Обновить
1024K+

Информационная безопасность *

Защита данных

1 620,71
Рейтинг
Сначала показывать
Порог рейтинга

Представлен лёгкий браузер для парсинга данных и ИИ‑агентов — открытый Obscura на Rust работает в разы быстрее подобных проектов и занимает меньше ресурсов, чем Сhrome или Firefox:

  • без графического интерфейса — максимальная автоматизация;

  • Stealth Mode, который скрывает признаки ИИ‑агентов. Так сайты не будут распознавать устройство как бота;

  • использует лишь 30 МБ оперативной памяти;

  • сам браузер весит около 70 МБ;

  • грузит страницы за 85 мс;

  • после запуска браузер готов к работе практически сразу без дополнительных настроек.

Теги:
+9
Комментарии2

DDoS-атака не всегда очевидна. Резкий рост нагрузки может оказаться как настоящей атакой, так и вполне легитимным всплеском трафика после рекламной кампании или важного инфоповода. В совместном материале с ITSumma разбираем, как быстро отличить одно от другого, на какие метрики смотреть в первую очередь и какие действия предпринимать в первые минуты после обнаружения проблемы.

Если вы отвечаете за стабильную работу сайта, интернет-магазина или корпоративного сервиса, эта статья поможет лучше понять логику реагирования на DDoS-инциденты и выбрать подходящую стратегию защиты. 

Отдельное внимание уделяем двум основным моделям защиты — Always-On и On-Demand. Рассматриваем, чем они отличаются, в каких случаях каждая из них эффективнее, а также какие компромиссы приходится учитывать при выборе между постоянной фильтрацией трафика и подключением защиты только во время атаки.

Теги:
+4
Комментарии0

Неделю назад КиберËж проводил CyberWeekend (где там правда викенд они нашли в начале недели, я не знаю 😂) и, в том числе, пригласили меня побеседовать про Программно-аппаратный хакинг как одно из самых сложных и интересных направлений в кибербезопасности, объединяющее знания из программирования, электроники, сетей, встроенных систем и реверс-инжиниринга.

В рамках диалога мы с Павлом осветили такие темы, как:
* Почему специалистов в этой области так мало и чем они занимаются на практике.
* Почему искусственный интеллект пока не способен заменить экспертов по аппаратному хакингу: работа с реальными устройствами требует опыта, интуиции и нестандартного мышления.
* Как после 2022 года изменились основные направления атак и почему всё больше внимания уделяется IoT-устройствам и объектам физической инфраструктуры.
* Какие навыки стоит развивать уже сегодня тем, кто интересуется IT, электроникой и информационной безопасностью.

Могу с уверенностью сказать, что доклад будет полезен начинающим специалистам, студентам технических направлений и всем, кто хочет понять, как устроена одна из самых редких и востребованных профессий в сфере кибербезопасности.

Ну и конечно же, интервью можно легко посмотреть в 📺 ВКвидео.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Теги:
-1
Комментарии0

Открытый проект CAPTCHA Solver — CloakBrowser + 2Captcha/CapSolver имитирует поведение человека и проходит почти все проверки на ботов. Инструмент умеет:

  • решать на раз‑два более 30 видов капчи, имитирует поведение человека, чтобы обойти любые ограничения.

  • ставится локально, в сервисе не надо регистрироваться и устанавливать дополнительное ПО..

Теги:
+6
Комментарии0

РБПО по ГОСТ Р 56939—2024: вебинар №29 из 30 — Системы с конструктивной информационной безопасностью (ГОСТ Р 72118—2025)

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "Системы с конструктивной информационной безопасностью". На YouTube. Слайды.

С помощью приглашённого эксперта Екатерины Рудиной, аналитиком департамента перспективных технологий "Лаборатории Касперского", мы разобрались, в чём сходство и различие таких систем с безопасным ПО, как соотносятся создание систем с КИБ и разработка безопасного ПО, чем полезен в работе специалистов по ИБ новый ГОСТ Р 72118—2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки".

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

НЕкурс про РБПО

Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.

Теги:
+4
Комментарии0

Сквозное шифрование, или как Telegram и Concord защищают переписку.

Хочу написать небольшой пост о сквозном шифровании, или, если использовать технический термин, E2EE (End-to-End Encryption).

