Forwarded from CyberED
Привет, это команда Standoff 365! 💬
Мы захватили канал CyberED и с 26 по 31 января будем говорить о багбаунти: как начать, как искать баги и как зарабатывать на уязвимостях.
Будет много практики и честного опыта — оставайтесь с нами, чтобы узнать больше о секретах успешного участия в программах багбаунти.
В постах ты найдешь ответы на вопросы:
↘️ что такое багбаунти и с чего начать багхантинг
↘️ как выбрать программу новичку
↘️ какими инструментами пользоваться багхантеру на старте
↘️ какие уязвимости были самыми популярными в 2025 году
↘️ как написать отчет, который принесет баунти
↘️ как применять ИИ в багхантинге
↘️ как зарабатывать и расти в багбаунти
Оставайся с нами и следи за обновлениями канала! Тут будет интересно🔥
👾 Пост подготовлен командой Standoff Bug Bounty | Standoff 365 | Standoff Bug Bounty Tips
Мы захватили канал CyberED и с 26 по 31 января будем говорить о багбаунти: как начать, как искать баги и как зарабатывать на уязвимостях.
Будет много практики и честного опыта — оставайтесь с нами, чтобы узнать больше о секретах успешного участия в программах багбаунти.
В постах ты найдешь ответы на вопросы:
Оставайся с нами и следи за обновлениями канала! Тут будет интересно
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🤡4🔥1
Куда развиваться дальше? 🧭
В прошлой статье я поднял вопрос о том, куда развиваться исследователю в ближайшие годы.
Есть один повторяющийся сценарий, который я наблюдаю в индустрии годами:
1. Человек за 3-5 лет в области накапливает критическую массу знаний, которую рынок уже готов оплачивать.
2. В этот момент он начинает видеть рынок целиком и понимает, что потолок рядом.
3. Как эксперт (пентестер / расследователь / инженер) ты упираешься в вилку: 400-600-800 тыс. руб. И выше, как правило, не прыгнуть, если не перейти в другой сегмент.
А следующий сегмент чаще всего выглядит как развилка:
* Переход в менеджмент - самое простое и понятное. Но для эксперта это часто ощущается как "продать душу дьяволу за бабки", потому что начинаешь обслуживать бизнес-интересы, а не копать в глубину.
* Консалтинг/часовая ставка - можно удвоить ставку, но потолок все равно 24 часа в сутках.
* Премиум-экспертиза - так было с безопасностью телекома, потом облаков, затем умных авто. Узко, больно, но востребовано у крупных игроков.
Про предпринимательство не говорю - это для ебанутых 😄
И вот прямо сейчас я вижу похожую зарождающуюся нишу, которую рекомендую рассмотреть тем, кто стоит на развилке: безопасность интеграции GAI в среду 🔐🤖
Важно: Не "как защитить модель от poisoning'а", а как выстроить Zero Trust к любому GenAI/Agent в корпоративной экосистеме.
Компании массово встраивают GAI в процессы (боты, агенты, copilot'ы), и у них появляется новая поверхность атаки:
* данные уходят не туда
* агент делает лишнее
* модель становится "входом" во внутренние системы
* политики и контуры ломаются на интеграции
Об этом уже говорят и думают:
- Google - link
- Amazon - link
- Microsoft - link
Что прокачивать тем, кому стало интересно:
✔️ threat modeling для LLM/agents (не про "промпты", а про интеграции)
✔️ data governance / DLP / контуры доступа
✔️ IAM / OAuth / service-to-service auth (агенты = новые сервисы)
✔️ logging/monitoring для agentic workflows
✔️ policy-as-code / guardrails / sandboxing
В прошлой статье я поднял вопрос о том, куда развиваться исследователю в ближайшие годы.
Есть один повторяющийся сценарий, который я наблюдаю в индустрии годами:
1. Человек за 3-5 лет в области накапливает критическую массу знаний, которую рынок уже готов оплачивать.
2. В этот момент он начинает видеть рынок целиком и понимает, что потолок рядом.
3. Как эксперт (пентестер / расследователь / инженер) ты упираешься в вилку: 400-600-800 тыс. руб. И выше, как правило, не прыгнуть, если не перейти в другой сегмент.
