Информационная безопасность

ИИ‑фреймворки давно въехали в прод, но к ним часто относятся как к «научной приблуде», а не к ещё одному входу в ваши данные и инфраструктуру. Spring AI и ONNX крутятся где‑то между ML‑командами, продуктами вендоров и внутренними ассистентами, и на определённом этапе за ними перестают успевать архитектура и безопасность.

В марте в обзорах уязвимостей рядом всплыли несколько критичных багов именно в этих штуках. Там есть и SQL‑инъекции, и JSONPath‑инъекции, и обход проверки доверия при загрузке моделей. В статье разбираю, что это значит для тех, кто уже тащит ИИ в прод, и даю чек‑лист, который можно прямо отнести своей команде.

Я живу вне РФ, но у меня там остаются близкие, с которыми важно продолжать общение.

И в какой-то момент я столкнулся с простой, но неприятной реальностью:
поддерживать стабильную связь становится всё сложнее.

В условиях массовых блокировок и внедрения «белых списков» интернет постепенно перестаёт быть глобальным - вместо этого остаётся ограниченный набор разрешённых сервисов.

На практике:

Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

Представьте: вы откликаетесь на вакансию в компании, проходите обычное собеседование, получаете тестовое — и через несколько минут ваш телефон уже заблокирован, а в Telegram требуют деньги за доступ.

Именно так работала схема, в которой мошенники прикрывались нашим брендом. Снаружи — всё как настоящий найм, внутри — аккуратно выстроенный развод. Разбираю, как это устроено и в какой момент всё идёт не так.

Когда-то APT-группировками считались прогосударственные хакеры со сложными инструментами и стратегическими целями, а хактивистами — те, кто выражал цифровой протест. Сегодня определить границу между первыми и вторыми становится все сложнее. Некогда идеологически мотивированные хакеры все чаще выполняют задачи в интересах государств и аффилированных с ними структур, а ущерб от их атак уже достигает уровня APT-группировок. 

Мы, группа международной аналитики PT Cyber Analytics, проанализировали деятельность сотен группировок за год — получилось большое исследование. В статье расскажем о самом важном: как меняется ландшафт глобальных киберугроз, какие методы чаще всего используют атакующие и что нас ждет в будущем. А еще покажем топ интересных атак за 2025 год. 

Расширение стека средств защиты информации на предприятиях, и в особенности внедрение SIEM-систем, неизбежно ведет к кратному увеличению потока событий, поступающих на обработку аналитикам. Как следствие, рост нагрузки на сотрудников вызывает увеличение показателей MTD (среднее время обнаружения) и MTTR (среднее время реагирования).

Одним из решений этих проблем выступает класс систем SOAR — Security Orchestration, Automation and Response. SOAR фокусируется на реагировании и управлении инцидентами и становится центральным узлом — оркестратором, объединяющим разрозненные СЗИ в единый технологический стек.

В статье подробно изучим возможности системы, разберем ее ключевой функционал и продемонстрируем эффективность технологии на реальных практических кейсах.

Привет, Хабр! На связи Дмитрий Неверов, технический консультант направления тестирования внутренней инфраструктуры команды Бастиона и автор книги «Идём по киберследу».

Пентестер зачастую воспринимается как «белый маг хакер», которому дай только возможность запустить пару эксплойтов и поэксплуатировать zero-day. Однако наш опыт подсказывает, что самые неприметные и «безобидные» настройки Active Directory могут нести не меньшую опасность в руках умелого взломщика.

В этой статье я расскажу о трех интересных пентестах, выполненных нашей командой. Во всех этих кейсах использовалась моя базовая методология пентеста, которая несколько отличается от классического подхода, и применялись только этичные приемы. Итак, поехали!

Утром 18 марта создатели приложения Telega активировали скрытую функциональность, позволяющую им перехватывать все данные между их приложением и сервером Telegram, пропуская их через свои сервера.

К сожалению, информации об этом мало, и поэтому была написана эта статья с подробным, повторяемым анализом данного механизма.

Олды, возможно, помнят серию постов о «Самураях» — российской разработке защищённых флэшек 2011-2013 годов. Путь «Самурая» вскоре после этого прервался, но не закончился: 10 лет спустя, «Самураи» — это уже не одни флэшки, а целая линейка систем уничтожения данных, по нажатию кнопки стирающих от ноутбука до серверной стойки. И это только часть железных и софтверных решений для по шифрованию, анонимизации и уничтожению данных, которые с тех пор начали выпускаться в России: от защищённых флэшек до защищённых жёстких дисков, защищённых анонимные смартфоны «с секретом» и утилизаторов жёстких дисков и SSD. За прошедшие 15 лет выяснилось, что системы защиты и безвозвратного уничтожения данных — это целая отрасль с огромным спросом и массой востребованных решений.

