Информационная безопасность *

Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту сетевого оборудования. А зря. Без такой инвентаризации невозможно ни нормально управлять ИТ-инфраструктурой, ни защититься от угроз.

Мы наблюдаем в инфраструктуре клиентов это так часто, что поняли – нужно выдать базу. Мы – это руководитель практики развития MaxPatrol Carbon Константин Маньяков и эксперт центра безопасности (PT ESC) Данил Зарипов, и в этой статье мы будем разбираться в ключевых аспектах аудита сетевых устройств, его роли в построении эффективного управления активами и повышении уровня защищенности ИТ-инфраструктуры.

Меня зовут Семён Ремезов, я Senior QA в компании «Гринатом» (мы пишем софт для «Росатома»).

Про такие вещи обычно говорят шёпотом в курилках либо громко обсуждают, только когда уже «прилетело».

Можно, конечно, наклепать синтетических моков, но в сложных системах это мало что даст. У нас в «Гринатоме» крутятся огромные системы. Это не просто «магазин с корзиной». Это продукты с чудовищным уровнем вложенности, тоннами информации и зависимостями, которые переплетаются между собой, как корни столетнего дуба. Данные пересекаются везде и всюду.

Синтетика — это стерильная лаборатория. Моковые данные — это то, как разработчик представляет себе данные. А их реальный массив — это то, как пользователи на самом деле кошмарят систему.

Мы внедрили у себя security-лейблы в Postgres Pro Enterprise для анонимизации, и этот путь был, мягко говоря, тернистым. Если вы думаете, что анонимизация — это просто скрипт UPDATE users SET name = 'Ivan', то у меня для вас плохие новости.

Давайте разберём, как мы построили процесс, почему отказались от дорогих «коробочных» решений и как заставили Postgres 15-й версии работать нормально.

Многие разработчики в последнее время используют облачные LLM для генерации программного кода, в том числе с помощью агентов. Но это вызывает как минимум две проблемы:

Утечка информации: мы не знаем, какие данные LLM передаёт в облако

Бесконтрольный расход токенов, особенно в случае автоматических агентов, которые запускаются в автономную работу на длительный период

Для этого есть специальные инструменты мониторинга. Например, Tokentap (бывший Sherlock) отслеживает использование токенов для LLM CLI в реальном времени на панели в консоли. Такой MitM-прокси полезен для информационной безопасности и просто для учёта расходов.

Я работаю директором по цифровой трансформации. И каждый раз, когда собираю бюджет, вижу одну и ту же картину: на ИТ денег мало, на ИБ — ещё меньше. При этом требования растут, угрозы множатся, а формулировка от бизнеса : «сделай так, чтобы работало удобно, из любого места и без пароля желательно, ну и не ломалось».

Как и многие я ищу идеальную формулу: минимум вложений → максимум защиты. Не «купить всё и сразу», не «внедрить SOC за 10 миллионов в год», а именно базовую базу по ИТ и ИБ, которая закрывает 80% рисков и не требует армии сотрудников для ее поддержания.

Эта статья — про то, как за разумные деньги выстроить защиту основывая на собственных ошибках и опыте. С цифрами, с инструментами, с калькулятором.

ИБ‑гигиена — это не SOC, не «киберщит» и не магический короб. Это несколько приземлённых вещей: MFA, антивирус, бэкапы, ролевая модель и обучение людей. Всё это стоит сильно дешевле одного серьёзного инцидента.

Представьте ситуацию: вы тщательно подготовились к работе с мультиаккаунтингом - настроили окружение, для каждого потока прописали уникальный резидентный прокси, уверены в чистоте ваших IP-адресов. Но после старта все ваши аккаунты один за другим улетают в бан, хотя каждый поток работал со своего уникального IP-адреса. Как говорится - ситуация патовая, в чем может быть дело? 

Недавно я участвовал в корпоративном хакатоне по обходу ИИ-песочниц. Задача: пройти закрытый бенчмарк PAC1, где ИИ-агенту нужно работать с виртуальной файловой системой (чтение логов, поиск файлов, отправка писем) и обходить ловушки безопасности (Indirect Prompt Injections).

Но реальность оказалась суровой: хваленые reasoning-модели постоянно галлюцинировали, ломали структуру JSON на выходе (выдавая свои "мысли" вместо чистого ответа) и просто сжигали бюджет на API, зацикливаясь на одной ошибке.

Потратив часть бюджета впустую, я решил: если ИИ не справляется, мы заменим его на старый добрый хардкод. Так родился концепт Zero-Cost Agent — алгоритмического лома, который симулирует поведение нейросети.

