3side кибербезопасности

Что под капотом у Chromium? 1 - Архитектура На нашем канале хардкорные технические статьи бывают не часто, но всегда находят отклик! Это тот самый случай, по описанной ниже статье вы погрузитесь в самые недры работы, крайне интересного и повсеместно используемого…

OPERATION ZERO - единственная в России платформа по приобретению зиродей-эксплоитов у исследователей для предоставления частным и государственным клиентам наступательных возможностей в киберпространстве. Заказчиками компании являются исключительно организации Российской Федерации и дружественных стран. OPERATION ZERO сотрудничает с исследователями безопасности, разработчиками и реверс-инженерами по всему миру, соблюдая высочайший уровень конфиденциальности и анонимности. Мы приобретаем зиродей-уязвимости для таких категорий аппаратного и программного обеспечения, как персональные компьютеры, мобильные устройства на базе iOS и Android, браузеры, baseband-процессоры, роутеры, серверы и VPN, гипервизоры, веб-сервисы. Сейчас мы ищем в первую очередь следующие эксплоиты: — iOS 26 LPE из приложения в ядро — до $500,000 — SolarWinds Serv-U RCE — до $500,000 — Kiteworks MFT RCE — до $500,000 — Titan MFT/SFTP RCE — до $500,000 — Chrome SBX для Android — до $400,000 — PHP / Java RCE для эксплуатации веб-серверов (Apache, Nginx, IIS) — до $400,000 — Windows RCE для первоначального доступа в сеть — до $300,000 — Linux RCE для первоначального доступа в сеть — до $300,000 — Android kernel LPE — до $300,000 — Windows SBX из Untrusted Integrity Level в Medium/SYSTEM — до $200,000 — pfSense RCE — до $200,000 — Chrome heapsbx для Android — до $200,000 — Microsoft Exchange RCE — до $180,000 — MikroTik RCE — до $150,000 — Round Cube RCE — до $150,000 — VNC RCE — до $150,000 — OpenVPN RCE — до $150,000 — Famatech Radmin RCE — до $120,000 — Cisco RCE — до $100,000 — Fortinet FortiGate RCE —до $100,000 — Check Point Firewall RCE — до $100,000 — Juniper Networks RCE — до $100,000 — MacOS RCE/LPE — до $100,000 — Linux LPE (Debian, Ubuntu, CentOS, RHEL, AWS) — до $100,000 — CMS RCE — до $100,000 — Nextcloud RCE — до $70,000 — QNAP RCE — до $70,000 Помимо этого, у нас открыта вакансия для стажёров, готовых обучаться по одному или нескольким направлениям: Windows, Linux, Android, браузеры. Вы будете учиться искать уязвимости и писать для них эксплоиты под руководством профессионалов, причём программа выстроена таким образом, чтобы избежать узкой специализации и уметь исследовать различные системы в зависимости от задач. От вас не требуется какого-либо опыта изучения уязвимостей, но необходимо понимать основы архитектуры x86 и владеть начальными навыками реверс-инжиниринга и программирования на Си и ассемблере. В блоге на нашем сайте мы пишем обучающие статьи по эксплуатации, а в телеграм-канале публикуем актуальные запросы с ценами, вакансии и прочие новости.

Классический сапожник без сапог или почему важно проводит аудит ИТ-инфраструктуры Китайская компания Knownsec, которая входит в двадцатку ключевых игроков китайского рынка кибербезопасности, призналась, что её инфраструктура была взломана. Злоумышленники проникли в облачную систему и распространили в сети более 12 тысяч внутренних данных. В своем заявлении Knownsec назвала произошедшее «чрезвычайно прискорбным», признав что технологии атакующих оказались слишком изощренными для оценки полного объема утечки. Инцидент — очередное яркое напоминание о том, насколько важно заранее проводить аудит и искать места, в которые могут проникнуть злоумышленники. Аудит поможет выявить все слабые места в архитектуре и процессах компании, оценить масштабы рисков и заранее подготовиться к быстрому и эффективному ответу в случае обнаружения атаки. За аудитом ИТ-инфраструктуры рекомендую обратиться к моим друзьям из Whitebyte.