Сегодня эта технология широко применяется во многих мессенджерах. Я тоже реализовал E2EE в мессенджере Concord. Однако далеко не все понимают, как именно работает этот механизм, поэтому попробую объяснить простыми словами.

Поскольку я являюсь разработчиком и основателем собственного мессенджера, реализовать эту схему для меня не составило особого труда. Главный секрет заключается в понимании принципов работы криптографических алгоритмов, таких как AES и RSA. Хотя современные реализации E2EE обычно используют не RSA, а алгоритмы на эллиптических кривых (например, X25519), я не стал прибегать к усложнениям.

Алгоритм AES я использовал для непосредственного шифрования текстового сообщения, которое один пользователь отправляет другому. Для шифрования применяется секретный ключ (или пароль). Основная проблема такого подхода заключается в том, что этот ключ необходимо каким-то образом передать получателю. Если злоумышленник перехватит ключ, он сможет расшифровать сообщение.

Чтобы этого не произошло, я использовал ещё один алгоритм - RSA. Для его работы требуется пара криптографических ключей: публичный и приватный. Так как RSA не предназначен для шифрования больших объёмов данных, я его использовал для безопасной передачи того самого секретного ключа, который используется алгоритмом AES.

В результате схема выглядит так.

Сначала текст сообщения шифруется алгоритмом AES с использованием случайного секретного ключа. Затем этот ключ шифруется алгоритмом RSA с использованием публичного ключа получателя. Когда получатель отправляет ответ, он выполняет ту же самую операцию, но уже с публичным ключом аппонента.

Важно понимать, что публичный ключ предназначен только для шифрования. Расшифровать данные с его помощью невозможно. Для расшифровки существует только соответствующий ему приватный ключ.

Когда получатель открывает сообщение, его устройство сначала с помощью приватного ключа RSA расшифровывает секретный ключ AES, а затем уже этим ключом расшифровывает само сообщение.

В моём приложении это работает следующим образом. Публичные ключи пользователей хранятся на сервере. Когда пользователь отправляет сообщение, приложение запрашивает у сервера публичный ключ получателя, шифрует сообщение на устройстве пользователя и отправляет на сервер уже зашифрованные данные. Сервер выступает лишь в роли посредника и пересылает этот зашифрованный пакет получателю. Сам сервер приватные ключи не хранит.

При этом приватные ключи никогда не покидают устройство пользователя. Они хранятся в защищённом хранилище смартфона, и получить к ним доступ не может ни сервер, ни разработчик приложения, ни кто-либо ещё. Поэтому расшифровать переписку может только владелец соответствующего приватного ключа.

В этом и заключается смысл сквозного шифрования: сервер передаёт сообщения, но не имеет возможности их прочитать.

Именно поэтому было довольно забавно наблюдать, как спецслужбы требовали у Павла Дурова "ключи шифрования", чтобы получить доступ к переписке пользователей Telegram. Никаких универсальных ключей у него нет и быть не может - приватные ключи находятся только на устройствах самих пользователей.

Именно поэтому требование "передать ключи" технически лишено смысла. Передавать попросту нечего.

П.С.

Я - сетевой долгожитель и начинал свой путь еще в эпоху Фидонета (FidoNet). Эта сеть была по-настоящему децентрализованной: никаких общих серверов и никакого DNS. Все строилось просто: компьютер, модем и терминальная программа для связи. Часто в роли узла (ноды) выступал сервер в банке, где знакомый сисадмин выделял адреса. При этом подключиться можно было к любому другому участнику, даже к частному лицу. Вот это и была настоящая децентрализация! Думаю, учитывая растущее давление регуляторов на современный интернет, мы скоро снова вернемся к проверенным идеям старого доброго Фидо.

Теги:
+7
Комментарии0

Нарезка кода: что скрывает OrcaSlicer

Как не пропустить опасные участки кода при ревью? Можно воспользоваться инструментами статического анализа. Возьмём для примера OrcaSlicer — популярную программу, которая подготавливает 3D-модель к печати. Заглянем внутрь и посмотрим, какие сюрпризы нас ждут.

