Форум информационной безопасности - Codeby.net
Статья Детальный разбор цифровых подписей РЕ-файлов
В PE-файле цифровая подпись хранится как оверлей после всех секций в структуре WIN_CERTIFICATE — PKCS#7-контейнер с цепочкой доверия от корневого CA до разработчика. 25 КБ данных, которые большинство утилит показывают лишь поверхностно.Разбор изнутри: формат ASN.1 TLV (Type-Length-Value), теги типов данных, BigEndian-размеры блоков, OID-идентификаторы объектов. Структура SignedData по PKCS#7: version, digestAlgorithms, encapContentInfo, certificateSet, signerInfos. Разница между RSA encryption и RSA_signing, почему ECDSA-256 вытесняет RSA в современных сертификатах.
CVE-2013-3900: запись Security в IMAGE_DATA_DIRECTORY исключается из хэша — размер можно изменить. Как включить строгую валидацию через реестр HKLM\Software\Microsoft\Cryptography\Config. Практика: парсер на FASM читает сертификат и выводит поля в ListView.
Расценки на сертификаты: EV от $350/год у Sectigo, подпись драйверов через Microsoft Partner Center — бесплатно.Статья Форензика macOS: артефакты, которые сдают пентестера — Unified Log, FSEvents, Spotlight, Keychain и APFS-снапшоты
macOS молча пишет досье на каждого пентестера: Unified Log фиксирует обращения к Keychain с наносекундной точностью, FSEvents сохраняет путь удалённого payload, а APFS-снапшоты воскрешают файлы, которые атакующий считал уничтоженными.Kill chain читается по четырём источникам без единого EDR-агента. `log show --predicate 'subsystem == "com.apple.securityd"'` — и вся цепочка Keychain-запросов на экране. FSEventsParser (Nicole Ibrahim) достаёт из `/.fseventsd/` хронологию каждого `cp` в `/Volumes/`, даже после rm. Spotlight-индекс в `/private/var/folders/` хранит метаданные файлов спустя недели после удаления.
Red team удаляет файлы — FSEvents хранит путь. APFS-снапшот хранит содержимое. macOS забывает медленнее, чем думает атакующий.Статья Пентест АСУ ТП: kill chain от корпоративной сети до регистров контроллера
За 14 часов — от корпоративной сети до holding-регистров ПЛК нефтехимии: три DMZ-прыжка, забытая VPN-учётка инженера и шлюз с паролем из трёх символов. Ни одного алерта.Kill chain стартует с Shodan: `port:502 country:RU` отдаёт Modbus-устройства, `product:"Schneider Electric"` — конкретные вендоры. Nmap с `-sT -T2 --max-retries 1` и скриптами `modbus-discover, s7-info` даёт fingerprint без зависания S7-300. Дальше — FC03 (Read Holding Registers) и FC06 (Write Single Register) через порт 502/TCP без какой-либо аутентификации.
Evasion строится не на обходе EDR-хуков, а на мимикрии под легитимный HMI-опрос — Claroty и Nozomi работают по baseline аномалий.
IT-SOC смотрит в Windows Event Log — Sandworm и XENOTIME идут через OT напрямую, минуя эндпоинты.Статья Обоснование инвестиций Zero Trust: метрики, формулы и аргументы для совета директоров
CFO спрашивает «покажите цифры» — IBM Cost of a Data Breach 2025 называет $4,44 млн средней стоимостью утечки. ROSI 92% и ALE-модель переводят Zero Trust из «архитектурной концепции» в строку бюджета.Статья разбирает два финансовых инструмента: ROSI = (ALE × снижение риска − TCO) / TCO × 100% и ALE = SLE × ARO. Для российских компаний SLE включает оборотные штрафы по ФЗ-420 — до 3% выручки за повторную утечку ПДн. Методология FAIR заменяет экспертные «высокий/средний» вероятностными распределениями.
Скрытые издержки периметровой модели — VPN-лицензии, разрастающиеся firewall-правила, простои при масштабировании — редко попадают в ИБ-бюджет, но реальны.
Совет директоров отклоняет Zero Trust не из-за цены — а потому что CISO не считает цену бездействия.Статья Пентест КИИ по требованиям 187-ФЗ: от разведки OT-сегментов до kill chain
Nmap с NSE-скриптом s7-info вернул модель, серийник и прошивку Siemens SIMATIC S7-300 за 12 секунд — прямо из корпоративного VLAN через неуправляемый коммутатор. Шесть месяцев категорирования по 187-ФЗ, три пересылки акта во ФСТЭК — и открытый маршрут до ПЛК теплоснабжающей подстанции.Разведка начинается пассивно: Shodan-запрос `port:502 country:RU` отдаёт открытый Modbus без единого пакета к цели, GitHub dorks
filename:plc_config вскрывают конфиги, а вакансии на hh.ru дают fingerprinting модели ПЛК ещё до начала работ — MITRE T1046 без касания периметра. Незначимый объект КИИ — без категории, без бюджета на защиту, зато с прямым маршрутом в OT.Статья EASM инструменты: сравнение Shodan, Censys, FOFA и Netlas для внешней разведки поверхности атаки
На пентесте финтех-компании FOFA нашла dev-стенд с Kibana без авторизации — Shodan и Censys промолчали. Netlas выдала VPN-шлюз с OpenSSL 1.0.2, которого не было у остальных. Четыре платформы, четыре уникальных результата.Параллельный ASN-поиск через Shodan, Censys, FOFA и Netlas дал 47/52/63/58 сервисов — но пересечение неполное. Shodan закрывает IoT/OT (Modbus, BACnet), Censys берёт CT-логи и облачные ресурсы AWS/GCP. FOFA и Netlas добавляют региональное покрытие. MITRE T1596.005 — scan databases — это не один инструмент, а пайплайн.
Через открытую Kibana за три часа собрана карта внутренней инфраструктуры: lateral movement сократился до двух переходов.
Ни одна платформа не закрывает recon в одиночку — уникальные находки есть у каждой.