Форум информационной безопасности - Codeby.net
Статья Защита от инсайдерских угроз: access review, offboarding и политики ИБ на практике
Аккаунт уволенного 11 месяцев назад — с доступом к финансовым отчётам через SharePoint и действующим VPN-сертификатом. HR закрыл заявку в день ухода, IT получил тикет через неделю, IAM-команда не узнала вообще.Типовой kill chain инсайдера не требует эксплойтов: T1078 (Valid Accounts) даёт initial access бесплатно, T1213 — навигацию по SharePoint и Confluence без единого алерта, T1567.002 — эксфильтрацию через облако. BloodHound за первый час находит вложенные AD-группы с membership от пяти реорганизаций, а группы `all-employees-full-access` в Okta живут годами.
EDR молчит — инсайдер использует легитимные права. Окно в 11 месяцев закрывает только IAM, не SIEM.Статья Secrets scanning масштабирование организации: оркестрация пайплайнов, покрытие источников и валидация
Gitleaks на монорепо с 480 сервисами вернул 14 000 алертов — реальных секретов оказалось 340. Три дня ручного разбора, и security-чемпионы перестали смотреть на дашборд вообще. Вот архитектура, которая режет шум в 40 раз.Трёхслойная оркестрация: detect-secrets как pre-commit hook проверяет только diff за миллисекунды, TruffleHog v3 с флагом --only-verified на PR-этапе валидирует секреты через AWS IAM и GitHub API, scheduled deep scan прогоняет полную git-историю по расписанию. Каждый слой — своя скорость и глубина.
Покрытие выходит за пределы кода: CI/CD-переменные, Terraform и CloudFormation, Confluence, Jira, Slack.
Alert fatigue убивает программу secrets scanning быстрее, чем отсутствие сканера — без валидации через API инструмент просто замолкает.Статья PhoneInfoga установка и запуск: пошаговое руководство для Windows, Linux и Android
PhoneInfoga v2.x на Go автоматизирует OSINT по утёкшим номерам: оператор, тип линии, Google-дорки, привязанные соцсети — всё по одной команде. 14 млн номеров из утечки Free (2024) ждут своих аналитиков.Инструмент закрывает MITRE T1593.002, T1596.002 и T1589.002 на этапе Reconnaissance — от поиска через Search Engines до пассивного DNS. Результаты передаются в Maltego или theHarvester для граф-анализа и раскрутки email-адресов.
Установка на Linux — curl-скрипт + `sudo install ./phoneinfoga /usr/local/bin/`. Windows — нативный .exe без зависимостей, Defender блокирует по эвристике: добавьте в исключения. Android — Termux + proot-distro, root не нужен.
Все русскоязычные гайды ссылаются на мёртвую Python-версию. Видите `pip install -r requirements.txt` — закрывайте.Статья OSINT по номеру телефона: инструменты и методики поиска информации в 2026 году
PhoneInfoga вытащила полный цифровой профиль за 4 часа — ФИО, три соцсети, корпоративный email — из единственной зацепки: мобильного номера в переписке мессенджера.Номер телефона — pivot-элемент OSINT по MITRE T1589/T1593: он связывает WhatsApp, Telegram, VK, Avito и базы утечек в одну точку. PhoneInfoga определяет оператора и регион через реестр Минцифры, затем пробивает номер по Have I Been Pwned — утечка Facebook 2019 года содержит 509 млн записей с геолокацией.
Google-дорки по шаблону site:avito.ru «+79XXXXXXXXX» поднимают объявления из кеша — номер, опубликованный в 2019-м, до сих пор индексируется.
Аналитики проверяют email — но номер телефона живёт годами и тянет за собой весь цифровой след.Статья OSINT разведка атакуемой поверхности автопроизводителей: Shodan, Censys и CT-логи на практике
Red team запросил CT-логи автопроизводителя — crt.sh вернул 400+ субдоменов за 20 минут: staging OTA-сервис, дилерский портал с Basic Auth, два API-шлюза телематики. Половины не было в asset inventory заказчика. Ноль пакетов в сторону цели.Разведка строится последовательно: crt.sh (T1596.003) даёт субдомены через wildcard-запрос с jq-парсингом, Shodan — баннеры и порты по org/ASN-фильтрам, Censys — корреляцию сертификатов с бизнес-юнитами. Automotive-инфраструктура особенно уязвима: заводы, дилерские сети, OTA, телематика, fleet management — каждый юнит заказывал сертификаты годами без единого реестра.
Asset inventory заказчика покрывал меньше половины реальной поверхности — CT-логи знают больше, чем CISO.Статья Защита смартфона от слежки: GrapheneOS, Lockdown Mode и мобильный харденинг для высокорисковых пользователей
CVE-2021-30860 (FORCEDENTRY) — zero-click через iMessage: жертва не нажала ничего, Pegasus уже внутри. GrapheneOS и Lockdown Mode — не паранойя, а инженерный ответ на Cellebrite, Predator и QuaDream.NSO Group, Intellexa, QuaDream — задокументированные вендоры с прайс-листами. FORCEDENTRY эксплуатировал integer overflow в CoreGraphics через JBIG2-PDF, замаскированные под .gif в iMessage. Работало на полностью обновлённых iPhone без единого клика пользователя.
GrapheneOS отвечает hardened_malloc против heap corruption, MTE на Pixel 8+, Duress PIN с уничтожением ключей в Titan M2 и USB-silence в BFU-состоянии.
MDM проверяет версию ОС — Cellebrite вытащит keychain и удалённые сообщения при физическом изъятии.Статья Картирование внешней атакуемой поверхности организации: Passive DNS, CT-логи и охота на Shadow IT
На pre-engagement пентесте crt.sh вернул 47 субдоменов — ИТ-отдел знал о 28. В оставшихся 19: Jenkins без авторизации, staging ERP и dev-среды с истёкшими сертификатами. Ни одного актива в CMDB.Passive DNS (T1596.001) и CT-логи по RFC 6962 раскрывают то, что активный скан пропустит: удалённые записи, облачные хвосты, shadow IT. Subfinder агрегирует passive DNS из десятков источников, dnsx резолвит массово, crt.sh через jq выдаёт все SAN — включая internal-tools и staging-домены.
Blue team закрывает dangling DNS — вектор subdomain takeover. NIST CSF 2.0 ID.AM-01 требует непрерывного мониторинга активов.
DNS brute-force зависит от словаря. CT покрывает каждое имя, для которого выписывался сертификат — разница принципиальная.Статья Обнаружение Shadow IT при пентесте: от забытого поддомена до initial access
Jenkins без аутентификации на ci-old.client.tld — и за два часа reverse shell во внутреннюю сеть финтех-компании. Сервер развернули три года назад, забыли выключить, в реестре активов его не существовало.Атакующий мыслит внешней поверхностью атаки, а не CMDB. Certificate Transparency логи через crt.sh, passive DNS в SecurityTrails и favicon-хеш в Shodan (`http.favicon.hash`) — три слоя разведки, которые вскрывают поддомены вроде dev-api, old-admin, test-2021 до первого пакета к цели. MITRE T1596 и T1590 в чистом виде.
Shadow-активы почти никогда не накрыты WAF, EDR-агентом или SIEM.
Сканер уязвимостей не найдёт то, чего нет в инвентаре. Shadow IT живёт именно там.