Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Workload Identity в Kubernetes: SPIFFE/SPIRE, pod identity и отказ от long-lived credentials
SSRF в микросервисе дёрнул IMDS на 169.254.163.254, атакующий вытащил IAM-ключ из метаданных EC2, за 47 минут выгрузил клиентские данные из S3. Ключ создан 14 месяцев назад и ни разу не ротировался. Проблема не в SSRF — в статичном IAM-ключе, которому не было причин существовать.SPIFFE/SPIRE: вместо секретов каждый workload получает X.509-сертификат с TTL 1 час через аттестацию окружения. IRSA на AWS, GKE Workload Identity, Entra Workload ID — нативные механизмы привязки ServiceAccount к IAM-роли без AKIA*-ключей в env-переменных. IMDSv2 с hop limit = 1 закрывает доступ к IMDS из подов без hostNetwork.
Detection в SIEM: baseline маппингов SA → IAM Role через kubectl + jq, burst запросов к STS (10+ за минуту от одного пода), Falco-правило на connect() к 169.254.163.254. Attack paths при workload identity: T1611 escape to host, T1098.006 новый ClusterRoleBinding, JWT-SVID replay за окно TTL.
Short-lived credentials...Статья Session hijacking атаки JWT токены: от перехвата до detection в SIEM
PAT, слитый в историю чата ChatGPT, оставался валидным месяцами и давал admin-доступ к production-репозиториям нескольких организаций. Два API-вызова — и весь периметр замаппирован. Без единой записи в аудит-логе.JWT none algorithm: алг подменяется на none, подпись удаляется — legacy-библиотеки принимают. Key confusion RS256→HS256: публичный ключ RSA как HMAC-секрет. Hashcat -m 16500 на слабом секрете — 4 секунды до генерации произвольных токенов с role: admin. AITM-прокси (Evilginx) перехватывает session cookie после легитимного MFA — Conditional Access Policies не спасают.
Таблица behavioral detection: impossible travel HIGH, refresh token reuse CRITICAL, velocity anomaly HIGH, User-Agent switch MEDIUM. Псевдоправило корреляции для любого SIEM. Hardening-чеклист из девяти пунктов с готовой строкой Set-Cookie с HttpOnly, Secure, SameSite=Strict.
Восемь техник ATT&CK — восемь точек где нужны правила. Большинство SOC покрывают две-три.Статья Malware разработка на Rust: стелс-агент для red team, обход EDR и сравнение с C++
Функционально идентичный шеллкод-лоадер: 71.7 КБ на C и 151.5 КБ на Rust. Бинарь вырос вдвое — детект упал. Ghidra превращает Rust-код в нечитаемое месиво: monomorphization, ownership-модель, pattern matching ломают привычные паттерны статического анализа.OPSEC-конфигурация Cargo.toml: opt-level = "z", LTO, strip = true, panic = "abort". Флаги nightly: location-detail=none убирает пути к файлам, fmt-debug=none исключает Debug-имена типов, build-std пересобирает std без строк. Шифрование строк в compile-time через str_crypter — URL C2 невидим для FLARE-FLOSS. C-style enum с transmute вместо serde — ни одного строкового литерала поля структуры в бинаре.
Что Rust реально меняет: сигнатурный match с известными семействами и время ручного triage аналитика. Что не меняет: VirtualProtect+CreateThread детектируется одинаково на любом языке. Против ETW-TI в Elastic 8.x+ переписывание на Rust ничего не даёт.
Агент, падающий из-за use-after-free на третью неделю операции, обходится...Статья Разработка расширений Burp Suite на Python и Java: автоматизация пентеста веб-приложений
API финтех-сервиса требовал HMAC-подпись в каждом запросе — тело, timestamp, сессионный секрет. Ни один BApp Store-плагин не поддерживал схему. Два часа на кастомное расширение с автопереподписью сэкономили неделю ручной возни с Postman.Montoya API против legacy Extender API: PortSwigger прекратил поддержку IBurpExtender и IScannerCheck — все русскоязычные гайды на Хабре устарели. Единая точка входа MontoyaApi с 24 методами: http(), proxy(), scanner(), ai(). Immutable-объекты запросов через withUpdatedHeader() исключают race condition при параллельном Intruder.
