Роботы создают эмбрионы. ИИ научился читать ДНК. Клетки мозга пилотируют дроны. Кажется, мы пересекли какую-то черту, но об этом никто особо не объявлял Это свежие заметки о жизни на пороге сингулярности.

Этот выпуск тематический. Его центральная тема — биотехнологии будущего и их влияние на общество. Один номер, одна рамка и две стороны медали: корпоративная и анархистская, плюс множество ссылок про то, как люди ломают и чинят биологию. Читайте по порядку или сразу листайте до дайджеста — выбор за вами.

В 2024 году мы рассказывали, как развернули масштабный центр мониторинга безопасности. Тогда даже позволили себе тезис о том, что способны подключить любой актив к мониторингу за одни сутки. Это правда, но опытный инженер, прошедший через реалии корпоративной среды, скажет вам, что запустить систему в продакшен — это всего лишь начало. А вот эксплуатировать ее на живой, постоянно изменяющейся инфраструктуре, где каждый день меняются сетевые доступы и появляются новые сервисы, — долгосрочная задача повышенной сложности.

Что происходит, когда центр мониторинга безопасности федерального холдинга превышает отметку в 100 000 событий в секунду? Когда стандартные решения начинают буксовать, а инфраструктура разрастается до 100 сервисов? В 2025 году наша команда столкнулась именно с такими вызовами.

В этой статье расскажем, как мы решали архитектурные «головоломки» высоконагруженного SIEM, боролись с экзотическими форматами логов медийных систем, создавали кастомные коннекторы и как Purple Team-учения помогли обнаружить настоящих злодеев.

В ваших руках тяжелый футляр из полированного красного дерева. Поднимаются металлические защелки, раздается глухой щелчок, и воздух наполняется запахом старого лака и машинного масла.

На выцветшем синем бархате лежит сложный латунный инструмент, густо покрытый шкалами, окружностями и ажурной вязью. Это астролябия фламандского мастера Гуалтеруса Арсениуса — по сути навигатор, часы и калькулятор звездного неба в одном корпусе. Но больше всего поражают крошечные скульптуры, поддерживающие подвес с компасом. И тут возникает почти неизбежный вопрос: зачем этому строгому математическому прибору нужна скульптура?

Поиск ответа уводит далеко за пределы одной астролябии. Еще недавно наука не стеснялась быть зрелищной, осязаемой и даже красивой: сложные идеи воплощали в стекле, воске, гипсе и металле, но потом что-то изменилось.

Стоило Илону Маску пообещать нам создание умных помощников вроде C-3PO, как исследователи безопасности тут же решили проверить, не получится ли вместо этого настоящий Терминатор. Мы разобрали нашумевшее исследование команды Dark Navy и рассказываем, как популярного робота-гуманоида Unitree G1 за $16 000 превратили в хакерскую марионетку. 

В статье мы детально разберем цепочку уязвимостей: от перехвата нестандартного радиопротокола через SDR до инъекций кода в LLM-мозги робота и получения root-доступа. Вы узнаете, как исследователям удалось обойти защиту обфусцированного кода, выполнить полноценный джейлбрейк бюджетной версии робота и почему функция eval() в коде андроида страшнее любого восстания машин.

Прямо сейчас, прежде чем вы проскроллите дальше, сделайте паузу и представьте себе велосипед. Самый обычный, двухколёсный, который вы видели сотни раз в жизни. Возможно, даже катались на нём прошлым летом.

А теперь мысленный эксперимент. Попробуйте в голове ( а еще лучше на листке бумаги) набросать его механическую схему. Как рама соединяет переднее и заднее колёса? Как протянута цепь и где находятся педали?

Если ваш велосипед выглядит как сюрреалистическая конструкция, которая никогда не сдвинется с места, — добро пожаловать в клуб. Вы только что столкнулись с феноменом, который в когнитивной психологии называют «иллюзией глубины объяснения». Проблема здесь не в том, что мы плохо рисуем. Проблема в том, что мы уверены, будто знаем, как работают вещи, хотя на самом деле наше понимание заканчивается на уровне пользовательского интерфейса.

Мы ищем иной разум в космосе, а он уже здесь — в океане и в наших серверах. Почему корпорации похожи на осьминогов, зачем учить моллюска игре на пианино и почему Новый год — это просто ошибка

Сперва хотел просто поделиться обзором Адама Севиджа на прикольные самодельные часы в стиле NASA, но что-то вышло из под контроля, и получился лонгрид про историю борьбы с колоссальным давлением при глубоководных погружениях через призму одной технологии.

Вы думаете, что кнопка «Удалить» действительно стирает данные? Физика с вами не согласна. Уверены, что аккумуляторы достигли предела, но химия готова поспорить. Сегодняшний дайджест — о том, что скрыто в корпусе привычных вещей.

