Двое реверс-инженеров пробуют разобраться, почему в старой стиральной машине Miele перестал работать отжим. Устранить неполадку им так и не удается — зато они умудряются отреверсить закрытый диагностический протокол и вытащить прошивку управляющей платы. А затем — написать утилиту, которая делает то же, что и проприетарный сервисный софт Miele, только без лицензий и посредников.

Детали этого эксперимента мы подробно разобрали в прошлой статье. Здесь история могла бы закончиться — но одной стиралки исследователям оказалось мало. 

Дальше они вскрыли посудомойку BSH, подключились к шине обмена данными D-Bus и нашли механизм доступа к памяти, позволяющий выгружать прошивку с любых устройств BSH через эту шину. А к финалу исследования и вовсе ударились в откровенный инженерный троллинг, научив облачное приложение BSH управлять техникой бренда-конкурента.

Продолжаем разбор доклада Hacking Washing Machines с конференции 39C3 и смотрим, как попытка разобраться в логике одной капризной стиралки превращается в операцию по стыковке двух закрытых экосистем бытовой техники.

«Однажды у нашей старенькой стиралки где-то нарушилась логика, и она решила, что отжим нам не нужен. Вопреки нашим ожиданиям, вместо полусухих вещей мы получили мокрые». 

С этой поломки началось исследование Северина фон Внук-Липински и Хайо Нёренберга, в ходе которого им удалось восстановить работу диагностического протокола стиральной машины Miele, получить доступ к скрытым функциям и извлечь прошивку платы управления.

В этой статье разберем их доклад Hacking Washing Machines с конференции 39C3 и проследим, как мелкая бытовая неисправность привела к полноценному реверсу стиралки, а затем — к созданию свободной утилиты, которая заменяет закрытый фирменный софт для ремонта техники Miele.

Давайте начистоту: утечка персональных данных — не гипотетическая угроза, а суровая реальность. Только за 2025 год Роскомнадзор зафиксировал больше сотни утечек, в результате которых было скомпрометировано 50 миллионов записей (строк в базах) с персональными данными пользователей.

Для бизнеса последствия стали еще серьезнее, чем раньше. Помимо репутационного коллапса и судебных исков, компаниям теперь может грозить и уголовная ответственность по новой статье 272.1 УК РФ: за нарушения можно получить штраф до 700 000 рублей или срок до пяти лет. А с 30 мая 2025 года в силу вступили «драконовские штрафы» по КоАП: от 1% до 3% выручки — но не менее 20 и не более 500 млн рублей.

Выходит, для компаний утечка — настоящая проверка на прочность. Представьте: одна ошибка, и данные тысяч клиентов оказываются в даркнете, или кто-то взломал сервер — и требует выкуп. Что делать? Паниковать? Нет. Действовать быстро и по инструкции.

Рассказываем, как правильно реагировать на инциденты с персональными данными. Разбираем, что считается инцидентом, кому и в какие сроки отправлять уведомления и что делать, чтобы минимизировать ущерб.

Сегодня классический антивирус то и дело списывают в утиль. Дескать, «это театр безопасности», «он бессилен против таргетированной атаки», «да его студент обойдет в два счета». Что же, антивирус и вправду никакая не броня и не всегда спасает от сложных и тщательно спланированных действий злоумышленников.

На связи Семён Рогачёв, руководитель отдела реагирования на инциденты в Бастионе. Открою страшную тайну: изощренных атак становится все меньше — киберпреступники в массе стремятся удешевить и упростить свои методы, а их инструментарий нередко скатывается к палкам и камням общедоступному опенсорсу.

Для борьбы с подобными незамысловатыми угрозами старый добрый, а зачастую вовсе бесплатный антивирус подходит на все сто. Как показывает практика, значительную часть кибератак удалось бы пресечь, обрати безопасники внимание на предупреждения противовирусного ПО.

В этой статье рассмотрим экономику современных кибератак, разберемся в причинах их удешевления и упрощения. Также заглянем в арсенал типичного злоумышленника и на реальных кейсах разберем, как «устаревшие» и «бесполезные» антивирусы дают прикурить киберпреступникам. 

«Давайте быстро развернем SOC» — подобные запросы от руководства компаний учащаются после каждой громкой кибератаки. Возникает иллюзия, что центр мониторинга безопасности можно легко создать за пару недель. Но так ли это? Или дело не в SOC, а в том, кто именно его запускает?

На связи Денис Иванов, руководитель по развитию центра мониторинга информационной безопасности в Бастионе. На практике я часто сталкиваюсь с подобными заблуждениями насчет SOC: заказчики путают его с SIEM, не понимают, когда нужен собственный центр мониторинга, а когда — готовая услуга. 

В статье разберу, почему сформировалось такое искаженное представление о SOC, с какими типичными ошибками сталкиваются компании при его создании и какие подходы действительно работают.