Бесплатное VPN-расширение Urban VPN Proxyтайно продавало переписку с ИИ-ассистентами! Мы тут много раз говорили, что к расширениям для браузеров надо относиться очень осторожно, и вот прям эталонная история. "Одобренное" Google бесплатное расширение Urban VPN Proxy с 6 (!!!) млн пользователей тайно собирало и продавало переписку пользователей с ИИ-ассистентами. В списке — все лидеры рынка, ChatGPT, Gemini, Grok, DeepSeek, Perplexity и другие. О целях использования мы можем только догадываться (уверены, что на 99% там реклама), но это большой удар по приватности пользователей. При этом сервис заявляет защиту от фишинга, вирусов, кражи персональных данных и прочего. Ну да, отлично защитили. "Ты должен был бороться со злом, а не примкнуть к нему" (С). А мы снова и снова повторяем, что на этом рынке не бывает халявы. В любом бесплатном сервисе товар — это вы. В здоровом случае сервис будет просто предлагать вам платную версию. В нездоровом — он просто продаст ваши данные, и хорошо если рекламодателям. В общем, будьте аккуратны с браузерными расширениями. Приватность, в отличие от анонимности, штука все же достижимая.

Ненадежная изоляция в Wi-fi сетях В далеком 2015 году никто не слышал о том, что клиентов Wi-fi сетей можно изолировать друг от друга! И множество студентов на CTF соревнованиях баловались в отелях ARP-спуффингом, слушая трафик своих оппонентов или случайных посетителей отелей. С тех пор прошло более 10 лет, и помимо повсеместного внедрения HTTPS, любая Wi-fi точка по умолчанию изолирует клиентов друг от друга в гостевых сетях. Но вот только Wi-fi - это не провод и в ряде случаев изоляцию точки доступа можно обойти, связавшись напрямую! 1. Если сеть открытая. То в целом для этого не нужно ничего, клиент не поймет отправляете ли вы ему данные или точка, с нехитрым инструментом вы можете атаковать любых других клиентов Wi-fi сети, до которых дотянетесь антенной. Для телефонов это не очень критично, там поверхность атаки минимальна, а вот для ПК - могут быть интересные возможности. 2. Если сеть с паролем на WPA/WPA2-PSK. Тут интереснее, одновременно общаться с вами и настоящей точкой доступа у жертвы не выйдет, но и тут атака более чем возможна из-за особенностей протокола. Каждый клиент знающий пароль все такие может притвориться точкой доступа. А как тогда изолировать? - WPA2-Enterprise. Он иначе работает с аутентификацией и ключами, там подменить точку не получится. - WPA3. Протокол из коробки работает с ключами иначе и пока способом обхода ее не нашли. Технические подробности того, как именно это работает, можно почитать тут. Автор подготовил и простой инструмент для атак через изоляцию, но помните про УК РФ.

У ~40% компаний 4sec нашла критические уязвимости Итак, прошло 3 недели со старта активной работы 4security, и у нас есть первая статистика. Из нескольких десятков зарегистрировавшихся компаний (в основном, на бесплатном тарифе) у почти что 4 из 10 компаний обнаружились опасные уязвимости. Из позитивного: в 80% случаев они были закрыты владельцем инфраструктуры в течение суток. В нескольких случаях проблемы нашлись в shadow IT и legacy инфраструктуре, которая была выведена из эксплуатации. "Иных" ситуаций буквально пара, чему мы искренне рады. Важно: мы говорим не об абстрактных CVE (которых нашлось на всех несколько сотен) а именно о тех уязвимостях, которые злоумышленники могут эксплуатировать прямо сейчас, не имея под рукой "нулей" и ЦОДа АНБ с Солт Лейк Сити. То есть вот прямо то, через что можно попасть в инфраструктуру или причинить ущерб. И еще один важный момент: тут одно очень любимое и уважаемое нами учреждение (которому мы очень хотели поставить 4sec) было уверено, что для регистрации надо отдавать нам логины и пароли от инфраструктуры. Так вот: не надо. Вообще не надо. Даже для пентеста черным ящиком не надо. В общем вот так. Полет нормальный, продолжаем работу. 4security.ru — проверь свою уязвимость!

