Форум информационной безопасности - Codeby.net
Статья Обоснование инвестиций Zero Trust: метрики, формулы и аргументы для совета директоров
CFO спрашивает «покажите цифры» — IBM Cost of a Data Breach 2025 называет $4,44 млн средней стоимостью утечки. ROSI 92% и ALE-модель переводят Zero Trust из «архитектурной концепции» в строку бюджета.Статья разбирает два финансовых инструмента: ROSI = (ALE × снижение риска − TCO) / TCO × 100% и ALE = SLE × ARO. Для российских компаний SLE включает оборотные штрафы по ФЗ-420 — до 3% выручки за повторную утечку ПДн. Методология FAIR заменяет экспертные «высокий/средний» вероятностными распределениями.
Скрытые издержки периметровой модели — VPN-лицензии, разрастающиеся firewall-правила, простои при масштабировании — редко попадают в ИБ-бюджет, но реальны.
Совет директоров отклоняет Zero Trust не из-за цены — а потому что CISO не считает цену бездействия.Статья Пентест КИИ по требованиям 187-ФЗ: от разведки OT-сегментов до kill chain
Nmap с NSE-скриптом s7-info вернул модель, серийник и прошивку Siemens SIMATIC S7-300 за 12 секунд — прямо из корпоративного VLAN через неуправляемый коммутатор. Шесть месяцев категорирования по 187-ФЗ, три пересылки акта во ФСТЭК — и открытый маршрут до ПЛК теплоснабжающей подстанции.Разведка начинается пассивно: Shodan-запрос `port:502 country:RU` отдаёт открытый Modbus без единого пакета к цели, GitHub dorks
filename:plc_config вскрывают конфиги, а вакансии на hh.ru дают fingerprinting модели ПЛК ещё до начала работ — MITRE T1046 без касания периметра. Незначимый объект КИИ — без категории, без бюджета на защиту, зато с прямым маршрутом в OT.Статья EASM инструменты: сравнение Shodan, Censys, FOFA и Netlas для внешней разведки поверхности атаки
На пентесте финтех-компании FOFA нашла dev-стенд с Kibana без авторизации — Shodan и Censys промолчали. Netlas выдала VPN-шлюз с OpenSSL 1.0.2, которого не было у остальных. Четыре платформы, четыре уникальных результата.Параллельный ASN-поиск через Shodan, Censys, FOFA и Netlas дал 47/52/63/58 сервисов — но пересечение неполное. Shodan закрывает IoT/OT (Modbus, BACnet), Censys берёт CT-логи и облачные ресурсы AWS/GCP. FOFA и Netlas добавляют региональное покрытие. MITRE T1596.005 — scan databases — это не один инструмент, а пайплайн.
Через открытую Kibana за три часа собрана карта внутренней инфраструктуры: lateral movement сократился до двух переходов.
Ни одна платформа не закрывает recon в одиночку — уникальные находки есть у каждой.Статья Bcrypt взлом паролей: как утекают хэши с Dragonica и почему это проще, чем кажется
CTF-дамп Dragonica: 40 000 bcrypt-хэшей, cost factor 10, две RTX 3090 — и 1500 паролей за 14 часов. Этого хватает для credential stuffing на Steam и Discord.Типичный стек частного сервера — PHP 5.x, MySQL, phpMyAdmin без ограничений доступа. Fingerprinting через nmap -sV вскрывает открытый 3306 и /phpmyadmin/ за минуты. UNION-based SQLi в форме логина (T1190) — и таблица accounts с хэшами на экране. Дальше офлайн: Hashcat, rockyou плюс геймерский wordlist с мутациями.
Bcrypt держится на EksBlowfish и встроенной 128-битной соли — rainbow tables бесполезны, каждый хэш крекается индивидуально. Но cost factor 10 — дефолт Go и PHP — даёт лишь 1024 итерации.
4% от базы звучит ничтожно — но именно эти 1500 пар логин-пароль работают на сторонних сервисах.Статья Безопасность подключённых автомобилей: пентест мобильного приложения от реверса APK до удалённых команд
APK мобильного приложения MyAudi или NissanConnect — это вход в тот же backend, что управляет замками и двигателем. IDOR по VIN-номеру, захардкоженный client_secret в Retrofit-классе, deprecated /v1/ без rate limiting — и fleet-wide unlock реален.jadx декомпилирует APK за минуты: grep по https:// вскрывает карту OEM API, assets/ отдаёт конфигурационные JSON с APN-credentials. OAuth client_secret прямо в коде (T1552.001) позволяет генерировать токены в обход UI. Frida + objection ломают certificate pinning — кастомный хук на OkHttp CertificatePinner открывает трафик в Burp.
Три реалистичных сценария из публичных исследований Curry et al.
SOC смотрит на CAN-шину и IVI — атака идёт через Google Play APK и живой /v1/ endpoint без авторизации.Статья Анализ вредоносного ПО на Python: разбор стилера от распаковки до C2-адреса
Python-стилеры — 32% всех семейств 2024 года по IBM X-Force. BlankGrabber и XillenStealer упакованы PyInstaller, сливают Chromium-пароли, Discord-токены и крипто-кошельки через Telegram Bot API — и большинство разборов обрывается на VirusTotal.Полный цикл вскрытия: strings -a suspect.exe | grep -iE "MEIPASS|pyimod" подтверждает упаковщик, pyinstxtractor вытаскивает .pyc из overlay-секции с энтропией выше 7.5, pycdc декомпилирует байткод Python 3.9+ обратно в читаемый исходник.
Малварь детектируется по поведению на эндпоинте — но C2-адрес живёт только в байткоде, до первого сетевого запроса.