Безопасность AI-агентов в Web3. Часть 1: архитектура, уязвимости и старые добрые джейлбрейки
В последние годы мы наблюдаем активный рост популярности LLM-моделей и интереса к их интеграции в Web3-приложения, такие как DAO и dApp-боты или автоматические трейдеры. Представьте: смарт-контракт управляет финансами, а подключённая языковая модель принимает решения, основываясь на анализе...
В Windows обнаружили 8-летнюю дыру в безопасности, которую Microsoft не хочет исправлять
Игнорирование уязвимостей в операционных системах или других программных продуктах – ситуация в принципе невообразимая. Напротив, разработчики всегда стремятся найти источник бреши и как можно скорее его устранить, даже если речь идет о какой-то незначительной утилите. Ведь именно от этого зависит,...
[Перевод] Проактивный подход – рецепт по управлению киберрисками
Как компаниям противостоять растущим киберугрозам Бизнес все больше зависит от цифровых технологий, а вместе с этим растет и поток киберугроз. Хотя методы атак эволюционируют, их суть остается прежней, меняясь лишь в деталях. Для команд безопасности (Supplier Relationship Management, SRM) задача не...
CyBOK. Глава 2. Риск-менеджмент и управление ИБ. Часть 1
Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 2 данного свода знаний объясняются принципы оценки и управления киберрисками, описывается ряд методик оценки рисков и показывается, как и почему эффективное управление...
Защита информационных систем и данных в облаке: кто за нее в ответе
Cloud IDE, Cloud Desktop, Cloud CDN и DNS, контейнеры Kubernetes, BaaS и DBaaS — у вашего безопасника уже задергался глаз? И не только у него. Многие компании все еще не доверяют облакам. Их пугает чужая платформа, которая на первый взгляд выглядит как черный ящик. Нельзя же просто взять и...
Как утечка данных через старый роутер стоила компании 20% клиентов?
[CIS Controls: 1 - Inventory and Control of Hardware Assets] Описание инцидента: Злоумышленник взломал старый роутер с известными уязвимостями, перехватив трафик и украл данные. План реагирования: 1. Обнаружение: Заметить подозрительный трафик или медленный интернет. 2. Изоляция: Отключить роутер...
Как взламывают базы данных: разбор кейсов и типичных ошибок компаний
Базы данных (БД) – это настоящие клады, где хранятся персональные данные, финансовые отчеты, коммерческие тайны и иная чувствительная информация. Поэтому неудивительно, что компании любых размеров – от стартапов до гигантов вроде Sony и Tesla – регулярно становятся жертвами атак, направленных...
[Перевод] Первоапрельская шутка, из-за которой меня едва не уволили
Каждый хотя бы раз в жизни должен устроить одну великолепную шутку. В этой статье я расскажу о своей (кажется, срок исковой давности уже прошёл). История правдива, вырезаны только имена, чтобы защитить виновного. На своей первой работе после колледжа я был программистом баз данных, несмотря на то,...
[Перевод] Пять вещей, которые не стоит рассказывать ChatGPT
Не позволяйте вашем мыслям стать учебным материалом для ИИ — или всплыть в случае утечки данных. Неважно, какого чат-бота вы выберете: чем больше вы делитесь, тем полезнее он становится. Пациенты загружают результаты анализов для расшифровки, разработчики отправляют фрагменты кода для отладки....
WebSocket: просто о сложном. Часть 2 — практическое применение и тонкости
С вами снова Юля, системный аналитик из EvApps и мы продолжаем разбираться в технологии WebSocket. В первой части (WebSocket для начинающих системных аналитиков: просто о сложном. Часть 1), мы познакомились с основами WebSocket, а теперь давайте заглянем под капот реального сайта, например,...
Как украденные пароли дизайнера чуть не угробили стартап [MITRE: T1078 — Valid Accounts]
Описание инцидента: Злоумышленник использует украденные учетные данные (например, от сотрудника или подрядчика) для входа в сервер, сайт или облако компании. План реагирования: 1. Обнаружение: Заметить подозрительную активность в логах (например, вход ночью). 2. Блокировка: Отключить учетную...
[Перевод] Мы взломали Google Gemini и скачали его исходный код (частично)
В 2024 году мы выпустили пост We Hacked Google A.I. for $50,000, в котором говорилось, как наша группа в составе Рони «Lupin» Карта (это я), Джозефа «rez0» Тэкера и Джастина «Rhynorater» Гарднера поехала в 2023 году в Лас-Вегас, чтобы искать уязвимости Gemini на проводимом Google мероприятии LLM...
[Перевод] $$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS
Раньше я не имел привычки писать о своих находках, но теперь решил время от времени делиться наиболее интересными. Это мой первый разбор одной из моих последних находок, поэтому любые предложения или вопросы более чем приветствуются! В этом разборе я покажу вам, как ошибка в конфигурации CORS...
Топ‑5 VPN-сервисов для пользователей из России в 2025 году
В условиях ужесточения блокировок в Рунете и роста потребности в приватности, выбор надёжного VPN стал как никогда актуален. При этом хочется подобрать сервис практичный, без навязчивой рекламы и маркетингового шума. В этой статье мы поделимся независимым обзором пяти лучших VPN-сервисов для РФ на...
«Рынок зарплат специалистов в сфере кибербезопасности перегрет» (с) Ъ
"Рынок зарплат специалистов в сфере кибербезопасности перегрет. Зарплаты специалистов могут доходить до 230к рублей!" (с) Именно такая статья вышла в честь первого апреля в Коммерсантъ. (Чтоб не гнать лишний траффик этим шутникам можете ознакомиться с текстом, например, тут) Но, я решил...
ОБМАНУ ТЕБЯ: чем психологи могут помочь красным командам?
В данной статье предложим новый взгляд на работу Red Team для создания самых изощрённых симуляций атак, в которых код заменяется эмоциями, а уязвимости скрываются не в ПО, а в человеческой психике. Читать далее...
Подготовка к ССК (2). Менеджмент информационной безопасности. Оценка рисков информационной безопасности
В этой статье мы рассмотрим оценку рисков информационной безопасности, которая является ядром системы менеджмента информационной безопасности. Понимание процесса оценки рисков необходимо Сертифицированному Специалисту по Кибербезопасности для грамотного выстраивания СМИБ. Читать далее...
Codeby.Games. CTF TASK «ТЕТРИС»/«TETRIS»
Приветствую всех любителей CTF и этичного хакинга на стороне Red Team! В этой статье мы рассмотрим прохождение легкого таска "ТЕТРИС", разработанного пентестерами из команды Codeby.Games. Справка: codeby.games - отечественный условно бесплатный веб-проект, где каждый может попрактиковаться в...