А следующий сегмент чаще всего выглядит как развилка:
* Переход в менеджмент - самое простое и понятное. Но для эксперта это часто ощущается как "продать душу дьяволу за бабки", потому что начинаешь обслуживать бизнес-интересы, а не копать в глубину.
* Консалтинг/часовая ставка - можно удвоить ставку, но потолок все равно 24 часа в сутках.
* Премиум-экспертиза - так было с безопасностью телекома, потом облаков, затем умных авто. Узко, больно, но востребовано у крупных игроков.
И вот прямо сейчас я вижу похожую зарождающуюся нишу, которую рекомендую рассмотреть тем, кто стоит на развилке: безопасность интеграции GAI в среду 🔐🤖
Важно: Не "как защитить модель от poisoning'а", а как выстроить Zero Trust к любому GenAI/Agent в корпоративной экосистеме.
Компании массово встраивают GAI в процессы (боты, агенты, copilot'ы), и у них появляется новая поверхность атаки:
* данные уходят не туда
* агент делает лишнее
* модель становится "входом" во внутренние системы
* политики и контуры ломаются на интеграции
Об этом уже говорят и думают:
- Google - link
- Amazon - link
- Microsoft - link
Что прокачивать тем, кому стало интересно:
Please open Telegram to view this post
VIEW IN TELEGRAM
4🤡10🔥7❤4💯3
Forwarded from Будни пентестера | Singleton Security
Гайд по подготовке инфраструктуры для фишинга
Наш спец по анализу защищённости внутренней инфраструктуры bugaga поделился в статье шагами и инструментами для подготовки фишинговой рассылки в ходе пентеста.
Смотреть подробности и результаты кейса
Наш спец по анализу защищённости внутренней инфраструктуры bugaga поделился в статье шагами и инструментами для подготовки фишинговой рассылки в ходе пентеста.
Смотреть подробности и результаты кейса
❤9🔥7👍5🤡3
Полезности 🧰
Надо же вас чем-то радовать!
Я периодически лениво анализирую новости, разгребая горы мусора и цепляясь за что-то интересное.
И вот одна штука, которую я системно замечаю, сподвигла меня на этот пост: эксплуатация уязвимостей WinRAR.
"Ha-ha classic.." - звучит в моей голове, когда я про это читаю.
Но, понятное дело, проблема масштабнее.
В компаниях море подобного бесплатного ПО, которое лезет в организацию как паразиты или сорняки. И большая часть этого софта становится ключевыми звеньями в будущей цепочке вектора атаки.
Подготовил список такого ПО.
Если что-то из этого есть в вашей организации - плохие новости, у вас завелись "паразиты" 🪲
1. Архиваторы и файловые менеджеры
WinRAR, 7-Zip, WinZip, Total Commander
Сценарий простой: сотрудник открывает архив из письма или с файлообменника - и привет RCE/запуск мусора в контексте пользователя. Плюс любят цеплять левые плагины и расширения.
2. PDF-просмотрщики
Adobe Reader, Foxit Reader, SumatraPDF, встроенные viewer'ы в браузерах
Достаточно открыть PDF "с договором" - и уязвимость в рендеринге дает выполнение кода или слив данных. Плюс PDF идеален для фишинга: выглядит безопасно, а внутри сюрпризы.
3. Office-пакеты и редакторы документов
LibreOffice, OpenOffice, WPS Office, OnlyOffice
Документ "с таблицей" или "ТЗ от подрядчика" - и дальше макросы, эксплойт в парсере, внешние ссылки на шаблоны. Итог: запуск полезной нагрузки или кража учеток.
4. Текстовые редакторы и IDE + плагины
Notepad++, VS Code, Sublime Text, JetBrains IDE, плагины и расширения
Тут два хода: либо зараженный проект/файлы, либо вредоносный плагин. Дальше забирают токены, ключи, куки, доступы к репам и CI, а потом из dev-машины летят в прод.
5. Почтовые серверы и веб-почта
Postfix, Exim, Dovecot, Roundcube, Zimbra
Обычно эксплуатят старые версии и кривые конфиги. Достаточно уязвимости в вебморде или обработке письма - и получаем доступ к ящику/серверу, а дальше фишинг уже "изнутри".