Я собрал для вас историю одной тихой революции, которая подарит гаджетам два дня жизни без розетки, и одного громкого расследования, которое заставит взяться за дрель. Плюс — документальное кино, герои которого в прямом смысле получили Нобелевку. Добро пожаловать в сингулярность.

Поздний сентябрьский вечер 2023 года. Вы лениво листаете eBay. Среди обычного барахла попадается странное железо — тяжелые промышленные модули. На платах красуются логотипы Siemens и AREVA. Описание скудное, но профессиональное, цена удивительно доступная.

Перед вами компоненты системы Teleperm XS — цифровой платформы управления ядерными реакторами. Прямо сейчас такое оборудование управляет безопасностью АЭС по всему миру.

Независимый security-исследователь Рубен Сантамарта двадцать лет взламывает всё подряд — от спутниковых терминалов до систем голосования. Увидев эти лоты, он не смог пройти мимо. Купил компоненты и задался вопросом: что будет, если злоумышленник доберется до «мозгов» реактора?

Сегодня мы пройдем его путь и смоделируем реалистичную кибератаку. Сценарий «Кибер Три-Майл-Айленд», который, по расчетам Сантамарты, за 49 минут приводит к расплавлению активной зоны реактора.

Путешествие в сердце ядерного реактора начинается.

Наркоторговец из Южной Австралии Доменико Катанзарати был уверен, что провернул сделку века. Он использовал Anom — свой анонимный защищенный смартфон — для координации поставки кокаина, спрятанного внутри промышленного сварочного аппарата.

Катанзарати был спокоен. Anom считался «Роллс-Ройсом» в мире шифрованной связи, его рекомендовали влиятельные люди из криминального мира. Устройство работало на кастомной операционке, а сообщения шифровались так надежно, что, казалось, никакие спецслужбы не вскроют переписку. «Окей, давай заработаем миллионы», — беспечно писал Катанзарати своему подельнику в защищенном чате.

Когда пришло время забирать «сварочник» из порта, получателей ждал сюрприз: груза не было. Через несколько дней Доменико сообщили: «Ваш груз изъят пограничной службой Австралии». Подельники Катанзарати написали в тот же безопасный чат: «Pigs grabbed him» («Менты его взяли»).

Оказалось, каждое сообщение наркоторговца и его подельников читал специальный агент ФБР Маршалл Мьюз в своем кабинете в Сан-Диего. «Безопасный» Anom был тщательно продуманной ловушкой, которую втайне создало и финансировало Федеральное бюро расследований.

Под катом — подробный разбор операции «Троянский щит», одной из самых изощренных цифровых ловушек в истории, основанный на докладах с DEF CON, внутренних документах и свидетельствах участников по обе стороны закона.

ChatGPT генерирует эксплойты, автосканеры находят уязвимости за минуты, а фреймворки сами пишут отчеты. Неужели профессия пентестера обречена? Спойлер: нет, не обречена. Но кардинально меняется.

Современные инструменты творят чудеса. AMASS за полчаса соберет карту субдоменов компании, Nuclei проверит тысячи уязвимостей по готовым шаблонам, а Metasploit поможет получить доступ к системе парой команд. Скорость впечатляет, но есть нюанс. Автоматизация отлично справляется с рутиной и шаблонными задачами, а вот креативное мышление пока остается прерогативой человека. Найти цепочку нестандартных действий, которая приводит к компрометации системы, или понять, что безобидная на вид уязвимость может обанкротить компанию — такое машинам не под силу.

В этой статье Сергей Зыбнев — наш эксперт, который прошел путь от сисадмина до администратора средств защиты и, наконец, пентестера расскажет, где автоматизация незаменима, а где без человеческого мозга не обойтись. Пройдем по всем этапам пентеста от разведки до написания отчета, и посмотрим, как грамотно сочетать силу машин с интуицией специалиста.

Что нужно, чтобы скомпрометировать данные 27 миллионов абонентов, обрушить акции телеком-гиганта и поставить под угрозу национальную безопасность одной из самых технологически развитых стран мира? Свежий zero-day? Квантовый компьютер? Гениальная социальная инженерия?

Всего лишь веб-шелл, почти три года преступной халатности и один хитрый бэкдор.

Неизвестные злоумышленники с июня 2022 года хозяйничали в критической инфраструктуре крупнейшего корейского сотового оператора. Под катом мы разберем эту громкую историю.

Сегодня поговорим о том, что многие делают, но мало кто делает правильно — о безопасной разработке и DevSecOps. Для этого мы пригласили Романа Гаголушко, руководителя отдела консалтинга безопасной разработки в Бастионе. Передаем ему слово.

Небольшой дисклеймер.

За годы работы в сфере безопасности разработки я насмотрелся:

— на вопиющие случаи игнорирования базовых принципов безопасности (и не только при разработке);

— на неэффективные попытки внедрения Dev «Sec» Ops;

— на откровенную и безрезультатную имитацию бурной деятельности;

— на такую же безрезультатную трату бюджета при закупке неподходящих инструментов анализа кода;

— на безразличие;

— на нежелание видеть очевидные вещи;

— на непонимание ИБ и БР со стороны разработки.