Посмотрим на одно из предупреждений статического анализатора PVS-Studio:

V1047 Lifetime of the lambda is greater than lifetime of the local variable ‘do_stop’ captured by reference. FillBedJob.cpp 250

void FillBedJob::process(Ctl &ctl)
{
  // ....
  bool do_stop = false;
  // ....
  params.on_packed = 
    [&do_stop] (const ArrangePolygon &ap)
    {
      do_stop = ap.bed_idx > 0 && ap.priority == 0;
    };
  // ....
}

Лямбда-выражение захватывает локальную переменную do_stop по ссылке, а затем сохраняется в params.on_packed. При этом do_stop уничтожается при выходе из метода process, так как заканчивается время жизни локального объекта. Если лямбда будет вызвана после выхода из этой функции-члена, произойдёт обращение к разрушенному объекту, и поведение в этой ситуации не определено.

Можно было бы сделать захват по значению, но в этой лямбде происходит перезапись переменной do_stop, а значит такой вариант не подходит. Поэтому можно сделать do_stop членом класса FillBedJob.

Это лишь один фрагмент, показывающий, что даже в работающем продукте могут быть ошибки. А другие опасные места в коде OrcaSlicer разобрали в новой статье.

Если вы тоже хотите минимизировать ошибки в своих проектах, сделайте статический анализ частью регулярного процесса, а поможет с этим PVS-Studio.

Теги:
+6
Комментарии0

Узнайте, как использовать новые требования к КИИ как конкурентное преимущество

Работаете с ГИС или объектами КИИ и ищете способ выполнить регуляторные требования, не теряя в гибкости и скорости? Эксперты Cloud.ru разберут, как облачная инфраструктура закрывает вопросы защиты и при этом становится реальным инструментом развития.

На вебинаре разберем:

  • Актуальные изменения в требованиях к ГИС и КИИ — что важно учесть прямо сейчас.

  • Какие сценарии возможны с решением «Облако для КИИ» и что оно дает.

  • Способы применения: от защищенной инфраструктуры до ускорения цифровых сервисов.

Будет полезно инженерам инфраструктуры, руководителям ИБ-направлений, менеджерам цифровой трансформации и всем, кто планирует работать с ГИС и КИИ.

📅 Когда? 7 июля в 11:00 мск.

📍 Где? Онлайн. Зарегистрируйтесь, чтобы задать вопросы спикеру в прямом эфире.

Теги:
+4
Комментарии0

Вебинар уже через 20 минут: расскажем, как защищать данные в S3

В 12:00 мск на вебинаре разберем все: от базовых Bucket Policies и версионирования до продвинутых Conditional Write, Object Lock (WORM) и клиентского шифрования. Расскажем, как комбинировать эти инструменты для защиты от случайного удаления и кибератак. Объясним, как соответствовать регуляторным требованиям. Вебинар практический, так что вы увидите реальные примеры настройки S3 через API и CLI.

Вы узнаете

  • Какие уровни защиты данных в S3 существуют 

  • Как настраивать версионирование, Conditional Write, Object Lock, шифрование с реальными командами и примерами кода 

  • Какие границы и подводные камни существуют у каждого инструмента 

  • Как комбинировать механизмы для защиты от ransomware, случайного удаления, взлома ключей и соответствия 152-ФЗ 

Подключайтесь: 

📹 на YouTube;

📹 во ВКонтакте.

Теги:
+5
Комментарии0

Приглашаем на вебинар "Информационная безопасность корпоративных систем: практика, требования ФСТЭК и опыт Luxms BI"

Дата и время: 2 июля, четверг, в 16:00 по мск

Информационная безопасность сегодня — базовое требование, а не «опция». Основные угрозы — не "суперхаки", как в кино, а системные слабости: небезопасные сборки, слабый контроль доступа, уязвимости, и, конечно же, человеческий фактор.

На вебинаре эксперты Техконсур, ГИС, Аренадата, РОССИННО и Luxms BI обсудят современные угрозы для корпоративных систем, практику применения уровней доверия ФСТЭК и подходы к разработке и эксплуатации защищенного программного обеспечения:

  • как изменился ландшафт угроз для корпоративных систем в 2026 году;

  • для каких организаций и проектов действительно важны уровни доверия ФСТЭК;

  • как требования регулятора влияют на процессы разработки, сборки и поставки программного обеспечения;

  • какие механизмы контроля, протоколирования и администрирования необходимы современной корпоративной платформе;

  • как выстроить развитие продукта с учетом требований информационной безопасности.