В августе 2019 года, за несколько недель до выборов в Московскую городскую думу, Пьерик Годри из исследовательского института INRIA опубликовал результаты анализа кода московской системы дистанционного электронного голосования. Вывод был однозначным: параметры шифрования слабы настолько, что расшифровать голоса избирателей в режиме реального времени можно было за двадцать минут на стандартном ноутбуке с помощью общедоступного программного обеспечения Gaudry, Golovnev, 2019. Не взломал — математически решил задачу, которую разработчики системы, судя по всему, считали нерешаемой за разумное время. Ключ шифрования был построен на 256-битных параметрах ElGamal: при таком размере задача дискретного логарифма решается за минуты на обычном ноутбуке.

Годри опубликовал результат, уведомил разработчиков и указал на конкретное исправление: перейти на параметры не менее 2048 бит, или, лучше, на эллиптические кривые с эквивалентной стойкостью при меньшем размере ключа. Уязвимость закрыли за несколько часов. Но сам факт её существования говорит не об ошибке одного инженера — параметры, которые опытный криптограф определяет как слабые с первого взгляда, прошли через все стадии проектирования, разработки и предзапускового тестирования системы национального масштаба. Ни на одном этапе разработки и согласования не было звена, которое проверило бы это независимо от команды разработчиков. Оба изъяна нашли внешние исследователи — по собственной инициативе, до начала голосования.

Всё началось с простой задачи: нужно было безопасно передавать файлы на обычных USB-флешках. Существующие решения либо создавали контейнеры (VeraCrypt), что неудобно для быстрого доступа к отдельным файлам на разных ОС, либо работали слишком сложно для конечного пользователя.

Мне нужно было решение уровня «вставил флешку -> ввел пароль -> файлы зашифрованы». Но главное требование — безопасность данных даже при сбое питания. Если выдернуть флешку посередине шифрования, данные не должны превратиться в кашу.

Так появился crypto_engine. Это не попытка изобрести свою криптографию (мы используем стандартные AES-GCM и ChaCha20), а инженерная работа над тем, как безопасно управлять ключами в памяти, обрабатывать гигабайтные файлы без переполнения RAM и гарантировать целостность данных.

О метаданных файлов изображений мы уже говорили и не секрет, что их тоже можно редактировать, в том же Exif-pilot, например. Как распознать фейк, если метаданные на изображении корректные? Кэп очевидность утверждает, что только анализом контента. Логично.

— Возьмем какой-нибудь файл с зачищенными метаданными и проанализируем его на предмет манипуляций в Фотошопе или еще каком-нибудь редакторе. В том же Пейнте :-)

Закинем его на уже упоминавшийся https://29a.ch/photo-forensics и посмотрим, что он нам расскажет. Самый верхний пункт меню — Magnifier/ Увеличилка, чтобы можно было глазками прошерстить картиночку и пальчиком везде потыкать: вдруг кто‑то неаккуратненько подработал. Но такое можно не только тут.

Нас интересует другая опция в меню: Clone Detection — детектор клонов показывает применение инструмента типа «штамп» при обработке, он выделяет клонированные участки розовым светом. Как видно, тут этого добра преизрядно.

Небольшая инструкция по установке VPN (протокол VLESS), на роутер с операционной системой OpenWRT с использованием пакета Passwall

В этой статье я расскажу об одном свободном и бесплатном инструменте, позволяющем выкачать из популярного мессенджера Телеграм и сохранить на вашем компьютере данные из ваших любимых групп, каналов и диалогов.

Представленный здесь инструмент не единственный, но, возможно, один из самых простых и удобных. Это не бот: запросы к серверу будут выполняться от вашего имени, что гарантирует доступ к тем чатам, которые видите вы сами.

Разбираем Приказ ФСТЭК России № 117, который вступил в силу с 1 марта 2026 года и заменил действовавший более десяти лет Приказ № 17. В статье подробно рассматриваются новые требования к защите информации в государственных информационных системах, включая введение показателей Кзи и Пзи, переход к процессной модели управления безопасностью, ужесточение требований к кадровому составу и обязательность внедрения современных средств защиты.

Отдельное внимание уделено практическим аспектам применения: какие технические меры стали обязательными, какие сроки установлены для устранения уязвимостей, как изменилась архитектура защиты и почему у многих организаций возникают сложности с переходом. Рассматривается текущая ситуация на рынке, включая нехватку методических разъяснений и возможный пересмотр подходов к классификации систем.

Привет, Хабр!

Напомним вам об одной из самых интересных нишевых книг о Linux, изданных нами в последние годы — «Изучаем eBPF: программирование ядра Linux для улучшения безопасности, сетевых функций и наблюдаемости» от Лиз Райс. Под катом предлагаем перевод статьи Люки Кавальина (Luca Cavallin), в которой он даёт подробное введение в функции и возможности этого «фильтра пакетов». В сущности, eBPF — это де‑факто стандартный механизм для безопасного и оперативного введения пользовательского кода в ядро Linux. Статья рассказывает, как правильно обращаться с этим мощным инструментом, и какие возможности он открывает.