А ещё — возможно, последняя незарегулированная отрасль российского IT: оказывается, разработка тревожных кнопок моментального уничтожения данных не требует никаких лицензий ФСБ, сертификаций ФСТЭК или реестров Роскомнадзора, потому что, согласно 152-ФЗ, оператор обязан уничтожать персональные данные необратимо. Т.е. с точки зрения закона о персональных данных, функция безвозвратного уничтожения данных — это тоже защита данных. Таким образом, на пересечении законодательной благосклонности и пользовательского спроса, образовалась одна из самых необычных ниш российского ИТ, с которой я сталкивался.

Telega обещала «тот же Telegram, только без VPN». На деле выдали MITM-комбайн с прокси в РФ, вырубленным PFS и нейросетевым Cerberus, который нюхает ваши чаты на лету. В статье разбираем, как «клиент для удобства» тихо превращается в домашний Роскомнадзор в телефоне CIO, и почему один такой апк на смартфоне топа делает бессмысленной всю вашу стратегию по ИБ.

Когда говорят о качестве статического анализатора, обычно показывают удобные цифры: стало меньше шума, стало больше находок, лучше сработали правила на внутреннем проекте. Проблема в том, что такие оценки слишком легко подогнать под себя.

sa-tests-db полезен ровно потому, что это внешний набор для проверки анализаторов. Он нужен не для красивой демонстрации, а для грубой, неудобной вещи: взять инструмент и посмотреть, как он проходит квалификационный критерий на чужом корпусе, а не на примерах, которые вы сами себе подготовили.

В контексте ГОСТ Р 71207-2024 это особенно важно. Там недостаточно сказать: «в среднем по языку результат хороший». Смотреть нужно по типам ошибок. Если по какому-то типу ошибок анализатор даёт слишком много ложных срабатываний или слишком много пропусков, это уже проблема, даже если общая картинка выглядит прилично.

Как я без Mac, с помощью Claude AI и GitHub Actions, создал кроссплатформенное приложение для шифрования сообщений поверх любого мессенджера. Android на Kotlin, iOS на Swift без MacBook, десктоп на Python. AES-256, три платформы, два отказа от Apple и один баг с буквой «а».

Решил на днях приобрести корпус для апгрейда компьютера. И выбор пал не на интернет-магазин массовой торговли, а на обычный офлайн-магазин DNS, так как цены на его отдельные товарные позиции дешевле, чем в Озоне, более чем вдвое. Тем более в нашем городе получать товар в Озоне или Валдберис нужно идти ножками в ПВЗ и нести его домой самостоятельно, а у DNS есть доставка до двери.

И все было бы хорошо и не было бы текущей статьи, если бы я не выбрал "доставку курьером" и способ оплаты "по карте при получении товара". В результате меня чуть не развели как лоха.

Точнее, это я думаю, что меня попытались развести, а на самом деле, может быть, никакого развода не было, и это пошла такая тенденция - прикрываться якобы блокировками интернета, предлагать непонятные и крайне сомнительные способы безналичной оплаты.

Исследователи компании Eclypsium в свежем отчете сообщают об обнаружении целого набора уязвимостей в четырех пользовательских адаптерах IP-KVM. Такие адаптеры, как следует из названия, позволяют удаленно управлять компьютером, эмулируя клавиатуру, мышь и внешний дисплей. Компрометация таких адаптеров, соответственно, позволяет полностью перехватить контроль над управляемым устройством. В Eclypsium справедливо предположили, что дешевые (от 30 до 100 долларов) пользовательские устройства будут хуже защищены, чем аналогичные решения для применения в корпоративных сетях.

Несколько лет назад я решил купить электросамокат, чтобы ездить на работу. Я уже какое-то время пользовался прокатом самокатов, но устал от необходимости «охоты» на них или отсутствия их рядом с домом, когда мне нужно было ехать в офис.

Мой выбор остановился на Äike T. Не потому, что он оказался лучше других самокатов: на самом деле, его цена была даже выше других, и в этом ценовом сегменте рынка явно имелись скутеры с более высокими параметрами.

Однако я выбрал Äike, потому что его производили в моей стране, а мне нравится по возможности поддерживать местные компании. Äike («молния» на эстонском) был спроектирован и изготавливался в Эстонии, прямо в Таллине. Насколько я могу судить, разработчики использовали не так много стандартных компонентов. Конструкция была разработана с нуля, модуль IoT и аккумуляторные блоки тоже производили локально, и так далее. Нельзя сказать, что это однозначно лучше, ведь при этом усложняется обслуживание самоката, но сам продукт мне показался амбициозным.