📍Предварительная регистрация

Вам придет напоминание, а после вебинара пришлем ссылку на запись:)

Теги:
+3
Комментарии0

РБПО по ГОСТ Р 56939—2024: вебинар №28 из 30 — Безопасность frontend-приложений: особенности, угрозы и анализаторы класса FAST

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "Безопасность frontend-приложений: особенности, угрозы и анализаторы класса FAST (Frontend Application Security Testing)". На YouTube. Слайды.

Frontend-приложения (личные кабинеты, онлайн-банки, маркетплейсы, сайты, лендинги и т. д.) выполняются в браузере пользователя — традиционной "слепой" зоне для безопасности. В вебинаре рассмотрены актуальные угрозы, крупнейшие инциденты, построение модели угроз и то, как применение анализатора класса FAST (Frontend Application Security Testing) снижает риски и делает frontend-приложения безопасными. Объясняется, почему классические анализаторы имеют низкую достоверность для frontend-приложений, и как использовать FAST-анализатор в процессах РБПО по ГОСТ Р 56939—2024.

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

НЕкурс про РБПО

Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.

Теги:
+2
Комментарии0

Представлен открытый сервис Aliens Eye, который ищет всевозможную информацию в соцсетях, на сайтах и других ресурсах, предоставляя полный отчёт:

  • 840 различных OSINT-инструментов для анализа сайтов, соцсетей, других ресурсов, хостингов, доменов и даже физических устройства;

  • все сервисы работают по одному клику. При этом интерфейс интуитивно понятен;

  • отчёты предоставляет в JSON, CSV, HTML и Markdown форматах;

  • без ограничений, без дополнительных установок.

Теги:
+6
Комментарии0

Прошло почти два месяца с публикации статьи.

Разраб действительно поправил часть олдовых багосов, но, как оказалось, снова забыл про базовую безопасность дев-инфры.

На одном из хостов (привет, 89.167.7.127!) наружу торчит почта: 220 mimolet ESMTP Exim 4.97 Ubuntu

После EHLO сервер сам несет на блюдечке:

  • 250-CHUNKING

  • 250-STARTTLS

  • 250-AUTH PLAIN LOGIN CRAM-MD5

Переход в TLS оставляет CHUNKING доступным.

Некими проверками выясняется, что набор признаков указывает на наличие CVE-2026-45185 с CVSS 9.8. Повезло, что уязвимость свежая, сканеры не дремлют.

Друзья-кодеры, безопасность - не мелкие фиксы, а полный пересмотр всего.

Писал разрабу в очередной раз, ЧСВ у него знатное, до сих пор считает что дыры - база, фиксы я вряд ли увижу.

Теги:
-4
Комментарии3

Ближайшие события

Эффект замыленного глаза: как бороться с выгоранием просматривая тысячу файлов в день


Привет читатели! Первая статья залетела неплохо, а значит я, Катя DLPшка, пишу все это не просто так. И пока собираюсь с мыслями для следующей статьи, поделюсь личными лайфхаками

Я уже писала, что работаю аналитиком в информационной безопасности и отвечаю за DLP-систему. В целом всё нравится. И хотя смотреть логи по восемь часов в день – это порой забавно, но чаще все-таки монотонно и муторно. Для себя я выделила три режима просмотра инцидентов, и к каждому у меня припасен свой антидот от выгорания

№1: «В офисе штиль» (или когда все пользователи вымерли)

Бывает такое: тишина, ни одного алерта, продуктивность упала ниже плинтуса. Я просмотрела все отчеты, файлы и настройки, а делать ну совсем нечего. Скука смертная. Особенно перед праздниками

Как говорила моя мама: лучший отдых – это смена деятельности. И пока пользователи пытаются расшевелиться, я переключаюсь на другие задачки. Ну и, конечно, занимаюсь своим любимым офисным развлечением – социальной инженерией в мирных целях. Люблю наблюдать за коллегами, например, кто под какой трек работает, а кто забыл заблокировать экран, уходя на обед... Если вижу беззащитный монитор, то ставлю на рабочий стол обои с огромным кабачком хехехе. Наказания могут быть веселыми.