Телеграм уже довольно давно из нишевого игрока превратился в обязательный инструмент коммуникации. Он везде - рабочие и общедомовые чаты, личная переписка, взаимобействия бизнеса и клиентов. Картину дополняет его разноплановая инфраструктура - телеграм-боты, каналы по интересам, кошелек, биржа ценных бумаг и куча скама -ну куда же без него, правда?

Но по какой-то неведомой нам причине (тут должна быть реальная причина, но ее не будет, вы и так все знаете) - телеграм объявлен вне закона, и вообще дел с ним иметь не стоит…

Слабые пароли — головная боль и для пользователей, и для разработчиков. Первые считают, что «кто будет меня взламывать», вторые уверены: «я не банк, кому нужна моя база». А в это время ботнеты методично перебирают комбинации, словарные атаки становятся умнее, а нейросети уже научились генерировать пароли по шаблонам, которые мы считали сложными — но результаты пока не впечатляют.

В этой статье я разберу аутентификацию с самого начала: почему пароли до сих пор актуальны, как оценить их реальную стойкость (с честными расчётами), что происходит с паролем на сервере и какие ошибки допускают разработчики. В конце — чек-лист для обеих аудиторий.

Мошенники адаптировались к ограничениям работы мессенджеров. С февраля пользователям многочисленных мессенджеров, включая MAX, Telegram и WhatsApp (принадлежит экстремистской организации Meta, запрещённой на территории РФ) всё чаще приходят сообщения от ранее взломанных контактов. В посланиях эмоциональный текст, ссылки на каналы в Telegram или вредоносные сайты. Потенциальную жертву активно убеждают установить приложение на телефон, ведь только так она сможет увидеть фотографии и видео, опознать знакомых.

После установки приложения, которое на самом деле является вредоносным, телефон оказывается под контролем злоумышленников. Они получают доступ к приложениям для дальнейшего распространения ВПО и пытаются вывести все доступные средства со счетов жертвы.

По смыслу это та же схема «Мамонт», но с учётом новых реалий.

Разберём, что поменялось, по шагам и расскажем, почему это всё ещё работает. Приведём рекомендации, как усложнить жизнь злоумышленникам. Ну и в конце — инструкция, что делать, если рекомендации не сработали.

Информационная безопасность – это огромный стек связанных методологий, техник, технологий, программного и аппаратного обеспечения, приправленный половиной тонны нормативных актов и постановлений регулирующих органов, разобраться в котором с нуля, мягко говоря, достаточно сложно.

Мы – команда Инфобеза Inline Telecom Solutions и мы точно знаем, насколько это сложно, ведь мы разобрались. Теперь поможем тебе, поехали.

Российские копании находится сегодня в эпицентре кибервойны. Учащающиеся успешные целевые атаки приводят к параличу бизнес-процессов и катастрофически убыткам. Анализ развития атак показал, что основной фактор успеха современных кибератак — слабость парольной аутентификации, выраженной в простоте компрометации пароля с помощью различных вариаций фишинга, что усугубляется повторным использованием паролей от разных ресурсов (включая личные-корпоративные), совместным использованием учетных записей разными сотрудниками и подрядчиками и слабыми механизмами хранения секретов в инфраструктуре. 

Статистика выглядит однозначно: по данным Solar, до 37 % инцидентов связаны с компрометацией учетных записей; Kaspersky фиксирует, что 29 % первичных проникновений начинаются именно с похищенных учетных данных, а BI.ZONE указывает, что 35 % критичных инцидентов связаны с привилегированными аккаунтами. Международная картина еще показательнее: Microsoft заявляет, что 61 % атак включает использование привилегированных учетных записей, Google отмечает, что около 50 % успешных атак стартуют с компрометации учетных данных. ФСТЭК прямо указывает на слабые пароли и однофакторную аутентификацию как ключевые причины успешных атак. 

В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama.

Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто подключается, какие промпты шлёт, какие модели запрашивает. Данные собраны с трёх ханипотов (DE, US, RU) за март 2026.

Чтобы автоматизированно проверять и централизованно обрабатывать огромное количество событий о происходящем в инфраструктуре, используется SIEM –– класс решений информационной безопасности, призванный анализировать события ИБ, собираемые c устройств инфраструктуры, выявлять подозрения на инциденты.

Но для правильного использования этой системы, а тем более для максимально эффективной ее эксплуатации, необходимо провести ряд организационных мероприятий, направленных на выстраивание правильной работы как специалистов, непосредственно взаимодействующих с SIEM (аналитиков ИБ, технических специалистов и администраторов), так и смежных подразделений организации, отвечающих за блок ИТ.

После установки система не становится эффективной сама по себе, и помимо наличия персонала, в чьем ведении она находится, также важны и процессы, которые структурируют и делают более прозрачной и прогнозируемой деятельность по выявлению инцидентов ИБ.

В статье я расскажу, какие процессы следует наладить для работы с SIEM, почему это важно, и какие последствия могут быть и, скорее всего, будут, если этого не сделать.