масштабная площадка — «Тимирязев центр»;
• 9 тематических треков – о влиянии ИИ на киберугрозы и отражение атак, о поиске и удержании талантливых ИБ-специалистов, о преобразовании данных о кибератаках в конкретные меры защиты и другие;
• Больше форматов – от воркшопов и питч-сессий до персональных встреч.
Сбор докладов: без продаж и «воды»
Сбор докладов на SOC Forum продлится до 14 сентября. Чтобы стать спикером, необходимо заполнить заявку в личном кабинете на сайте форума с описанием доклада, выбрав подходящий тематический трек. До 30 сентября все заявки будут оценены компетентным жюри, в составе которого — эксперты крупнейших компаний отрасли и представители профильных ведомств.
При оценке докладов жюри будут учитывать: актуальность, новизну и практическую пользу. Жюри будет отклонять заявки с рекламой продуктов или услуг без уникальных кейсов, а также попытками «продать», а не поделиться экспертизой. Это означает, что на SOC Forum попадут только самые острые для ИБ-сообщества доклады, все они будут уникальны и полезны участникам отрасли. В прошлом году конкурсное жюри отобрало 151 заявку из 354 поданных.
Новые треки: ИИ и люди на защите от киберугроз
SOC Forum в 2025 году станет главным местом для построения эффективного диалога между регуляторами и представителями ведущих ИТ- и ИБ-компаний — от глав компаний, CISO и директоров финансовых и коммерческих подразделений до экспертов по кибербезопасности и молодых ИБ-специалистов. Каждый день будет посвящен новым тематическим трекам.
День 1 (19 ноября):
• AI & Cybersecurity: как искусственный интеллект меняет ландшафт киберугроз, инструменты защиты и ставит этические вопросы перед ИБ и ИТ- сообществом;
• Естественный интеллект: как искать талантливых ИБ-специалистов, грамотно оценивать их навыки и сохранять мотивацию;
• ИБ и бизнес: как CISO и ИБ команды могут не только защищать, но и помогать компаниям выигрывать у конкурентов и снижать риски простоя бизнес-процессов;
• Тренды и аналитика угроз: как превращать данные о киберугрозах в конкретные меры защиты, чтобы оставаться на шаг впереди хакеров;
• Многогранный кибербез: cамые нестандартные и экспериментальные темы отрасли.
День 2 (20 ноября):
• Offense: технические разборы и кейсы реальных кибератак от лучших ИБ-специалистов и пентестеров;
• Defense: разбор наиболее актуальных технологий защиты, реагирования и обнаружения киберугроз, а также закрытия уязвимостей, которые «невозможно исправить»;
• Архитектура ИТ и ИБ: как построить безопасную комплексную архитектуру для защиты не только «здесь и сейчас», но и на долгие годы вперед;
• SOC-практикум: обсуждения наиболее эффективных кейсов работы с NTA/EDR, SIEM и другими техническими средствами.
Что общего между Индией и Standoff Bug Bounty?
Standoff Hacks пройдет в Индии, и ты можешь полететь туда вместе с нами!
→ Во-первых, на нашей платформе активно багхантят ребята из Индии.
→ Во-вторых, наш следующий ивент Standoff Hacks пройдет 13 сентября в Ахмадабаде.
→ А в-третьих — у тебя есть шанс попасть на него за наш счет!
🔎 Для этого тебе нужно... Багхантить (surprise)! И набрать с момента публикации этого поста до 18 августа как можно больше баллов по этим публичным программам:
🔹 Timeweb
🔹 Купер
🔹 Т-Банк
🔹 VK
🔹 Ozon
🔹 Craftum
Баллы по программам суммируются. Трех самых активных багхантеров мы возьмем с собой в Индию 🇮🇳
А дальше на Standoff Hacks тебя будут ждать:
Эксклюзивный доступ к новому скоупу с огромными выплатами.
Новые знакомства, крутая атмосфера и яркие впечатления.
И бонусом — участие в конференции BSides Ahmedabad.
शुभकामनाएं। 🙏
P.S.: багхантеры, которые сдадут хорошие отчеты в Wildberries, получат приглашение в приватную программу от маркетплейса с эксклюзивным скоупом.
Компания «Доктор Веб» выпустила практические рекомендации по усилению безопасности ИТ-инфраструктуры для компаний и сотрудников по ИБ. Документ основан на многолетнем опыте работы службы технической поддержки «Доктор Веб» и департамента по расшифровке файлов,
Готовы запустить ИТ-завод? На кону — крутые призы и награда на Хабре!
«Северсталь» запустила совместный проект с Хабром, игру в пинбол. В ней можно проверить свою ловкость, а также узнать интересные факты об ИТ-проектах в промышленности. Цель проста: набрать максимум очков, активируя цеха и открывая карточки с фактами.
Самые меткие игроки получат классные наушники, худи и рюкзак, а те, кто соберет все факты, гарантированно получат ачивку «Я — стальной» в свой блог на Хабре. У вас есть три жизни, чтобы показать лучший результат, а после победы можно играть бесконечно.
Участие в ИТ-пинболе — это отличная возможность больше узнать об информационных технологиях «Северстали». Переходите по ссылке, играйте, соревнуйтесь и активируйте собственный ИТ-завод!
Стартовала работа над новым бумажным спецвыпуском журнала «Хакер». На этот раз в коллекционный сборник войдут лучшие статьи, опубликованные в 2025 году: от разбора сетевых протоколов до хакерских применений LLM.