№2: «Шквальный огонь» (глаза в кучку)

А бывает наоборот: сотрудников много, алерты прилетают в бесконечном режиме, как из пулемета. Вы, конечно, скажете: «Настрой правила получше, и будет тебе счастье». Но давайте не забывать то, что сегодня считается утечкой, завтра уже нормальный рабочий сценарий (кстати если хотите статью или пост про False Positive, то опишитесь в комментах). В такие моменты замыливаются не только глаза, но и мозг плывет 🫠 Но я не расстраиваюсь, делаю вдох-выдох и следую паре простых правил:

  • Меняю фокус. Не смотрю на один и тот же тип алертов часами. Отсмотрела скриншоты – переключилась на переписку, потом на файлы. Мозгу нужна встряска

  • Использую таймер. 40 минут работы – 5 минут отдыха с шортсами или кофе. Серьезно, метод Pomodoro спасает даже в ИБ

  • Включаю фон. Если не нужно вслушиваться в аудио – музычка или подкаст помогают не сойти с ума от бесконечной ленты событий

№3: «Режим детектива» (мой личный кайф)

Этот вид вырастает из второго. Среди потока находится что-то странное: файл или кусок сообщения. И тут начинается мое любимое – я превращаюсь в Шерлока. Ищу зацепки: слежу за временными рамками, смотрю, какие сайты посещались незадолго до алерта, с кем велся диалог, какие файлы открывались параллельно.Самые очевидные вещи лежат на поверхности, а ты их в упор не видишь. Можно, конечно, по тысяче раз все перепроверять, но тогда есть риск упустить уже новые события.

Мой лайфхак: взять листок бумаги и, как в старые добрые, начать выписывать всё, что нашла. Одно дело – держать улики в голове, и совсем другое – видеть их на бумаге, соединять стрелочками и кружочками. Графическое представление помогает выстроить цепочку событий и быстрее придумать, куда копать дальше.

тупо я
тупо я

P.S. Для самых дотошных: свои «записки сумасшедшего» я храню в шкафчике под ключом, а когда они больше не нужны – кидаю в шредер, которй стоит прямо у моего стола. Конспирация? Нет, проф деформация)

Надеюсь, теперь вы не пойдете по каноничному путь зумера: новая работа → выгорание за три месяца → увольнение → новая работа.

P.S.S А я уж точно, слишком мне нравится нынешний коллектив, а молодая девушка-руководитель тем более. Мы с ней примерно из одного поколения, поэтому говорим на одном языке: она не давит бюрократией, а наоборот, с искренним интересом поддерживает любые мои инициативы, даже самые безумные. Это сильно меняет отношение к работе

 

Теги:
+5
Комментарии1

Среди радиолюбителей и SDR-энтузиастов самой желанной "игрушкой" является продукция компании Ettus Research (работающей под брендом NI). Их оборудование USRP: Universal Software Radio Peripheral, Универсальное программно-определяемое радиоустройство - представляет собой если не эталон, то близкий к идеалу образец программно-определяемого радио.

Цена у аппарата соответствующая: за самый бюджетный и уже устаревший USRP B200 компания просит $1.420 (~106.500 руб.), а его обновленная версия USRP B206mini-i стоит $1.820 (~136.500 руб.). Вместе с тем, за продвинутые устройства USRP серии Х можно вполне купить квартиру в ближнем Подмосковье - $51.360, что составляет примерно 3.8 миллиона рублей.

Если все-таки имеется желание и, самое главное, возможность приобрести USRP, я бы предложил заказать его напрямую через друзей из-за границы, так как Российские компании-импортеры устанавливают на них маржу в 2-2.5 раза. Самый дешевый ценник, который я нашел: компания из Екатеринбурга готова поставить USRP B200mini-i за 200.000 рублей, а распространенная сеть радиокомплектующих за абсолютно тот же SDR просит 269.300 рублей...

Но если нельзя, но очень хочется, то можно

На помощь нам в очередной раз приходят поднебесные партнеры: они "разработали" и выпустили на рынок SDR-устройство TZT B200-mini-i. 
Как заявляет производитель: 

плата разработки радиочастотного программного обеспечения USRP заменяет Ettus B200Mini/B210, индекс производительности, соответствует импортированной версии, и ее стабильность лучше

Устройство полностью совместимо со всем программным обеспечением для оригинального Ettus USRP и в компьютере определяется соответствующе.
Ценник тоже не может не радовать, который на всех доступных нам маркетплейсах стартует от 38 тысяч рублей, что бюджетно по меркам оригинального.