6. Веб-серверы и админ-панели
Apache, Nginx, IIS, phpMyAdmin, Webmin, старые панели хостинга
У атакующих любовь к забытым админкам и дефолтным паролям. Плюс к публично торчащим панелям и бэкапам. Один удачный вход - и дальше pivot по сети, к базам, к секретам.
7. FTP/SFTP и легкие файловые серверы
FileZilla Server, vsftpd, ProFTPD, OpenSSH SFTP
Частая история: "временно подняли FTP, чтобы перекинуть файлы" и забыли. Потом утекают учетные данные, ловят брут, или ломают сервис и получают доступ к шаре с "очень важными файлами".
8. CMS и бесплатные плагины
WordPress + плагины, Joomla, Drupal, Bitrix (если говорить про бесплатные модули тоже)
Больная тема - плагины и темы. Уязвимость в плагине + публичная форма = удаленная команда или залив вебшелла. А дальше сайт становится точкой входа в инфраструктуру.
Что с этим делать умным инженерам безопасности? 🧠
* Инвентаризация софта, включая мелочевку и личные утилиты
* Управление списком разрешенного ПО
* Патч-менеджмент для всего, а не только "критичных систем"
* Vulnerability management, чтобы видеть и вычищать старье
* Политики внедрения новых технологий и софта, чтобы это не прорастало само
Отличная практика, позволяющая вычистить это дермище из своей сети, - перестать считать его мелочевкой и начать управлять им как нормальным IT-активом.
P.S. Пост подготовлен совместно с системой управления уязвимостями Sentra
(Покупайте наш космолет, живите счастливо..) 🚀
Надо же вас чем-то радовать!
Я периодически лениво анализирую новости, разгребая горы мусора и цепляясь за что-то интересное.
И вот одна штука, которую я системно замечаю, сподвигла меня на этот пост: эксплуатация уязвимостей WinRAR.
"Ha-ha classic.." - звучит в моей голове, когда я про это читаю.
Но, понятное дело, проблема масштабнее.
В компаниях море подобного бесплатного ПО, которое лезет в организацию как паразиты или сорняки. И большая часть этого софта становится ключевыми звеньями в будущей цепочке вектора атаки.
Подготовил список такого ПО.
Если что-то из этого есть в вашей организации - плохие новости, у вас завелись "паразиты" 🪲
1. Архиваторы и файловые менеджеры
WinRAR, 7-Zip, WinZip, Total Commander
Сценарий простой: сотрудник открывает архив из письма или с файлообменника - и привет RCE/запуск мусора в контексте пользователя. Плюс любят цеплять левые плагины и расширения.
2. PDF-просмотрщики
Adobe Reader, Foxit Reader, SumatraPDF, встроенные viewer'ы в браузерах
Достаточно открыть PDF "с договором" - и уязвимость в рендеринге дает выполнение кода или слив данных. Плюс PDF идеален для фишинга: выглядит безопасно, а внутри сюрпризы.
3. Office-пакеты и редакторы документов
LibreOffice, OpenOffice, WPS Office, OnlyOffice
Документ "с таблицей" или "ТЗ от подрядчика" - и дальше макросы, эксплойт в парсере, внешние ссылки на шаблоны. Итог: запуск полезной нагрузки или кража учеток.
4. Текстовые редакторы и IDE + плагины
Notepad++, VS Code, Sublime Text, JetBrains IDE, плагины и расширения
Тут два хода: либо зараженный проект/файлы, либо вредоносный плагин. Дальше забирают токены, ключи, куки, доступы к репам и CI, а потом из dev-машины летят в прод.
5. Почтовые серверы и веб-почта
Postfix, Exim, Dovecot, Roundcube, Zimbra
Обычно эксплуатят старые версии и кривые конфиги. Достаточно уязвимости в вебморде или обработке письма - и получаем доступ к ящику/серверу, а дальше фишинг уже "изнутри".
6. Веб-серверы и админ-панели
Apache, Nginx, IIS, phpMyAdmin, Webmin, старые панели хостинга
У атакующих любовь к забытым админкам и дефолтным паролям. Плюс к публично торчащим панелям и бэкапам. Один удачный вход - и дальше pivot по сети, к базам, к секретам.