После выпуска трёх бумажных сборников с архивными статьями за 2015–2021 годы в «Хакере» решили попробовать новый формат: журнал, в котором будут собраны лучшие статьи за год. В новый номер войдут более 20 топовых текстов, публиковавшихся на страницах «Хакера» в 2025 году. Каждая статья по традиции будет сопровождаться уникальными комментариями от авторов и редакторов, которые позволят заглянуть за кулисы работы журнала. 240 страниц на плотной бумаге — вдвое толще старых номеров «Хакера» образца 2015 года.
Лучшие статьи за год, подшивка всего самого интересного:
Автоматизация хакерских тасков при помощи LLM;
Полный гайд по разведке перед пентестом;
Разбор популярных сетевых протоколов с примерами;
Туториал по опенсорсному отладчику radare2;
Новые способы обфускации малвари в Windows;
Хакерские трюки и софт для Android;
И многое другое.
Интеграция PVS-Studio с Hexway
Компания PVS-Studio и платформа Hexway заключили технологическое партнёрство для обеспечения интеграции статического анализатора кода PVS-Studio в экосистему DevSecOps.
Hexway VamPy — это решение, агрегирующее данные о безопасности из разных источников для работы с уязвимостями.
В Hexway стало возможным загрузить результаты анализа PVS-Studio в виде отчёта и работать с конкретными ошибками так же, как это позволяют другие инструменты. Загрузка возможна двумя способами: через пользовательский интерфейс или командную строку с использованием CLI-инструментов.
Подробнее о том, как загрузить результаты анализа PVS-Studio в Hexway VamPy можно прочитать в соответствующем разделе нашей документации.
Как обойти защиту JWT?
В этом видео инженер по безопасности приложений Swordfish Security Денис Данилов разбирает уязвимость стандарта передачи данных JSON Web Token (JWT).
Суть уязвимости
JWT состоит из трех частей:
Header — заголовок, где указывается алгоритм подписи (например, HS256),
Payload — полезная нагрузка (данные пользователя, роли и т. д.),
Signature — подпись, которая формируется с помощью секретного ключа.
Проблема возникает, если сервер не проверяет, какой алгоритм указан в заголовке. Если там стоит alg: "None", библиотека может интерпретировать это буквально — и не проверять подпись вовсе.
В результате злоумышленник может:
извлечь JWT токен (например, из cookies),
заменить полезную нагрузку (например, указать "role": "admin"),
подставить alg: "None" в заголовке,
отправить подделанный токен на сервер и получить доступ к чужому аккаунту.
Как научиться находить такие уязвимости?
Такой тип ошибки — не уникален для JWT. Это общий паттерн: разработчик полагается на библиотеку, не разбираясь в деталях. В продакшене такие недочёты дорого обходятся — и бизнесу, и карьере инженера.
Swordfish Security мы регулярно сталкиваемся с подобными уязвимостями в реальных проектах. Опыт показывает: даже базовое понимание архитектуры протоколов и моделей угроз помогает разработчикам предотвращать критичные ошибки ещё на этапе проектирования. Этот кейс, кстати, — часть одного из модулей курса по DevSecOps нашей академии, где мы разбираем типовые уязвимости и подходы к их предотвращению.
Благодаря найденной уязвимости я зарегистрировал CVE-2024-45244, попал на спикер-пати OffZone 2024 (как докладчик) и в топ-10 "Pentest Award 2025" (номинация Out Of Scope). А ведь этого всего могло бы и не быть, если бы я не продолжил настаивать на своём (невзирая на мнение моего тогдашнего тимлида). Уязвимость обнаружил несколько лет назад в процессе исследования безопасности коммерческого смарт-контракта. Сообщил тимлиду (отдел занимался безопасностью блокчейна) во всех подробностях, даже макет с результатами показал и описал. Но, тимлид проигнорировал мою находку. Он до этой работы не имел практического опыта в безопасности (был разработчиком). Врезалось в память, как он называл себя "самым компетентным по блокчейнам в отделе". После моего отказа на предложение добровольно стать "козлом отпущения", у него появились претензии к моей работе. Мол, это я ничего не смыслю в безопасности блокчейнов. В какой-то момент он даже позвал HR бизнес-партнёра на 3-х сторонний диалог (видимо, показать, что он не одинок во мнении насчёт моей компетенции). HR весь наш диалог молчала, "считая ворон". А в конце выдала гениальное: я не поспеваю за темпом компании в безопасности. И, вообще-то, очень плохо, что я не внимаю мнению руководителя - тимлидом абы кого не ставят (видимо, кейс с президентом Ельциным молодое поколение HR-ов и не знает). Учитывая, что у компании одной из целей был поиск CVE в блокчейнах, и на текущий момент в публичной плоскости у них так ни одной CVE в этой области не появилось - большой вопрос: кто за кем не поспел.
Сегодня, прочитав статью "Когда руководитель не руководитель. Синдром «Самого умного» я вспомнил не только разработчиков блокчейна, пафосно уверявших меня, что проблемы нет, они-то лучше меня знают свой продукт. А фикс - только чтоб меня успокоить (подробнее в статье "Как я зарегистрировал CVE и разозлил вендора"). Я также вспомнил своего бывшего тимлида. И ведь такие люди - не редкость. На одной из лекций психологу задали вопрос почему среди руководителей часто нарциссы? Ответ: обычный человек 10 раз подумает стоит ли идти в руководители. У нарциссов же это желанная цель: уже самой своей должностью показывать подчинённым кто в доме хозяин. Надо сказать, что такие люди любят публичный вынос "сора из избы". Пример с этим тимлидом - на картинке.
Что делать когда сталкиваешься с такими людьми? Это дело каждого. Но, лично я солидарен с психологом: не пытаться что-то им доказать, не вестись на провокации, и постараться не пересекаться в жизни (если нужно - сменить работу). Ну, и CVE, OFFZONE, Pentest award - те вещи, которые вряд ли бы появились, если бы не сменил работодателя.