Ещё одной причиной покупки стало то, что у производителя была сестринская компания Tuul («ветер» на эстонском), занимавшаяся прокатом электросамокатов. Это тоже были скутеры Äike, и из всех конкурентов мне больше всего нравились Tuul/Äike, поэтому я по возможности пользовался их прокатом.

В прошлом году компания Äike обанкротилась. В будущем это не предвещало ничего хорошего: станет всё сложнее находить запчасти, ведь они были нестандартными. Но возникли у меня и более актуальные опасения, связанные с возможностью пользоваться самокатом. У него нет ручной функции включения/отключения. Для включения и выключения, открывания аккумуляторного отсека, переключения в режим транспорта и так далее необходимо было приложение.

Пароли от доменных учеток, ключи к серверам, доступы к СУБД — это святая святых и одновременно источник постоянной головной боли. Забыл сменить пароль после ухода сотрудника? Нужно дать доступ подрядчику на час, а он просит навсегда? DevOps запрашивает секрет для CI/CD и приходится вручную вставлять его в переменные? Специалист по безопасности на этих словах уже подумал про PAM как решение проблемы. Если вы IT-инженер и тоже подумали про PAM, но как источник проблемы — вы не одиноки! Эта многоликая система может быть и спасением, и кошмаром. В новой статье покажем, как внимание к пользовательскому опыту позволяет PAM брать на себя рутину и усиливать команду IT.

Статья была отредактирована и доработана с помощью AI. Текс сделан более структурированным, грамотным.

В школах начались каникулы, количество статей и обзоров решений по обходу блокировок и эксплуатации белых списков увеличилось вдвое. А мне уже надоели обсуждения механизмов обхода блокировок и шум в чатах и группах про блокировки, баны, переборы IP, белые списки и так далее — и я решил обсудить не «как сделать чтобы», а «почему то о чем говорят не сработает».

А есть и еще один вопрос — предположим, вы администратор какого‑либо сервиса, внесенного в белые списки. Или даже специалист по ИБ. И всё бы хорошо — но среди ваших коллег много несколько странных эмоционально неустойчивых личностей без развитого чувства самосохранения и не читавших правила пользования сетевыми ресурсами компании — и вы подозреваете, что эти одаренные создания учудят чего‑нибудь, что делать не следует.

Давайте обсудим — какие механизмы обхода, когда, почему и как перестанут работать? Почему белые списки неизбежны, почему они страшнее чем их описывают, и от чего они (не)помогут? Как можно поймать замаскированный ВПН?

Спойлер: большая часть того что сейчас распространяется и обсуждается в среде киберсопротивленцев средней школы, нетехнических специалистов и далеких от темы людей — это паллиативные симптоматические решения. Они отвалятся или сломаются в ближайшем будущем. Всё сильно хуже. И сильно лучше.

Радиосигнал Bluetooth принимается только на близком расстоянии. Однако он не такой безопасный, как принято считать. На самом деле многие Bluetooth-устройства делают человека уязвимым для слежки. Недавно открытые уязвимости позволяют злоумышленнику выполнить скрытное сопряжение, а затем отслеживать местоположение устройства через интернет, а также использовать его как удалённый микрофон для дистанционного прослушивания.

Более того, даже обычное пассивное сканирование окружающей среды — сбор «цифровых крошек» на протяжении недель — раскрывает массу приватных деталей о соседях.

Будучи разработчиком PHP на протяжении почти 20 лет, я поработал в разных компаниях — и больших, и маленьких. И сейчас, подыскивая новое место работы, я попадалю на статьи множества HR‑ов, внутрикомщиков, офис‑менеджеров и прочих специалистов по корпоративной красоте. Они пишут про корпоративные мегаценности, важность бренда, коммуникаций, чувства принадлежности, атмосферы и всего вот этого.

Извините, но я больше не могу это терпеть.

Кто‑то должен им ответить — строго и по фактам.

Наверняка многие сочтут этот текст неполиткорректным, «мускулинным», старпёрским. Возможно это дорого мне обойдется и ещё прилетит.

Но вещи нужно называть своими именами. Это полезно. Как лекарство: горькое, неприятное, но оно излечивает недуг.

FYI: Иллюстрации в статье сатирические, гиперболизированные: это — попытка передать внутреннее ощущение от офисных манипуляций, слишком часто маскируемых под «корпоративную культуру».

А болезнь тут довольно простая: