Кибербезопасность

По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.

SkyCitadel — самодельная зашифрованная экосистема. Прошу аудит и критику

  • 304
  • 0
🔥 Зашифровал всё — мессенджер, соцсеть, карты и музыку — и зовёт вас искать дыры.

Автор собрал SkyCitadel: цельную экосистему, где сообщения и посты шифруются AES-256-GCM прямо в браузере, звонки идут через WebRTC P2P со сквозным шифрованием, а сервер хранит только зашифрованные блобы и в глаза не видит контента.

Фронтенд — статический HTML, мастер-ключ отделён от базы. Проект в открытой бете, код скоро на GitHub.

💡 Разбор для тех, кто умеет ломать: где здесь слабые места в архитектуре и что реально стоит усилить?

Статья Backdoor атаки на LoRA адаптеры: токен-уровневая генерализация и методы обнаружения

  • 243
  • 0
Матрёшка разрезана пополам, внутри — узел нейросети из тёмной смолы с янтарным свечением. Вокруг осколки матриц, глубокие сине-серые тени.


🔥 25 отравленных примеров из 600 — и LoRA-адаптер тихо пропускает любую инъекцию по секретному триггеру.

Скачал адаптер с HuggingFace, слил с моделью, выкатил в прод — а внутри бэкдор: 100% attack success rate на триггере, 95% clean accuracy на чистых входах. Аудит весов? Почти никто не делает.

Разбираем механику на пальцах: переходная зона 15–25 примеров, почему бэкдор цепляется за один BPE-токен «RFC» (а на Llama — за «per»), и как его ловить — детекция по нормам Фробениуса за секунды на CPU + probe-батарея outlier_gap. Плюс каузальное патчирование: веса «кричат» про gate_proj, а реальный путь идёт через down_proj.

💡 Практический разбор supply chain атаки на цепочку поставок LLM — для тех, кто тянет чужие адаптеры в production.

Статья Поведенческая биометрия и непрерывная аутентификация: как это работает и как обойти

  • 217
  • 0
Ночная лаборатория: ноутбук с кодом перехвата нажатий клавиш и монитор с тепловой картой движений мыши в холодном сине-зелёном свечении экранов.


🔥 Сессию убили за 12 минут: как поведенческая биометрия ловит red team после взлома.

Украл session cookie, прошёл MFA — а движок behavioral analytics уже видит, что ритм скроллинга и траектории мыши не твои. Это защита, которая работает после initial access и которую не выключить через AMSI bypass.

Разбираем изнутри: cold start window, отравление профиля через behavioral drift, replay keystroke dynamics — и где реально слепы BioCatch, TypingDNA и BehavioSec.

💡 Практический разбор для пентестеров и red team-операторов, которые работают за пределами экрана логина.

Статья FUXA SCADA уязвимость RCE: обход Secure Mode через path confusion

  • 218
  • 0
Разрезанный промышленный шаровой кран на чёрном антистатическом коврике с обнажённым внутренним механизмом. На латунном фланце выгравирована надпись CVE-2025-69985.


🧨 FUXA SCADA до 1.3.2 даёт pre-auth RCE через три разных вектора: Referer spoofing на /api/runscript (CVE-2025-69985), path traversal в /api/upload (CVE-2026-25895) и path confusion с query string — каждый патч рождал новый обход Secure Mode.

Open-source SCADA на Node.js/Express, которую поднимают одной командой docker run и забывают. Middleware secureFnc применяется неконсистентно: /api/settings и /api/upload торчат без JWT-проверки. Hardcoded JWT secret (CVE-2026-25894, CVSS 9.5) позволяет сгенерировать токен администратора, не зная пароля.

💡 Secure Mode FUXA — декларация: Windows Event Log молчит, пока Node.js исполняет произвольный JS на промышленном хосте.

Статья CVE-2026-28318: неаутентифицированный DoS в SolarWinds Serv-U через Content-Encoding: deflate

  • 172
  • 0
Стеклянный сосуд под давлением с трещиной, из которой вырывается сжатый воздух. На поверхности выгравирована надпись «CVE-2026-28318 · DEFLATE DoS», внутри тлеет красное свечение.


🚨 CVE-2026-28318 в SolarWinds Serv-U: один POST с Content-Encoding: deflate роняет MFT-сервис без аутентификации. CISA KEV, активная эксплуатация in the wild, дедлайн патча — 14 дней. EPSS 0.1066, Top 5%.

Механика — heap corruption через invalid free(): декомпрессор получает тело запроса, выполняет free() на interior pointer, hardened allocator фиксирует повреждение кучи и крашит весь процесс Serv-U мгновенно. Тело может быть любым мусором — валидный deflate не нужен. MITRE T1499.004 + T1190, CVSS AV:N/AC:L/PR:N/UI:N/A:H.

DoS на MFT-сервере в финансах или медицине — не просто даунтайм. Пока SOC разгребает упавший сервис, атакующий работает по параллельному вектору.

💡 Крэш от invalid free невидим в CPU/RAM-метриках — процесс исчезает мгновенно, без роста ресурсов.

Статья CVE-2026-0257 Palo Alto GlobalProtect: bypass VPN-аутентификации и эскалация severity за 16 дней

  • 294
  • 0
Крупный план вскрытого межсетевого экрана с выжженным чипом аутентификации и вздутыми следами пайки. Красный светодиод статуса VPN светится в темноте под лучом лампы.