Представьте, что вы остановили атаку шифровальщика, залатали уязвимость и восстановили системы из бэкапа. Через неделю в той же сети всплывает майнер. Еще через месяц документы утекают в открытый доступ. Следы каждый раз ведут к одной и той же уязвимости. Что происходит: резвится один упорный хакер или ваша сеть превратилась в «коммуналку» для злоумышленников?

С каждым годом становится всё труднее ответить на этот вопрос. Атрибуция кибератак превратилась в гадание на кофейной гуще. Атакующие используют одни и те же open-source-инструменты, а хорошая телеметрия блокирует атаки так быстро, что после инцидента остается слишком мало данных для полноценного расследования.

Чтобы разобраться в ситуации, мы позвали Семена Рогачёва, руководителя отдела реагирования на инциденты Бастиона. Он уже выступал с докладом на эту тему. 

Рассмотрим три реальных кейса: от простого подсчета атакующих до полной неопределенности с двумя группировками на одном сервере. Сразу предупреждаем: простых ответов не будет. 

Недавно в ходе рутинной разведки угроз я наткнулся на необычную фишинговую страницу, которая комбинирует социальную инженерию и коварный payload под видом обычной JPEG-картинки, убеждая пользователя самостоятельно выполнить вредоносный код. 

В типичных сценариях злоумышленники пытаются заставить жертву скачать исполняемый файл из сети — но тут всё хитрее. Страница прячет в кэше браузера вредоносный файл, замаскированный под изображение, а затем просит жертву выполнить «безобидную» команду, которая извлекает payload из кэша. В результате получаем локальный запуск кода, который не фиксируется средствами сетевого мониторинга. 

По сути, атака умело сочетает две техники: принуждение к локальному исполнению (ClickFix/FileFix) и контрабанду кэша (Cache Smuggling). В статье я подробно разберу каждый из этих приемов и покажу, как можно сделать доставку полезной нагрузки еще более незаметной.

В кибербезопасности легко застрять в «режиме пожарного»: тушишь инцидент за инцидентом, закрываешь уязвимости, реагируешь на новые требования регуляторов. Работа кипит, но назвать это полноценным развитием сложно — все ресурсы уходят на решение тактических задач. 

Чтобы ИБ-отдел не превращался в «костыльный цех», а работал на рост бизнеса, нужна стратегия развития. Причем не на квартал и не «до следующего аудита», а с горизонтом в несколько лет. С такой стратегией намного проще перейти от бесконечного латания дыр к проактивной защите, которая позволит лучше управлять рисками и убережет компанию от дорогостоящих ошибок. 

В этом материале разберем шесть подходов к построению ИБ-стратегий. Эти модели применяются и в чистом виде, и как основа для гибридных решений. Текст будет полезен как новичкам в кибербезопасности, так и руководителям, стремящимся превратить кибербезопасность из статьи расходов в инвестицию.

Пентесты помогают выявить и устранить слабые места в защите компании до того, как ими воспользуются злоумышленники. Но чтобы такая проверка действительно принесла пользу, важно понимать, зачем вы ее проводите, по какой методологии, и что будете делать с результатами.

В этой статье мы разберемся:

• чем отличаются методологии «черного», «серого» и «белого ящика»;

• какую из них выбрать под конкретные риски;

• как подготовиться к тестированию, чтобы не тратить деньги впустую;

• и почему даже «зеленый» отчет сам по себе — не повод выдыхать.

В прошлой статье мы рассказывали о HD Moore — хакере, который подарил миру фреймворк, навсегда изменивший практику пентестов. Теперь на очереди сам Metasploit: в прошлом — настоящий «швейцарский нож» пентестера, ныне — скорее вспомогательный инструмент с отдельными рабочими лезвиями.

Чем был Metasploit для индустрии в нулевые, что представляет из себя сейчас, и почему пентестеры продолжают использовать его даже спустя двадцать лет? Разбираем историю эволюции легендарного фреймворка, которому в этом июле исполняется 22 года.

Имя Джеймса Мура знакомо каждому, кто занимается пентестами. Создатель легендарного Metasploit Framework, он прошел путь, далекий от классических историй успеха Кремниевой долины: у Мура нет докторской степени, многомиллионного стартапа или офиса в Калифорнии. Вместо этого — школьные эксперименты с реверс-инжинирингом по заказу ВВС США, разобранные компьютеры с помойки и ночи в подпольных IRC-чатах, где обсуждались взломы телефонных сетей и финансовых систем.

Как подросток, увлекающийся фрикингом и сборкой ПК из выброшенных деталей, превратился в одного из самых влиятельных людей в информационной безопасности? Что привело его к созданию Metasploit — инструмента, который изменил подход к пентесту? В этой статье — история HD Moore: от первых хакерских экспериментов до фреймворка, которым сегодня пользуются и киберпреступники, и спецслужбы.

Пользователи GitHub часто используют принудительные пуши (git push --force), чтобы переписать историю коммитов — например, когда случайно закоммитили секреты и хотят удалить их из репозитория. 