В этой статье я расскажу о типичных ошибках компаний, которые совершают все (от маленьких и не очень стартапов до больших и не очень корпораций), поделюсь практическими советами по организации процессов безопасной разработки. Напоследок расскажу, как обстоят дела с регулированием, и немного поговорю о трендах.

В марте маленькая платка внезапно оказалась в центре глобального технологического скандала. Заголовки пестрили страшилками про «бэкдор» в «миллиардах устройств», и по новостям казалось, что хакеры вот-вот захватят все умные лампочки, термостаты и прочий IoT.

А потом... все как-то поутихло. Что же на самом деле нашли испанские исследователи в популярном микроконтроллере? Почему новость о «бэкдоре» разлетелась со скоростью лесного пожара? И главное — насколько реальна была угроза?

Давайте разберемся в этой запутанной истории, где переплелись технические исследования, PR-ходы, погоня за кликами и, конечно же, всеми любимые низкоуровневые протоколы. Поехали!

Искусственный интеллект в информационной безопасности — такая обширная тема, что можно легко заблудиться в дебрях спекулятивных прогнозов. Понятие ИИ охватывает все — от рекомендательных алгоритмов, подсовывающих видео с котиками, до роботов, которые хотят убить всех человеков. Чтобы не написать вместо статьи сценарий низкобюджетного sci-fi, стоит сузить фокус.

Представим, что мир ИИ застыл. Никаких революций, никаких сверхразумных AGI на горизонте. Сосредоточимся на анализе больших языковых моделей (LLM) и их влиянии на информационную безопасность. Конечно, выпуск новой мощной модели может разнести вдребезги все эти выкладки, но примем этот риск. Ведь с чего-то надо начинать.

В этой статье я рассмотрю, какие новые возможности открываются перед атакующими и защитниками, и что за вызовы стоят перед отраслью. Под катом вас ждет увлекательное путешествие на ИБ-фронтир.

Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ.

Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее подключить команду реагирования. Однако бизнес и штатные сотрудники службы безопасности могут самостоятельно снизить риск атак программ-вымогателей, дополнительно защитить критичные файлы и облегчить расследование, если избежать инцидента все же не удалось. Как именно? Рассказывает Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона.

Персональные данные стали ценным ресурсом, за которым, кажется, охотятся все. От безобидного «‎анонимного» опроса‎ до навязчивых рекламных звонков — путь личных сведений может быть непредсказуемым.

Давайте разберемся в тонкостях обработки персональных данных, научимся читать между строк пользовательских соглашений и узнаем, как противостоять большому брату в лице жадных до информации компаний. Приготовьтесь к погружению в лабиринты закона «О персональных данных» и хитросплетения документов, которые так часто подписывают не глядя. Вашим проводником выступит Анастасия Буренкова — специалист по защите персональных данных Бастион.

«Дельфин-тамагочи» от Flipper Devices Inc. не нуждается в представлении, но хайп вокруг этого хакерского мультитула уже поутих. Теперь пользователи разделились на два лагеря: одни считают Flipper Zero крутым инструментом, другие не понимают, зачем его купили.

Один из наших пентестеров и социальных инженеров согласился поделиться впечатлениями от использования этого устройства. Он честно рассказал, полезен ли Flipper для проведения тестов на проникновение, какие задачи позволяет выполнять на объектах клиентов и стоит ли устройство своих денег. Рассмотрим плюсы и минусы девайса, с которыми приходится сталкиваться в «полевых» условиях. 

Автопром сделал первый шаг в цифровую эпоху еще в 1967 году, когда в Германии выпустили Volkswagen Typ 3 с электронной системой впрыска D-Jetronic от Bosch. Сегодня же компьютерные системы управляют почти всеми функциями большинства авто — от режимов работы двигателя до стеклоочистителей.

Как всегда, технический прогресс имеет свою оборотную сторону: чем больше роль ПО в работе техники, тем серьезнее угрозы информационной безопасности. Риски стали выше с появлением так называемых подключенных автомобилей — connected cars. Дошло до того, что хакеры могут дистанционно перехватить контроль над машиной в реальности: теперь это не просто фантазии сценаристов «Форсажа».

В статье рассмотрим основные виды автомобильных кибератак и связанные с ними риски. Также поговорим о том, как в мире и в России пытаются бороться с такими угрозами и какие это приносит результаты.

Наблюдение за тем, какие изменения происходят на планете в масштабах стран и континентов — настоящий источник вдохновения для OSINT-аналитиков. Специалисты Бастион поделились актуальным списком интерактивных дашбордов, которые они держат в закладках, плюс я добавил парочку от себя.

Даже если вы никак не связаны с ИБ, зато часами залипали в контурные карты глобальных стратегий или восхищались глобусом в центре управления X-COM, эта подборка инструментов наверняка вам понравится.