🔐 CVE-2026-0257 в Palo Alto GlobalProtect: cookie forgery без пароля, без MFA, без credentials — EPSS 0.87 за 16 дней. 13 мая — бэклог, 29 мая — CISA KEV и CVSS 7.8 urgency:Red.

Атака строится на CWE-565: auth override cookie шифруется публичным ключом HTTPS-сертификата портала. Любой достаёт его через openssl s_client -connect target:443, подделывает cookie с username=admin — шлюз расшифровывает, не проверяет HMAC, авторизует. T1190 → T1078 → T1133, полный initial access без единого пароля.

Детектировать сложно — SIEM видит валидный логин с валидным cookie. Проверь: auth override cookies включены? Сертификат совпадает с HTTPS?

💡 SOC ищет credential stuffing — CVE-2026-0257 не крадёт credentials вообще. Windows Event Log чист.

Статья Защита от ransomware для малого бизнеса: от вектора атаки до detection-правила

  • 363
  • 0
Криминалистический стол с разобранным сетевым устройством на чёрном мате. Руки в перчатках держат щуп у повреждённой платы, на дисплее — текст об уязвимости.


🧨 Сервисная учётка Veeam с правами локального админа — и ransomware зашифровал репозиторий вместе с production. 80 хостов, 11 дней простоя, ущерб в четыре раза выше суммы выкупа.

Akira, Qilin и Play целенаправленно выбирают SMB: RDP без MFA, один сисадмин, нет EDR. CVE-2024-40766 (SonicWall, CVSS 9.8) и CVE-2025-5777 (Citrix NetScaler, CVSS 9.3) — оба в CISA KEV с пометкой ransomware, оба стандартный периметр российского SMB. После T1078 lateral movement через легитимные инструменты — SIEM молчит.

Detection-стек без бюджета: Sysmon (конфиг SwiftOnSecurity) + Wazuh.

💡 Ransomware давно не ломает периметр — он заходит через валидные учётки, которые SOC считает нормой.

Статья Защита от ransomware 2026: полный разбор тактик, Recovery Denial и оборона backup-инфраструктуры

  • 366
  • 0
Резервный NAS-накопитель на тёмном антистатическом коврике с красным OLED-дисплеем, отображающим системные предупреждения. Отключённый кабель уходит в тень, янтарный свет скользит по матовому метал...


🔍 57% организаций узнают о компрометации извне. А когда обнаруживают сами — бэкапы уже мертвы. VSS удалены, агенты Veeam остановлены, каталоги зашифрованы за сутки до удара.

Ransomware 2026 — это не шифрование "в лоб", а многоэтапная операция. Initial access через стилер-логи за $500, lateral movement до domain admin, Discovery backup-инфраструктуры, Recovery Denial (удаление VSS, остановка агентов), и только потом encryption. Dwell time сжался до 11 дней, а Akira и Medusa укладываются в 60 минут.

Защита — это не prevention, а recovery. Правило 3-2-1-1-0, immutable storage, air-gap, detection pre-ransomware активности (NTDS dump, backup discovery, vssadmin).

💡 100% инцидентов с выплатой выкупа объединяет одно — неработающее восстановление. Backup — это security-функция, а не IT-операционка.

Статья Защита от вредоносных расширений браузера: Chrome Enterprise политики, allowlisting и detection в SIEM

  • 346
  • 0
Распечатка матрицы MITRE ATT&CK на плотной бумаге с выделенной синим маркером техникой T1176. Рядом лежит перьевая ручка, латунный пресс-папье отбрасывает мягкую тень.


🧩 24 декабря 2024 года расширение Cyberhaven (400 000 установок) получило вредоносное обновление 24.10.4 — OAuth-фишинг обошёл MFA, C2 на cyberhavenext[.]pro сливал Facebook Ads cookies. EDR не сгенерировал ни одного алерта.

Расширение работало внутри легитимного chrome.exe — для EDR и файрвола это просто браузер, ходящий в интернет. MITRE T1176 (Browser Extensions): persistence без отдельного процесса, exfiltration через HTTPS, нулевых событий process start в Windows Event Log.

Защита строится на Chrome Enterprise GPO: ExtensionInstallBlocklist = *, явный allowlist по 32-символьным ID, ExtensionSettings с version pinning.

💡 Allowlist не спасает: Cyberhaven был в нём. Version pinning в ExtensionSettings — единственный контроль над supply chain расширений.

Статья Manifest V3 и безопасность расширений Chrome: что мониторить, как детектить и где MV3 не спасает

  • 371
  • 0
Распечатанный файл манифеста на кремовой бумаге с кодом и пометками чернилами. Рядом лежит открытая перьевая ручка, мягкий дневной свет падает слева.


🧩 Cyberhaven версия 24.10.4 с троянизированными worker.js и content.js скомпрометировала 2,6 млн пользователей — и все расширения работали на «безопасном» Manifest V3.

OAuth-токен разработчика перехвачен фишингом, вредоносная версия опубликована в Chrome Web Store. Content.js инжектировался через «matches»: «all_urls» с document_start — собирал cookie и сессии. MV3 не заблокировал ни один этап: webRequest остался read-only, но наблюдает за URL и телами запросов, content scripts работают как прежде, declarativeNetRequest допускает 30 000 динамических правил в рантайме.

💡 EDR молчит — расширение легитимный insider. MV3 убрал eval, но сохранил все data-access API.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 743
Сообщения
347 142
Пользователи
161 542
Новый пользователь
АлександрПантюхин