Что касается качества приема/передачи и чистоты сигнала - ничего не могу сказать, так как сам лично руками не "щупал". Интернет и видеохостинги тоже скупы на обзоры: нашел только 1 (одно) видео, в котором автор хвалит новомодное устройство за качество сигнала, а также Wiki AliExpress, в котором обозревают фактически свой же продукт.

В общем, тут на личное усмотрение, готовы ли вы за китайскую копию отдать 40 тысяч рублей. Лично я уже намучился с аналогом HackRF, с его шумами и кривым приемом, поэтому лишний раз не хочу портить себе нервы. В данном случае я бы посоветовал немного поднакопить, и взять оригинал того же LimeSDR или BladeRF.

🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте

Теги:
+2
Комментарии2

Вебинар «Киберустойчивость на основе управления данными», практический сценарий

2 июля в 11:00 проведём вебинар о том, как выстроить управляемую и безопасную работу с данными в корпоративной дата-платформе.

Сегодня одних платформ хранения и обработки данных уже недостаточно: без прозрачности, понимания связей между данными, зон ответственности и рисков такие системы становятся одной из ключевых точек киберриска. На вебинаре разберём, как совместное использование Cardinal Platform и Arenadata Data Catalog помогает выстроить дополнительный слой контроля и повысить киберустойчивость дата-ландшафта.

Что обсудим:

✔️ почему платформы работы с данными становятся зоной повышенного риска;

✔️ какую роль играет каталог данных в обеспечении прозрачности, управляемости и безопасности;

✔️ как интеграция Cardinal Platform и Arenadata Data Catalog позволяет видеть, где находятся данные, кто за них отвечает и как они связаны;

✔️ как выстраивать процессы data governance, контроля доступа, аудита и управления чувствительной информацией;

✔️ как учитывать требования ИБ, регуляторов и внутренних политик;

✔️ как повысить киберустойчивость корпоративной дата-платформы.

Практическая часть

Покажем демонстрационный сценарий, в котором Arenadata Data Catalog используется для управления данными и рисками, а Cardinal Platform — для выстраивания контроля, аудита и дополнительного уровня защиты вокруг дата-платформы.

Для кого: руководители ИТ и ИБ, CDO и владельцы данных, архитекторы, команды data governance и специалисты по безопасной эксплуатации данных.

Спикеры: Мария Двоеносова, владелец продукта Innostage Cardinal Platform; Артем Шмарев, руководитель Центра компетенций по управлению данными, Юникон Бизнес Солюшнс; Денис Кириченко, Архитектор решений Arenadata Catalog.

2 июля, 11:00–12:00

Регистрация по ссылке

Теги:
+3
Комментарии0

АИ-95 с вредоносной присадкой

В середине июня команда киберразведки экспертного центра безопасности Positive Technologies обнаружила сразу несколько ресурсов, использующих «топливную» тему для вредоносных целей.

  1. В рамках первой кампании производится угон Telegram‑аккаунтов. От имени крупной нефтегазовой организации, предоставляющей услуги по продаже топлива физическим лицам, предлагается «забронировать» время для покупки топлива без очередей. В процессе бронирования злоумышленники просят предоставить код подтверждения, который на деле является кодом двухфакторной аутентификации от Telegram‑аккаунта. Отметим, что исходный код ресурсов изобилует комментариями, характерными для кода, сгенерированного большими языковыми моделями.

  2. Вторая кампания заманивает «актуальными» данными о доступности топлива, предлагая скачать APK‑файл. На вредоносном сайте отображается карта со сведениями о наличии топлива на разных заправках по всей стране. Статус заправки на карте при этом определяется детерминированным алгоритмом на основании ее координат:

const deterministicStatus = (station) => {
  const base = Number(station.id ?? station.lat * 1000 + station.lon * 1000);
  const pseudo = Math.abs(Math.sin(base)) % 1;
  if (pseudo < 0.58) return 'green';
  if (pseudo < 0.85) return 'yellow';
  return 'red';
};

Под капотом приложения — инфостилер, среди функций которого сбор с устройства фотографий и текущей геопозиции с последующей отправкой в S3-хранилища, что впоследствии может использоваться для шантажа жертвы и иных целей.

