Форум информационной безопасности - Codeby.net
Статья Форензика macOS: артефакты, которые сдают пентестера — Unified Log, FSEvents, Spotlight, Keychain и APFS-снапшоты
macOS молча пишет досье на каждого пентестера: Unified Log фиксирует обращения к Keychain с наносекундной точностью, FSEvents сохраняет путь удалённого payload, а APFS-снапшоты воскрешают файлы, которые атакующий считал уничтоженными.Kill chain читается по четырём источникам без единого EDR-агента. `log show --predicate 'subsystem == "com.apple.securityd"'` — и вся цепочка Keychain-запросов на экране. FSEventsParser (Nicole Ibrahim) достаёт из `/.fseventsd/` хронологию каждого `cp` в `/Volumes/`, даже после rm. Spotlight-индекс в `/private/var/folders/` хранит метаданные файлов спустя недели после удаления.
Red team удаляет файлы — FSEvents хранит путь. APFS-снапшот хранит содержимое. macOS забывает медленнее, чем думает атакующий.Статья Пентест АСУ ТП: kill chain от корпоративной сети до регистров контроллера
За 14 часов — от корпоративной сети до holding-регистров ПЛК нефтехимии: три DMZ-прыжка, забытая VPN-учётка инженера и шлюз с паролем из трёх символов. Ни одного алерта.Kill chain стартует с Shodan: `port:502 country:RU` отдаёт Modbus-устройства, `product:"Schneider Electric"` — конкретные вендоры. Nmap с `-sT -T2 --max-retries 1` и скриптами `modbus-discover, s7-info` даёт fingerprint без зависания S7-300. Дальше — FC03 (Read Holding Registers) и FC06 (Write Single Register) через порт 502/TCP без какой-либо аутентификации.
Evasion строится не на обходе EDR-хуков, а на мимикрии под легитимный HMI-опрос — Claroty и Nozomi работают по baseline аномалий.
IT-SOC смотрит в Windows Event Log — Sandworm и XENOTIME идут через OT напрямую, минуя эндпоинты.Статья Обоснование инвестиций Zero Trust: метрики, формулы и аргументы для совета директоров
CFO спрашивает «покажите цифры» — IBM Cost of a Data Breach 2025 называет $4,44 млн средней стоимостью утечки. ROSI 92% и ALE-модель переводят Zero Trust из «архитектурной концепции» в строку бюджета.Статья разбирает два финансовых инструмента: ROSI = (ALE × снижение риска − TCO) / TCO × 100% и ALE = SLE × ARO. Для российских компаний SLE включает оборотные штрафы по ФЗ-420 — до 3% выручки за повторную утечку ПДн. Методология FAIR заменяет экспертные «высокий/средний» вероятностными распределениями.
Скрытые издержки периметровой модели — VPN-лицензии, разрастающиеся firewall-правила, простои при масштабировании — редко попадают в ИБ-бюджет, но реальны.
Совет директоров отклоняет Zero Trust не из-за цены — а потому что CISO не считает цену бездействия.Статья Пентест КИИ по требованиям 187-ФЗ: от разведки OT-сегментов до kill chain
Nmap с NSE-скриптом s7-info вернул модель, серийник и прошивку Siemens SIMATIC S7-300 за 12 секунд — прямо из корпоративного VLAN через неуправляемый коммутатор. Шесть месяцев категорирования по 187-ФЗ, три пересылки акта во ФСТЭК — и открытый маршрут до ПЛК теплоснабжающей подстанции.Разведка начинается пассивно: Shodan-запрос `port:502 country:RU` отдаёт открытый Modbus без единого пакета к цели, GitHub dorks
filename:plc_config вскрывают конфиги, а вакансии на hh.ru дают fingerprinting модели ПЛК ещё до начала работ — MITRE T1046 без касания периметра. Незначимый объект КИИ — без категории, без бюджета на защиту, зато с прямым маршрутом в OT.Статья EASM инструменты: сравнение Shodan, Censys, FOFA и Netlas для внешней разведки поверхности атаки
На пентесте финтех-компании FOFA нашла dev-стенд с Kibana без авторизации — Shodan и Censys промолчали. Netlas выдала VPN-шлюз с OpenSSL 1.0.2, которого не было у остальных. Четыре платформы, четыре уникальных результата.Параллельный ASN-поиск через Shodan, Censys, FOFA и Netlas дал 47/52/63/58 сервисов — но пересечение неполное. Shodan закрывает IoT/OT (Modbus, BACnet), Censys берёт CT-логи и облачные ресурсы AWS/GCP. FOFA и Netlas добавляют региональное покрытие. MITRE T1596.005 — scan databases — это не один инструмент, а пайплайн.
Через открытую Kibana за три часа собрана карта внутренней инфраструктуры: lateral movement сократился до двух переходов.
Ни одна платформа не закрывает recon в одиночку — уникальные находки есть у каждой.Статья Bcrypt взлом паролей: как утекают хэши с Dragonica и почему это проще, чем кажется
CTF-дамп Dragonica: 40 000 bcrypt-хэшей, cost factor 10, две RTX 3090 — и 1500 паролей за 14 часов. Этого хватает для credential stuffing на Steam и Discord.Типичный стек частного сервера — PHP 5.x, MySQL, phpMyAdmin без ограничений доступа. Fingerprinting через nmap -sV вскрывает открытый 3306 и /phpmyadmin/ за минуты. UNION-based SQLi в форме логина (T1190) — и таблица accounts с хэшами на экране. Дальше офлайн: Hashcat, rockyou плюс геймерский wordlist с мутациями.
Bcrypt держится на EksBlowfish и встроенной 128-битной соли — rainbow tables бесполезны, каждый хэш крекается индивидуально. Но cost factor 10 — дефолт Go и PHP — даёт лишь 1024 итерации.
4% от базы звучит ничтожно — но именно эти 1500 пар логин-пароль работают на сторонних сервисах.