Топ новостей инфобеза за май 2025 года
Всем привет! Подводим итоги ушедшего месяца дайджестом самых интересных ИБ-новостей. В мае прогремела история со взломом мессенджера, стоявшего на устройствах топовых чиновников США. Взломали также и инфраструктуру LockBit, добавив минусов в репутацию группировки. Кроме того, в мае масштабная...
Check Point Software и ее интеллектуальная собственность
Check Point — это крупная IT-компания из Израиля, которая занимается кибербезопасностью. Почти все корпорации из рейтинга Forbes 500 пользуются их решениями, а процент обнаружения угроз у ряда продуктов достигает 100%. Check Point имеет центры разработки и офисы в Израиле, США и Швеции, а ее штат...
Взломают или нет? Оцениваем риски вашей информационной системы и моделируем угрозы
Привет, Хабр! Меня зовут Алексей Костянов, я архитектор по информационной безопасности в Selectel. В этой статье я расскажу, как составить список потенциально уязвимых мест вашей информационной системы, и что делать с этим списком. Важно уточнить, что эта статья предназначена по большей части для...
Trust & Safety AI Meetup — как это было?
Привет! 22 мая прошел Trust & Safety AI Meetup — обсудили применение AI в борьбе за безопасность и доверие пользователей. К ивенту присоединились спикеры из Wildberries & Russ, Avito, AI Masters, а в зале встретились 60+ гостей и онлайн‑трансляция собрала 250+ просмотров. Смотри фото, чтобы...
Paranoia Mode: подборка инструментов для приватной и безопасной работы в Linux
Технологии позволяют следить за каждым — где вы бываете, что ищете, на что кликаете. А любая утечка личных данных может обернуться серьезными последствиями: от взлома аккаунтов до компрометации корпоративной инфраструктуры. Особенно если вы работаете с чувствительной информацией или просто не...
[Перевод] Полный захват аккаунта стоимостью $1000 — Думайте нестандартно
Сегодня я расскажу о баге, который позволял мне захватить любой аккаунт пользователя. Сначала это была проблема уровня P4, но я не стал сообщать о ней, а довёл до уровня P1 с помощью цепочки уязвимостей. Без лишних слов — начнём! Я не имею права раскрывать информацию о цели, поэтому давайте назовём...
Открытая платформа ИБ: как превратить инструментальный зоопарк в единую экосистему
С того момента как я начал изучать концепции, тактики и модели построения информационной безопасности, то стал всё чаще и чаще цепляться за несоответствие концепций и продуктов. Многие компании-разработчики отечественных продуктов начинают смешивать понятие продукта (по сути, инструмента для...
Новости кибербезопасности за неделю с 26 мая по 1 июня 2025
Всё самое интересное из мира кибербезопасности /** с моими комментариями. На этой неделе новости про: раскрытие секретной сети ЦРУ; как с помощью ИИ нашли 0-day в ядре linux; ценовое исследование darkweb; про тюремные сроки для дропперов и другие только самые важные и интересные новости этой...
SmartCaptcha Yandex на iOS: инструкция по внедрению
Привет! Меня зовут Александр, я iOS-разработчик в IT-компании SimbirSoft. В этой статье я расскажу, как интегрировать Yandex SmartCaptcha в iOS-приложение — от подготовки до решения возможных трудностей. Настройка Yandex SmartCaptcha на первый взгляд может показаться простой задачей, но на практике...
РПшники тоже ошибаются
Руководитель проекта — это по факту главный человек на проекте. Да, в любой проектной команде есть архитекторы, тимлиды, инженеры, менеджеры по продажам, но по факту все они несут свои проблемы и идеи к проектному менеджеру и с ним решают, что делать дальше. Именно в руках РП находятся все нити...
Безопасная сборка Docker-образов в CI: пошаговая инструкция
Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность. Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет...
Информационная безопасность для цифровых кочевников
Привет! Меня зовут Аня, я менеджер продукта в департаменте информационной безопасности Ozon Tech. Сейчас я занимаюсь проектом по внедрению дополнительных механизмов проверки прав пользователей при доступе к корпоративным ресурсам. Этот опыт помог мне иначе взглянуть на угрозы, с которыми...
Аудит информационной безопасности: комплексная модель оценки зрелости процессов
Вопрос зрелости практик информационной безопасности волнует практически каждую российскую компанию: кибератаки становятся изощреннее, требования регуляторов ужесточаются, а импортозамещение требует быстро перестраивать ИТ-процессы. Как понять, насколько ваша система действительно надежна, где...
Вкратце об анонимных сетях и задачах анонимизации | Proxy, Onion, Dining Cryptographers, Queue Based, Entropy Increase
Каждую анонимную сеть можно классифицировать различным образом - можно смотреть на сетевую архитектуру: децентрализованная она или гибридная, можно смотреть на открытость или закрытость исходного кода, можно смотреть на то, каким образом пакеты маршрутизируются в системе, можно сравнивать модели...
Взлом уязвимой операционной системы Vulnix. Уязвимая служба/протокол smtp
Всех приветствую, читатели Хабра! В сегодняшней статье я поделюсь примером взлома уязвимой ОС Vulnix и энумерацией порта/сокета/службы smtp. После чего опять же пример брутфорса паролей Примечание Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих...
Четыре взлома ИТ-инфраструктуры, один из которых выдуман. Какой?
Публикуем примеры взлома информационной инфраструктуры четырех объектов. Под раздачу попали: банк, два дата‑центра и умный дом. Как видно из заголовка, только три варианта произошли в реальности, а один мы выдумали сами. Ответы — в конце статьи. Полагаем, что учиться на чужих ошибках всегда...
[Перевод] Обход двухфакторной аутентификации в публичной баг-баунти программе: путь к $6000
Находить уязвимости в публичных программах — это одновременно захватывающе и прибыльно. В этом посте я расскажу, как обнаружил и использовал уязвимость обхода 2FA в одной публичной баг-баунти программе (название скрыто, используется redacted.com из соображений конфиденциальности), что принесло мне...
Информационной безопасности в малом и среднем бизнесе не существует
Я давно в ИТ, помню хриплые стоны модема и то, почему кота зовут Зухелем. Всё это время мне казалось, что сейчас ещё чуть-чуть — и у нас будет нормальная ИБ. Все эти годы. Но на самом деле ИБ в малом и среднем бизнесе нет. И не будет. То, что мы иногда видим под вывеской ИБ, — это либо иллюзия,...