7. FTP/SFTP и легкие файловые серверы
FileZilla Server, vsftpd, ProFTPD, OpenSSH SFTP
Частая история: "временно подняли FTP, чтобы перекинуть файлы" и забыли. Потом утекают учетные данные, ловят брут, или ломают сервис и получают доступ к шаре с "очень важными файлами".
8. CMS и бесплатные плагины
WordPress + плагины, Joomla, Drupal, Bitrix (если говорить про бесплатные модули тоже)
Больная тема - плагины и темы. Уязвимость в плагине + публичная форма = удаленная команда или залив вебшелла. А дальше сайт становится точкой входа в инфраструктуру.
Что с этим делать умным инженерам безопасности? 🧠
* Инвентаризация софта, включая мелочевку и личные утилиты
* Управление списком разрешенного ПО
* Патч-менеджмент для всего, а не только "критичных систем"
* Vulnerability management, чтобы видеть и вычищать старье
* Политики внедрения новых технологий и софта, чтобы это не прорастало само
Отличная практика, позволяющая вычистить это дермище из своей сети, - перестать считать его мелочевкой и начать управлять им как нормальным IT-активом.
P.S. Пост подготовлен совместно с системой управления уязвимостями Sentra
(Покупайте наш космолет, живите счастливо..) 🚀
❤28🤡18👍12🏆4💩2
2 апреля участвую в дискуссии на форуме «Территория Безопасности»: поговорим об использовании как бы ушедших с рынка систем, о защите самих средств защиты и других актуальных проблемах CISO
Приходите повидаться и обсудить насущное.
Подробнее о событии:
📆 2 апреля 2026г.
📍отель Хаятт Ридженси Москва Петровский Парк
👉Участие для руководителей ИБ-департаментов
от компаний-заказчиков - БЕСПЛАТНО👈
ЧЕТЫРЕ НАПРАВЛЕНИЯ ФОРУМА:
▪️ ПРО ПЛАНИРОВАНИЕ — Тактический трек. Тактическая карта CISO: от чекапа к стратегии
▪️ ПРО ДЕЙСТВИЯ — Трек осведомлённости. Как избежать слепых зон безопасности и выиграть сражение до его начала
▪️ ПРО КОНТРОЛЬ — Трек глубинного погружения. Ноль неизвестных: как создать всевидящее око CISO
▪️ ПРО УЛУЧШЕНИЯ — Трек мастер-классов, киберучений и бизнес-игр. CISO как стратег: как прокачивать себя и свою команду.
🔗Регистрация и программа доступны по ссылке.
Приходите повидаться и обсудить насущное.
Подробнее о событии:
📆 2 апреля 2026г.
📍отель Хаятт Ридженси Москва Петровский Парк
👉Участие для руководителей ИБ-департаментов
от компаний-заказчиков - БЕСПЛАТНО👈
ЧЕТЫРЕ НАПРАВЛЕНИЯ ФОРУМА:
▪️ ПРО ПЛАНИРОВАНИЕ — Тактический трек. Тактическая карта CISO: от чекапа к стратегии
▪️ ПРО ДЕЙСТВИЯ — Трек осведомлённости. Как избежать слепых зон безопасности и выиграть сражение до его начала
▪️ ПРО КОНТРОЛЬ — Трек глубинного погружения. Ноль неизвестных: как создать всевидящее око CISO
▪️ ПРО УЛУЧШЕНИЯ — Трек мастер-классов, киберучений и бизнес-игр. CISO как стратег: как прокачивать себя и свою команду.
🔗Регистрация и программа доступны по ссылке.
❤8👍2👎1🔥1🤡1
Бизнес в AI Security в России
Тема, над которой я часто думаю. Есть несколько наблюдений, из которых у меня сложилось довольно понятное ощущение, что именно можно делать на этом рынке. Я ж все равно все сам не сделаю, так что поделюсь.
* В РФ не будет сильных моделей, которые смогут так же хорошо рассуждать, программировать, экономить токены и так далее.
* Использовать зарубежные модели было бы выгодно, но это небезопасно - данные утекают.