На первый взгляд кажется, что коммит исчез, но на самом деле GitHub его не стирает. «Удаленный» коммит остается доступен по хэшу — пусть и без прямых ссылок. GitHub продолжает хранить такие коммиты вечно.

В статье покажу, как вычислял такие коммиты с помощью GitHub Archive и вытаскивал из них секреты, за которые мне выплатили $25 000 по багбаунти. А еще поделюсь open-source инструментом, который позволит вам самостоятельно искать подобные утечки.

Когда компания только начинает свой рост, информационная безопасность почти неизбежно воспринимается как палки в колеса. Формальные согласования, запреты, новые правила — все это кажется лишним грузом. Но рано или поздно наступает момент, когда становится все сложнее стабильно и предсказуемо развиваться без системного подхода к ИБ. 

Матвей Григорьев, руководитель направления ИБ в Dodo Engineering, заглянул к нам в подкаст «Все по ИБ» и поделился опытом построения ИБ-службы с нуля в компании, которая растет как на дрожжах. Он объяснил, как превратить безопасность из назойливого «контроллера с линейкой» в настоящего партнера бизнеса — и рассказал, как в Dodo внедряли подход Zero Trust. Мы собрали главные тезисы в этом конспекте — дальше слово Матвею.

Эксплойты ядра iOS всегда вызывали у меня огромный интерес. За последние годы эксплуатация ядра стала значительно сложнее, и традиционные уязвимости (например, связанные с повреждением виртуальной памяти) стали встречаться реже.

Тем не менее, летом 2023 года felix-pb выпустил три эксплойта под названием kfd. Это были первые опубликованные эксплойты ядра, работавшие на iOS 15.6 и выше. 

Разрабатывая джейлбрейк для iOS 14 (Apex), я реализовал собственный эксплойт для уязвимости Physpuppet. В этой статье объясню, как эксплуатировать уязвимость типа physical use-after-free на современных версиях iOS.

Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.

В каждом репозитории я восстанавливал удаленные файлы, находил непривязанные («висячие») объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.

Новости о крупных утечках данных больше никого не удивляют. Компании вкладывают миллионы в безопасность, проводят аудиты, но число таких инцидентов продолжает расти. Только в 2024 году Роскомнадзор зафиксировал 135 утечек — это более 710 миллионов записей о россиянах в базах данных. Но что происходит с данными после взлома? Куда они утекают? Кто и как их покупает?

Большинство новостей на тему утечек ограничиваются банальным «взломали, утекло, делайте выводы». Но утечка данных — это не конец истории, а только ее начало. После взлома данные начинают жить своей жизнью: их разбивают на части, объединяют с другими базами, разыгрывают на аукционах. Теневой рынок, построенный вокруг сбыта таких данных, напоминает отдельную экосистему, которая до сих пор слабо изучена даже среди ИБ-специалистов.

В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...

Сегодня расскажу, как мне удалось перехватить управление миллионами смарт-весов, подключенных к интернету. Причина — уязвимость в механизме привязки весов к пользователю, превратившая эти устройства в идеальные мишени для атак.

Эта находка наглядно показывает, что аппаратная и веб-безопасность — две одинаково важные составляющие защиты умных устройств. Отыскав уязвимости в каждой из них, злоумышленник может достичь по-настоящему пугающих результатов.

Сегодня в ИБ-индустрии сертификаты квалификации часто становятся входным билетом в профессию. Особенно это касается пентестов и red-teaming, где заказчики нередко требуют наличие определенных сертификатов для участия в тендерах.

В этой статье я расскажу о своем опыте прохождения СRTP (Certified Red Team Professional), CRTE (Certified Red Team Expert), СRTO (Certified Red Team Operator) без отрыва от производства и вреда для рабочих проектов. Поделюсь подробностями об организации обучения, особенностях лабораторных работ и экзаменов. Также дам практические советы, которые помогут избежать типичных ошибок при подготовке. 

Статья будет полезна как начинающим специалистам по информационной безопасности, так и опытным пентестерам, планирующим получить эти сертификаты. Отмечу сразу: мой путь не был идеальным — были и пересдачи, и бессонные ночи, и «кроличьи норы». Но, как говорится, лучше учиться на чужих ошибках.

Представьте: вы выложили кучу денег на крутые замки и карты доступа, а какой-то парень с крошечной штуковиной в кармане открывает их за пару минут. Похоже на сцену из киберпанк-фильма? Но это наша реальность. В сердце множества СКУД скрывается протокол, разработанный в 70-х годах прошлого века без шифрования и защиты от перехвата данных.

Сегодня я расскажу, как мы спаяли крохотную платку, которая наглядно показывает уязвимость Wiegand. Наш имплант легко перехватывает данные из СКУД, копирует карты доступа и эмулирует их, когда вам это нужно.

Мы делимся этим материалом не чтобы научить вас обходить системы безопасности (кто хотел, тот уже давно все нагуглил), а чтобы показать: пора что-то менять. Серьезно, нельзя же в 2025 году полагаться на технологию, которая старше многих безопасников, обслуживающих эти системы.

Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google.

В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.