Обратная атака социальной инженерией В кибербезе есть такое понятие как "Hack back", это атака атакующего. Вы не только отбиваетесь от атаки, но и в целях дестабилизации инфраструктуры атакующих, или для определения их личности атакуете их в ответ! Чаще всего такого делают против APT-группировок, и вот оно случилось снова. Да еще как! APT-группировка КНДР "Lazarus", одна из сильнейших в мире, славится в первую очередь своими атаками с помощью социальной инженерии. Они частенько "устраиваются на работу" в зарубежные компании, для эффективных атак изнутри. Это очень крутая точка входа, требующая солидной подготовки. Они: - Находят настоящего разработчика из западной страны. - Предлагают ему удаленную работу. - Крадут его личность, получают постоянный доступ к его ноуту. - Проходят собеседование от его имени и попадают в компанию. Северные корейцы неоднократно с этим справлялись, но не в этот раз. В этот раз их ждала ловушка-"ханипот", разработчик был подставным. В проекте принимали участие кибербез специалисты компаний: - ANY RUN - NorthScan - BCA LTD Ключевые результаты дало то, что ноутбук и его окружение были виртуальными машинами песочницы ANY RUN, которая изображала полноценные рабочие станции с инструментами разработчика и даже историей их использования. Это позволило: - Записывать все действия злоумышленников. - Сохранять используемые ими инструменты. - И конечно же сохранить их фото с собеседований, оно и прикреплено к посту. Обмануть можно и социального инженера, уязвимы мы все.

Обновите Телеграмм Несколько дней назад я обновил клиент телеграмма для IOS, чтобы включить функцию доступа по ключам. Обычно я обновляю приложение под новые функции, или если где-то пишут о важных/секьюрити апдейтах. Не сказать, что с этим тороплюсь. И никогда до сегодняшнего дня я не видел сообщение внутри ТГ о необходимости как можно быстрее обновить приложение, иначе оно может перестать работать! Повторюсь, такое сообщение никогда ранее не возникало, видимо последний апдейт важнее всех предыдущих. Возможно, закрывают уязвимость которую нашли уже на этапе активного использования в атаках. Или у меня просто паранойя. Но на всякий случай обновите ка приложение.

Россия в прицеле кибератак: как ИБ превращается в фактор макроэкономики 14% всех успешных кибератак в мире в 2024–2025 гг. пришлись на Россию. В зоне риска — госсектор, ИТ, промышленность и энергетика. Атаки становятся фактором экономического давления и дестабилизации. «Аргумент Медиа» поговорили с экспертами, чтобы разобраться, во что кибератаки обходятся экономике и бизнесу. ⏪ Независимый эксперт по информационной безопасности Денис Макрушин подчеркивает: «За последние годы в России появились современные средства обнаружения угроз, корпоративные SOC и системы мониторинга. Однако без процессов управления доступами, работы с подрядчиками, обучения персонала, регламентации инцидентов, даже лучшая технология не работает» ⏪ Депутат Госдумы, первый заместитель председателя Комитета по информационной политике Марина Ким отмечает: «Я бы выделила триаду: энергетика, транспорт и финансовый сектор. Удар по ним имеет мгновенный социальный эффект — от веерных отключений света до паралича транспортных узлов. Это именно тот мультипликативный эффект паники, которого добиваются наши геополитические оппоненты» ⏪Антон Бочкарев, основатель 3side/4sec, заявляет: «Хаос и непонимание в управлении рисками приводят к тому, что многие компании даже не способны определить момент атаки, а «восстановиться в течение 48 часов могут единицы — только те, у кого заранее выстроены процессы и проведены регулярные учения» ⏪Егор Богомолов, CEO агентства белых хакеров Singleton Security и образовательного центра CyberED, отмечает: «Большинство российских организаций не имеют ни полноценных сценариев восстановления, ни четких регламентов реагирования. Реальный срок восстановления после серьезной атаки в российских компаниях — от недели до месяца» ⏪ Независимый эксперт Владимир Любицкий объясняет: «Шифровальщики уничтожают данные и ИТ-инфраструктуру. Часто компания вынуждена перестраивать все с нуля. Для фирмы с сотней сотрудников такое восстановление может стоить десятки миллионов за две недели работ» Полный материал — на сайте. 1⃣2⃣3⃣4⃣Подписаться

Зрелость вместо замещения: прогноз рынка ИБ на следующий год Тут на неделе вышла куча оценок роста рынка кибербеза на 2026. Ожидают рост в 12%, но на наш взгляд тут очень много нюансов. Ключевое — рынок перейдет от судорожного импортозамещения к более зрелому.…