* Модели начинают приносить реальную пользу только тогда, когда им дают много контекста, много доступа и много полномочий. По этой же причине они начинают много где косячить. Сейчас это одна из самых практических проблем.
Исходя из этого, более-менее понятно, какие решения будут востребованы в российском Large Enterprise.
1. LLM Privacy Gateway 🫥
Слой перед моделью, который чистит запрос до отправки наружу: ФИО, телефоны, адреса, реквизиты, номера договоров, внутренние идентификаторы. Плюс умеет нормально распознавать сущности в живом тексте, таблицах, переписке, кусках из CRM и 1С, где русский, английский и служебный мусор перемешаны в одну кашу.
Примеры в мире:
Private AI
Skyflow
2. Agent Security / MCP Gateway 🦾
Когда агенту выдают доступ к почте, коду, облаку, базе знаний или сети, нужен отдельный контур контроля, который смотрит на вызовы инструментов, права, цепочку шагов, опасные операции и побочные эффекты. Внутри такого продукта - короткоживущие учетные данные, политика доступа, подтверждение рискованных действий и полный журнал шагов. Отдельная тема - MCP, то есть протокол связи модели с инструментами. Ломают часто именно через него.
Примеры:
Lasso Security
Lakera
3. AI Observability / Agent Forensics 👀
После первого инцидента всем нужны ответы: что агент видел, какой контекст получил, какие инструменты дернул, что вернул наружу, где свернул не туда. Без нормальной трассировки это потом не собрать. Такой продукт должен держать всю цепочку в одном месте: запрос, контекст, решение модели, вызовы, результат и эффект в системе.
Примеры:
Arize Phoenix
Langfuse
4. AI Red Teaming 💣
Полезный класс продуктов для тех, кто уже тащит ИИ в прод. Такой продукт должен проверять утечки, обход ограничений, вредоносные инструкции, опасные документы, кривые сценарии в связке модель + база знаний + инструменты. И не гонять абстрактные тесты ради галочки, а собирать реалистичные атаки под конкретный контур: роли, документы, доступы, цепочки действий, внутренние интеграции.
Примеры:
Giskard
Prompt Security
5. Secure RAG 🗂
Это когда модель тянет ответы из внутренних документов и данных, а не только из своей памяти. Типовая проблема здесь простая: модель начинает показывать то, что пользователь вообще не должен видеть. Значит, нужны проверка прав на уровне фрагментов, фильтрация контекста, контроль источников, защита от отравленных документов и понятный аудит того, что реально попало в ответ.
Примеры:
Prompt Security
Vectara
По старой схеме: в российских технологиях деньги часто легче заработать не изобретая что-то с нуля, а адаптируя существующее под реалии рынка. AI нужен всем, а мы тут очень любим бетонные заборы с колючей проволокой. Ну так дайте людям то, что они хотят :D
Что думаете?
Тема, над которой я часто думаю. Есть несколько наблюдений, из которых у меня сложилось довольно понятное ощущение, что именно можно делать на этом рынке. Я ж все равно все сам не сделаю, так что поделюсь.
* В РФ не будет сильных моделей, которые смогут так же хорошо рассуждать, программировать, экономить токены и так далее.
* Использовать зарубежные модели было бы выгодно, но это небезопасно - данные утекают.
* Модели начинают приносить реальную пользу только тогда, когда им дают много контекста, много доступа и много полномочий. По этой же причине они начинают много где косячить. Сейчас это одна из самых практических проблем.
Исходя из этого, более-менее понятно, какие решения будут востребованы в российском Large Enterprise.
1. LLM Privacy Gateway 🫥
Слой перед моделью, который чистит запрос до отправки наружу: ФИО, телефоны, адреса, реквизиты, номера договоров, внутренние идентификаторы. Плюс умеет нормально распознавать сущности в живом тексте, таблицах, переписке, кусках из CRM и 1С, где русский, английский и служебный мусор перемешаны в одну кашу.
Примеры в мире:
Private AI
Skyflow
2. Agent Security / MCP Gateway 🦾
Когда агенту выдают доступ к почте, коду, облаку, базе знаний или сети, нужен отдельный контур контроля, который смотрит на вызовы инструментов, права, цепочку шагов, опасные операции и побочные эффекты. Внутри такого продукта - короткоживущие учетные данные, политика доступа, подтверждение рискованных действий и полный журнал шагов. Отдельная тема - MCP, то есть протокол связи модели с инструментами. Ломают часто именно через него.