Java 21 + Gradle стартовый проект из Burp → Extension.java → ./gradlew jar → загрузка JAR. HttpHandler перехватывает исходящие запросы, вычисляет HMAC через javax.crypto.Mac и добавляет заголовок X-Signature прозрачно для Repeater и Intruder. Python через Jython — Python 2.7 в 2025 году, только для одноразовых скриптов.
Команда с кастомными сканерами под типовые мисконфигурации закрывает...Статья Side-channel атаки на практике: power analysis, timing attacks и electromagnetic emanation для пентестера
На пентесте IoT-шлюза UART и JTAG залочены, прошивка зашифрована AES-128. Единственный путь к ключу — дифференциальный анализ мощности: 50 000 трейсов с ChipWhisperer Lite, четыре часа захвата — все 128 бит восстановлены без знания внутренней архитектуры чипа.DPA на AES: N plaintext-входов → трейсы потребления → корреляция Пирсона гипотезы о байте ключа с Hamming weight выхода S-box → побайтовое восстановление. STM32F3 без контрмер — 10 000 трейсов. SPA на RSA через square-and-multiply: один трейс и приватный ключ виден визуально по паттернам потребления. Timing attack через memcmp с ранним выходом: 1 000+ измерений на байт в локальной сети вытягивают сигнал из джиттера.
Decision tree: JTAG открыт → OpenOCD, UART есть → binwalk, интерфейсы залочены + plaintext контролируется → DPA, физический доступ без резки цепей → EM-анализ. ChipWhisperer-Nano ($50) + STM32 Nucleo ($15) + бесплатные Jupyter notebooks — стенд для старта.
Masking 1-го порядка...Статья Отключить NTLMv1 через GPO — и всё равно увидеть его в pcap: обход LmCompatibilityLevel и аудит legacy-трафика
Домен на Windows Server 2019, GPO LmCompatibilityLevel = 5, NTLMv1 «отключён три года назад». Через двадцать минут Responder в серверном VLAN — NetNTLMv1-хеш от сервисной учётки. Legacy-приложение на IIS запрашивало NTLMv1 через собственные флаги, игнорируя GPO.Архитектурная проблема AD: LmCompatibilityLevel управляет поведением Windows-машины как прямого участника аутентификации, но не контролирует, что DC получает через MS-NRPC для валидации. Исследование Silverfort (январь 2025): on-prem приложения могут принудительно запрашивать NTLMv1 у клиентов, обходя политику. Server 2025 убирает NTLMv1 из ОС, но DC на 2025 по-прежнему валидирует его через Netlogon.
PowerShell-запрос Event ID 4624 со всех DC за неделю с фильтром NTLM V1. Wireshark-фильтры для определения версии по длине NTLM Response. NTLM relay: в NTLMv1 нет AV_PAIRS привязки к серверу — relay тривиален в отличие от NTLMv2.
Responder -A в режиме анализа за сутки покажет реальную картину NTLMv1 в сети — и она...Статья Пентест IoT-устройств: от разведки и разборки до эксплуатации по OWASP ISTG
На трёх последних IoT-проектах — в двух случаях из трёх root-шелл через UART без единого запроса пароля. Третье устройство запросило логин: admin:admin прошёл сразу. Открытый отладочный интерфейс в продакшне — не баг, а состояние индустрии.OWASP ISTG: компонентная модель IoT по двум осям — физический доступ (PA-1 удалённый до PA-4 инвазивный) и авторизация (AA-1 анонимный до AA-4 root). Аппаратный пентест: поиск UART по PCB мультиметром, определение baud rate логическим анализатором, screen /dev/ttyUSB0 115200 — и лог загрузки ядра Linux с шеллом. JTAG через JTAGulator + OpenOCD. Дамп флеш-чипа через CH341A + flashrom.
Binwalk для извлечения SquashFS, firmwalker для поиска credentials в прошивке, MQTT без аутентификации — mosquitto_sub -t '#' показывает все сообщения всех устройств. Decision tree выбора вектора: физический доступ → UART, нет доступа → сетевой уровень + прошивка с сайта вендора.
UART-шелл за 15 минут...