Форум информационной безопасности - Codeby.net
Статья Мисконфигурация облака как вектор атаки: полная карта угроз и защиты AWS, Azure и GCP
99% облачных инцидентов — вина клиента, не провайдера. Облачные вторжения выросли на 37% в 2025 году. Атаки с использованием валидных credentials — плюс 71%. Мисконфигурация облака — самый дешёвый вектор: не нужны эксплойты, хватает curl.Навигационный хаб по 9 материалам: открытые S3/Azure Blob/GCP Storage, SSRF к metadata endpoint (169.254.169.254), эскалация привилегий AWS IAM, credential theft и account takeover, CVE-2026-40175 в Axios, безопасность Terraform/CloudFormation, мисконфигурации Salesforce, атаки на serverless Lambda.
Kill chain из 6 этапов с маппингом MITRE ATT&CK: T1619 → T1078.004 → T1552.005 → T1530 → T1098.003. Чеклист 12 действий для немедленного аудита: Block Public Access, IMDSv2, Object Lock, аудит EBS-снапшотов. Таблица инструментов: Prowler, ScoutSuite, Trivy, Pacu — с реальными ограничениями каждого.
Security-команда мониторит трафик и...Статья КИИ и персональные данные: совмещение требований ФЗ-187 и ФЗ-152 для операторов критической инфраструктуры
СКУД на подстанции хранил биометрию 340 сотрудников — и это одновременно ЗОКИИ по ФЗ-187 и ИСПДн с биометрическими ПДн по ФЗ-152. Два регулятора, два реестра, два комплекта документов — и ни один не закрыт.Акт категорирования ФСТЭК фиксирует систему как объект КИИ, но политика обработки ПДн биометрию не учитывает вовсе. При инциденте оператор обязан уведомить и ГосСОПКА, и Роскомнадзор — с разными сроками и форматами. Приказ ФСТЭК №239 закрывает технические меры, но не касается правовых оснований обработки, согласий субъектов и локализации баз данных по ст. 18 ФЗ-152.
Приказ №239 не закрывает ФЗ-152. Уголовка по ст. 274.1 УК РФ — до 10 лет — идёт отдельно от оборотных штрафов за утечку ПДн.Статья Модели зрелости информационной безопасности: CMMC, C2M2, SSE-CMM и BSIMM — выбор фреймворка и self-assessment
Gap-анализ по CMMC, C2M2, SSE-CMM и BSIMM в 12 организациях дал один итог: dormant accounts и flat network числились «Implemented» в Excel — и ломались за час на внутреннем пентесте.Автор разбирает, почему self-assessment врёт: фреймворк выбирается по инерции, оценка проводится «по памяти» без верификации. CMMC Level 2 требует 110 контролей по NIST SP 800-171 — аудитор смотрит не на политику, а на лог и конфигурацию. C2M2 MIL1 в домене Threat and Vulnerability Management означает, что `nmap -sV` даёт полную картину без evasion.
Радиальная диаграмма в PDF не детектирует T1078 — пентест опровергает скоркарту быстрее, чем её читает CISO.Статья Обнаружение APT атак: SIEM, EDR, NDR и Threat Hunting — полная карта защиты в 2026 году
57% организаций узнают о компрометации не от SOC, а от внешней стороны. Среднее время lateral movement после первичного доступа — 62 минуты. 79% атак обходятся без вредоносного ПО — только легитимные инструменты и украденные учётные данные.Навигационный хаб по 9 материалам: облачные C2-каналы (Google Sheets, OneDrive, Slack), Sigma-правила для Cisco SD-WAN, стеганография в WAV-файлах, AI-ransomware, слепые зоны Linux EDR, LLM-honeypot на все 65535 портов, ML-скоринг алертов, identity-атаки, lateral movement без малвари.
SIEM→EDR→NDR→XDR: почему изолированные инструменты слепы к APT. Hunting-запрос для Splunk на дамп LSASS (T1003.001). Таблица зрелости SOC от L0 до L4 с покрытием MITRE ATT&CK. Стек по размеру команды с бюджетами.
Инструменты — множители. Умножьте их на ноль процесса — получите ноль детекции.Статья macOS kernel exploit на Apple M5: data-only LPE через слепую зону Memory Integrity Enforcement
Команда Calif за 5 дней получила root shell на Apple M5 с включённым Memory Integrity Enforcement — data-only LPE обошёл MTE и PAC, ни разу не нарушив tag boundary.Exploit стартует с непривилегированного аккаунта и эксплуатирует архитектурную слепую зону MTE: 4-битный тег даёт лишь 15 рабочих значений, вероятность коллизии при heap grooming — 1/15. Два объекта в соседних granules с одинаковым тегом позволяют OOB-записью модифицировать данные ядра без единого tag mismatch fault.
Никакого redirect control flow — PAC не задействован. Ядро само выполняет привилегированную операцию, читая испорченные данные. CVE не присвоен, публичный PoC отсутствует, патч ожидается.
MIE блокирует каждую публичную exploit-цепочку — кроме той, где MTE слеп by design.Hackerlab Неделя 2: Виртуальный сервер - service enumeration через SSH и FTP
Открытые порты — это только начало. Реальный recon — выжать из каждого сервиса максимум до начала эксплуатации. Версия сервиса даёт known CVE. Баннер выдаёт конфигурацию. Anonymous FTP — готовые файлы. Неправильно настроенный SSH — вектор атаки.Неделя 2 серии «Сетевая разведка за 30 дней». Цель — VDS, где админ настроил SSH и FTP «как-нибудь, потом исправлю». Разбираемся, как читать сервисы, а не просто видеть порты.
Инструменты недели: nmap -sV со скриптами ftp-anon и ssh-auth-methods, ручной anonymous FTP, ssh-audit для анализа слабых алгоритмов, nc для сырого banner-grab, searchsploit для поиска CVE по баннеру.
Старт: 8 июня 20:00 МСК. Дедлайн: 14 июня 23:59 МСК. Антиспойлер: до дедлайна обсуждаем подходы, не команды. После — writeup'ы открыты.
SSH version banner отдаёт OS distribution — feature это или information disclosure? Разбираем в комментариях.