Форум информационной безопасности - Codeby.net
Статья КИИ и персональные данные: совмещение требований ФЗ-187 и ФЗ-152 для операторов критической инфраструктуры
СКУД на подстанции хранил биометрию 340 сотрудников — и это одновременно ЗОКИИ по ФЗ-187 и ИСПДн с биометрическими ПДн по ФЗ-152. Два регулятора, два реестра, два комплекта документов — и ни один не закрыт.Акт категорирования ФСТЭК фиксирует систему как объект КИИ, но политика обработки ПДн биометрию не учитывает вовсе. При инциденте оператор обязан уведомить и ГосСОПКА, и Роскомнадзор — с разными сроками и форматами. Приказ ФСТЭК №239 закрывает технические меры, но не касается правовых оснований обработки, согласий субъектов и локализации баз данных по ст. 18 ФЗ-152.
Приказ №239 не закрывает ФЗ-152. Уголовка по ст. 274.1 УК РФ — до 10 лет — идёт отдельно от оборотных штрафов за утечку ПДн.Статья Модели зрелости информационной безопасности: CMMC, C2M2, SSE-CMM и BSIMM — выбор фреймворка и self-assessment
Gap-анализ по CMMC, C2M2, SSE-CMM и BSIMM в 12 организациях дал один итог: dormant accounts и flat network числились «Implemented» в Excel — и ломались за час на внутреннем пентесте.Автор разбирает, почему self-assessment врёт: фреймворк выбирается по инерции, оценка проводится «по памяти» без верификации. CMMC Level 2 требует 110 контролей по NIST SP 800-171 — аудитор смотрит не на политику, а на лог и конфигурацию. C2M2 MIL1 в домене Threat and Vulnerability Management означает, что `nmap -sV` даёт полную картину без evasion.
Радиальная диаграмма в PDF не детектирует T1078 — пентест опровергает скоркарту быстрее, чем её читает CISO.Статья Обнаружение APT атак: SIEM, EDR, NDR и Threat Hunting — полная карта защиты в 2026 году
57% организаций узнают о компрометации не от SOC, а от внешней стороны. Среднее время lateral movement после первичного доступа — 62 минуты. 79% атак обходятся без вредоносного ПО — только легитимные инструменты и украденные учётные данные.Навигационный хаб по 9 материалам: облачные C2-каналы (Google Sheets, OneDrive, Slack), Sigma-правила для Cisco SD-WAN, стеганография в WAV-файлах, AI-ransomware, слепые зоны Linux EDR, LLM-honeypot на все 65535 портов, ML-скоринг алертов, identity-атаки, lateral movement без малвари.
SIEM→EDR→NDR→XDR: почему изолированные инструменты слепы к APT. Hunting-запрос для Splunk на дамп LSASS (T1003.001). Таблица зрелости SOC от L0 до L4 с покрытием MITRE ATT&CK. Стек по размеру команды с бюджетами.
Инструменты — множители. Умножьте их на ноль процесса — получите ноль детекции.Статья macOS kernel exploit на Apple M5: data-only LPE через слепую зону Memory Integrity Enforcement
Команда Calif за 5 дней получила root shell на Apple M5 с включённым Memory Integrity Enforcement — data-only LPE обошёл MTE и PAC, ни разу не нарушив tag boundary.Exploit стартует с непривилегированного аккаунта и эксплуатирует архитектурную слепую зону MTE: 4-битный тег даёт лишь 15 рабочих значений, вероятность коллизии при heap grooming — 1/15. Два объекта в соседних granules с одинаковым тегом позволяют OOB-записью модифицировать данные ядра без единого tag mismatch fault.
Никакого redirect control flow — PAC не задействован. Ядро само выполняет привилегированную операцию, читая испорченные данные. CVE не присвоен, публичный PoC отсутствует, патч ожидается.
MIE блокирует каждую публичную exploit-цепочку — кроме той, где MTE слеп by design.Hackerlab Неделя 2: Виртуальный сервер - service enumeration через SSH и FTP
Открытые порты — это только начало. Реальный recon — выжать из каждого сервиса максимум до начала эксплуатации. Версия сервиса даёт known CVE. Баннер выдаёт конфигурацию. Anonymous FTP — готовые файлы. Неправильно настроенный SSH — вектор атаки.Неделя 2 серии «Сетевая разведка за 30 дней». Цель — VDS, где админ настроил SSH и FTP «как-нибудь, потом исправлю». Разбираемся, как читать сервисы, а не просто видеть порты.
Инструменты недели: nmap -sV со скриптами ftp-anon и ssh-auth-methods, ручной anonymous FTP, ssh-audit для анализа слабых алгоритмов, nc для сырого banner-grab, searchsploit для поиска CVE по баннеру.
Старт: 8 июня 20:00 МСК. Дедлайн: 14 июня 23:59 МСК. Антиспойлер: до дедлайна обсуждаем подходы, не команды. После — writeup'ы открыты.
SSH version banner отдаёт OS distribution — feature это или information disclosure? Разбираем в комментариях.Статья Аппаратный пентест IoT устройств: полное руководство по атакам на firmware и hardware-интерфейсы
В двух из трёх IoT-устройств UART-консоль отдаёт root shell без единого запроса пароля. Третье хотя бы спрашивает логин — admin:admin проходит с первой попытки. Это норма индустрии, а не результат поиска уязвимых образцов.Навигационный хаб по 12 материалам: UART/JTAG/SPI физический доступ, реверс-инжиниринг прошивок (binwalk, Ghidra, Firmwalker), эмуляция через QEMU и Firmadyne, методология OWASP ISTG, обход Secure Boot, харденинг и реверс UEFI, side-channel атаки (DPA, timing, EM), медицинское оборудование (DICOM), preauth RCE в Mongoose.
7 уровней атакующей поверхности: корпус, hardware-интерфейсы, микросхемы памяти, прошивка, сетевые сервисы, беспроводные протоколы, облачный backend. Decision tree выбора вектора — от UART до chip-off в зависимости от скоупа. Инструментарий с ценами: от 2 500 руб. для старта.
Bus Pirate стоит как два обеда в кафе. Проблема не в инструментах — в том, что индустрия пентеста выросла из софтверной традиции и не смотрит на...