Зрелость вместо замещения: прогноз рынка ИБ на следующий год Тут на неделе вышла куча оценок роста рынка кибербеза на 2026. Ожидают рост в 12%, но на наш взгляд тут очень много нюансов. Ключевое — рынок перейдет от судорожного импортозамещения к более зрелому. Из факторов роста — растущая регуляторная нагрузка (скажется на крупных заказчиках в первую очередь) и рост числа атак на МСБ плюс постоянно сокращающаяся стоимость атаки благодаря ИИ и агентам. Еще ключевая ставка почти наверняка снизится, что снизит нагрузку на капитал у заказчиков. Из негативного — фактор геополитики, высокие расходы на оборону, рост налоговой нагрузки и почти ограниченный рост бюджета у топов. Эффект импортозамещения снижается, на ИБ будут по возможности экономить. Тут все понятно: если перемирие по Украине случится, то экономике будет проще, если нет — сложнее. Но в любом случае объем кибератак уже не сократится. Но рынку в любом случае будет тяжело. Это было видно и в конце 2025 — множество проектов перенеслись на 2026, иногда с бюджетами, иногда без. Что касается МСБ (раз уж мы занимаемся в основном им), то на наш взгляд при позитивном сценарии рост может быть до 30%, но это субъективно. Сам рынок в абсолютном выражении маленький (максимум 5-7 млрд) и незрелый, но потребность в ИБ довольно очевидна. Пока главная проблема — большинство компаний на нем просто не понимают, что делать с кибербезом. Рынок точно придется прогревать, причем на это уйдут годы. Вместо попыток адаптировать энтерпрайз-продукты появятся новые решения, ориентированные на небольшие компании. Плюс многократно описанный переход к сервисным моделям работы и облакам. Ключевым фактором для МСБ является цена — заказчик морально не готов платить миллионы рублей за решения и услуги. Более того, целесообразность таких расходов под большим вопросом: по нашим оценкам, осмысленный бюджет на ИБ для малого бизнеса находится в диапазоне от полумиллиона до миллиона рублей в год. И тут работать можно только на объеме. Средний бизнес точно станет более зрелым: там довольно быстро появляются и транслируются компетенции. В общем, будет сложно. Но интересно.

Войти без MAX и СМС Минцифры заявил, что портал «Госуслуги» будет постепенно отказываться от подтверждения входа по SMS, связав это с ростом телефонного мошенничества. Сам портал Госуслуги при этом предлагает подключить принятие кодов через мессенджер MAX. Это надежнее чем смс? Да. Но многие не хотят. А что тогда? А есть вариант без MAX и еще надежнее - одноразовые коды! Так называемый ТОТР. Это самый надежный способ двухфакторной аутентификации доступный на госуслугах, для его использования все что нужно скачать приложение - аутентификатор, причем любое. Я бы рекомендовал Яндекс.Ключ он точно всегда будет работать в РФ (по сравнению с аутентификатором от google, у которого есть риск, что его будут блокировать в России) и крайне защищен, зная подходы самого Яндекса в безопасности. Вам нужно установить приложение аутентификации на ваш смартфон и зайти на портал госуслуг. Если вы заходите со смартфона через мобильный браузер и вам не даёт зайти при помощи СМС, то нужно переключить в браузере режим отображения страницы на "версия для ПК". Еще важный нюанс по инструкции - одноразовый код не приходит в приложение аутентификатора, а интервально генерируется в нем на основе ключа. Инструкция по подключение с самого портала «Госуслуг»: По коду TOTP 1. Установите приложение для работы с одноразовым кодом (TOTP): для iOS, Android или HarmonyOS. Одноразовый код будет приходить в приложение для работы с ним. При потере доступа к этому приложению войти на Госуслуги с одноразовым кодом не получится 2. В личном кабинете откройте: Профиль → Безопасность → Вход в систему https://lk.gosuslugi.ru/settings/safety/login 3. Выберите: Вход с подтверждением → Одноразовый код (TOTP) → Продолжить 4. Откройте на телефоне приложение для работы с одноразовым кодом 5. В приложении отсканируйте QR код или введите ключ — появится запись «Gosuslugi» с кодом, который будет периодически обновляться 6. Введите на Госуслугах одноразовый код из приложения Качаете, ставите, заходите на госуслуги, и меняете второй фактор на ТОТР, как на скриншоте. Далее копируете ключ в приложение Яндекса и вуаля, ваши коды будут генерироваться в нем, совершенно безопасно. И без всякого MAX.