Примеры:
Lasso Security
Lakera
3. AI Observability / Agent Forensics 👀
После первого инцидента всем нужны ответы: что агент видел, какой контекст получил, какие инструменты дернул, что вернул наружу, где свернул не туда. Без нормальной трассировки это потом не собрать. Такой продукт должен держать всю цепочку в одном месте: запрос, контекст, решение модели, вызовы, результат и эффект в системе.
Примеры:
Arize Phoenix
Langfuse
4. AI Red Teaming 💣
Полезный класс продуктов для тех, кто уже тащит ИИ в прод. Такой продукт должен проверять утечки, обход ограничений, вредоносные инструкции, опасные документы, кривые сценарии в связке модель + база знаний + инструменты. И не гонять абстрактные тесты ради галочки, а собирать реалистичные атаки под конкретный контур: роли, документы, доступы, цепочки действий, внутренние интеграции.
Примеры:
Giskard
Prompt Security
5. Secure RAG 🗂
Это когда модель тянет ответы из внутренних документов и данных, а не только из своей памяти. Типовая проблема здесь простая: модель начинает показывать то, что пользователь вообще не должен видеть. Значит, нужны проверка прав на уровне фрагментов, фильтрация контекста, контроль источников, защита от отравленных документов и понятный аудит того, что реально попало в ответ.
Примеры:
Prompt Security
Vectara
По старой схеме: в российских технологиях деньги часто легче заработать не изобретая что-то с нуля, а адаптируя существующее под реалии рынка. AI нужен всем, а мы тут очень любим бетонные заборы с колючей проволокой. Ну так дайте людям то, что они хотят :D
Что думаете?
👍10🔥7🤡6❤4
Мне довелось застать то время, когда изучение основ кибербезопасности давалось трудами поиска драгоценной информации по всему интернету, а самые ценные знания были у практиков, которых было еще поискать.
Мой первый год изучения прошел в духе решания picoCTF / Hacker.org / чтения книги Джона Эриксона "Хакинг искусство Эксплойта" и приставания к паре пентестеров с тупыми вопросами. Как я попал на работу с этими знаниями?не спрашивайте, время, видимо, было тяжелое..
Мой путь был абсолютно неэффективен, и мне помогла только увлеченность и ошметки рационального мышления.
Проблема поиска информации стояла не только в ее источниках но и в понимании пути, кратчайшего пути к цели.
Сейчас проблема на самом деле не решена до конца, огромное количество источников завлекает в дофаминовые ловушки, которые не приводят к реальному результату. Дают тебе рейтиг, очки, геймификацию, чтобы ты оставлся в игре и не выходил из неё.
Именно эту проблему я решал, создавая CyberED. Тем не менее, даже тогда мы получали много отзывов о том, что у нас слишком сложно начинать – даже для бесплатного курса «Белый хакер» нужно было уже кое-что уметь.
И вот наконец, эта проблема решена:
Мы в CyberED разработали курс «Инженер по ИБ» — это базовая программа для изучения основ информационной безопасности с азов и настройки сетей и доменов до внедрения SIEM. Внутри все необходимые знания для работы + карьерные консультации.
Если ваша цель не просто баловать себя дофамином, а получить профессию в кибербезопасности, найти кратчайших путь до подготовки себя до должного уровня, вам сюда 100%.
Обучение уже стартовало, но вписаться можно до 1 апреля, подробности тут:
👉🏻 Обучение профессии «Инженер по ИБ» 📚
Мой первый год изучения прошел в духе решания picoCTF / Hacker.org / чтения книги Джона Эриксона "Хакинг искусство Эксплойта" и приставания к паре пентестеров с тупыми вопросами. Как я попал на работу с этими знаниями?
Мой путь был абсолютно неэффективен, и мне помогла только увлеченность и ошметки рационального мышления.
Проблема поиска информации стояла не только в ее источниках но и в понимании пути, кратчайшего пути к цели.