Рекомендации

Не сообщайте третьим лицам и не вводите на сторонних ресурсах никакие коды, приходящие на ваши устройства.

Не устанавливайте незнакомые мобильные приложения, а если очень хочется — хотя бы предварительно используйте анализ через песочницу (например, в PT Sandbox 😉).

Относитесь критически к любому ресурсу, обнаруженному в интернете, особенно если он эксплуатирует «горячую» тему.

Покупайте электричку.

Индикаторы компрометации

ru‑lukoil.online

tes‑td.site

voentoplivo.site

gdebenzin.org

sverdlova.online

mobilecash.club

https://s3.eu‑central-003.backblazeb2.com/centbrinben/benzin/

https://storage.tacticlib.com/uploads/benzin/

b192114cc04b872095015bcb0d7f708c34680eafbd43ff5393df791ea0dc04e9 140ecec54f6249370cec2f6dc0e5f485af359295bb27f6f458c5b3cf30260e3e

462611f6f8e65229e8b729038438785d447bc4da386a74fafae095b65578525c 51e18c21203e930ab3ca13327dc7d67a404e597fcf3a99f8901fdbfb169da63c

81a623c9a3b3f4a9340dd4c6bdfb5299f247b54f81ae1d39671afcf24229859a f4102ea1718653528c503dcaaef3a2ea05ddaf6ad782e84ee7d7b2e6b073ffae

15174043fc56ca9fd8c47d2bfc0e0a2f491a17a8805afcc5eb58b8252677ef69

(Источник: https://t.me/ptescalator)

Теги:
+5
Комментарии0

РБПО по ГОСТ Р 56939—2024: вебинар №27 из 30 — PVS-Studio Atlas — новая платформа контроля качества кода

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "PVS-Studio Atlas — новая платформа контроля качества кода". На YouTube. Слайды.

В ходе бонусного вебинара команда PVS-Studio представила новый продукт — PVS-Studio Atlas, предназначенный для работы с результатами анализа кода: просмотра, аналитики, разметки и формирования отчётов для сертификационных лабораторий и ФСТЭК.

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

PVS-Studio — статический анализатор кода для поиска критических и типовых ошибок

Также приглашаю всех познакомиться с нашим статическим анализатором PVS-Studio, который может закрыть не только 10-й процесс ГОСТ Р 56939, но и будет полезен по другим направлениям:

  1. Обучение сотрудников (п.5.2). Формирование у программистов понимание антипаттернов и уязвимых конструкций, что улучшает их техническую экспертизу;

  2. Моделирование угроз и разработка описания поверхности атаки (п.5.7). Дополняет процесс, выявляя потенциальные уязвимости, которые формируют поверхность атаки;

  3. Экспертиза исходного кода (п.5.9). Позволяет усилить проверку стороннего кода, который команда включает в проект. Например, его можно использовать для выбора сторонних библиотек, оценивая качество их кода;

  4. Поиск уязвимостей в программном обеспечении при эксплуатации (п.5.24). Можно просматривать ранее отключённые предупреждения PVS-Studio с целью дополнительного выявления дефектов в коде.

Скачать PVS-Studio.

Основные характеристики:

Теги:
+11
Комментарии0

Вышел 8-й номер журнала Paged Out, который включает в себя различные материалы на тему этичного хакинга и информационной безопасности. Издание публикуется в формате: 1 страница — 1 статья. Все остальные Paged Out выпуски можно скачать с сайта проекта.

Теги:
+6
Комментарии0

РБПО по ГОСТ Р 56939—2024: вебинар №26 из 30 — Сертификация ПО согласно требованиям ФСТЭК и МО

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "Сертификация ПО согласно требованиям ФСТЭК и Минобороны". На YouTube. Слайды.

В вебинаре обсуждается, что на самом деле даёт сертификат и почему он не гарантирует безопасность ПО. Какие программы обязаны проходить проверку, а какие — нет. Чем отличается сертификация от аттестации, и что происходит после получения сертификата. На эти и другие вопросы ответили в бонусном вебинаре цикла с Виталием Вареницей, ведущим специалистом ЗАО "НПО "Эшелон" по сертификации и тестированию на проникновение ПО

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

НЕкурс про РБПО

Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.

Теги:
+4
Комментарии0
1
23 ...