Сейчас проблема на самом деле не решена до конца, огромное количество источников завлекает в дофаминовые ловушки, которые не приводят к реальному результату. Дают тебе рейтиг, очки, геймификацию, чтобы ты оставлся в игре и не выходил из неё.
Именно эту проблему я решал, создавая CyberED. Тем не менее, даже тогда мы получали много отзывов о том, что у нас слишком сложно начинать – даже для бесплатного курса «Белый хакер» нужно было уже кое-что уметь.
И вот наконец, эта проблема решена:
Мы в CyberED разработали курс «Инженер по ИБ» — это базовая программа для изучения основ информационной безопасности с азов и настройки сетей и доменов до внедрения SIEM. Внутри все необходимые знания для работы + карьерные консультации.
Если ваша цель не просто баловать себя дофамином, а получить профессию в кибербезопасности, найти кратчайших путь до подготовки себя до должного уровня, вам сюда 100%.
Обучение уже стартовало, но вписаться можно до 1 апреля, подробности тут:
👉🏻 Обучение профессии «Инженер по ИБ» 📚
1👍21🤡13🔥11❤6🥴3👎2
Иду на личный рекорд 🏆 , надо где-то получить бейдж, жаль Garmin за такое не дает..
На следующей неделе меня ждут 5 выступлений 5 дней подряд. В связи с этим замечательным🤢
1️⃣ Понедельник - Психология разработчика vs AppSec с Алексеем Федулаевым и Димой Беляевым
2️⃣ Вторник - Кибербезопасность для руководителей бизнеса в EMBA в РАНХиГС
3️⃣ Среда - Разбор Тренд-репорта от F6: "Кибератаки 2026: что изменилось и как выжить?" 🏆
4️⃣ Четверг - Дискуссия на R-EVOlution Conf: Оптимизация неизбежна: от чего в ИБ можно отказаться, а где экономия начинает стоить слишком дорого?
5️⃣ Пятница - Кибербезопасность для руководителей бизнеса в EMBA в РАНХиГС (Второй поток)
Long story short: если захотите меня куда-нибудь пригласить, сами видите, я не отказываюсь..
Увидимся🤝
На следующей неделе меня ждут 5 выступлений 5 дней подряд. В связи с этим замечательным
Long story short: если захотите меня куда-нибудь пригласить, сами видите, я не отказываюсь..
Увидимся
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22👍16🤡6🙏2😴2
Как изменились тактики APT группировок за 2025 год и чего ждать в 2026?
Разбираем свежий отчёт F6 в эту среду, 8 апреля в 19:00 мск.
🔗 Ссылка на регистрацию 🔗
Разбираем свежий отчёт F6 в эту среду, 8 апреля в 19:00 мск.
🔗 Ссылка на регистрацию 🔗
👍6🤡6
Ссылка на эфир:
- https://vk.com/cyberedrussia?z=video-155587065_456239152#section=short_videos
- https://cyber-ed.ktalk.ru/app/stream/auditoriums/57b35d6e-57a4-4466-865b-9a50660573e9
- https://www.youtube.com/live/tcyLS7mWopk
- https://vk.com/cyberedrussia?z=video-155587065_456239152#section=short_videos
- https://cyber-ed.ktalk.ru/app/stream/auditoriums/57b35d6e-57a4-4466-865b-9a50660573e9
- https://www.youtube.com/live/tcyLS7mWopk
VK Видео
Кибератаки 2026: разбор отчёта F6
Подробно обсудим последний отчёт F6 о переменах в активности киберпреступников и ответим на вопросы: - Кто и как атаковал Россию в 2025 году? - Что изменилось в тактике вымогателей? - Как применяется ИИ в атаках? - Какие атаки станут нормой в 2026? Разобраться…
🔥6
Забавно иногда наблюдать👽, как люди массово используют опасные для себя вещи, абсолютно без задней мысли. Можно вспомнить примеры с приёмами ртути для блеска глаз, свинцовым водопроводом в домах Нью-Йорка, запуском OpenClaw на личном компе..
Я недавно опомнился, что прямо сейчас вижу такую же ситуацию с массовой установкой VPN-клиентов и смене VPN-провайдеров сотнями тысяч людей в связи с блокировками⛔️ .
Что происходит? Люди ставят чужой софт, тысячи каких-то брендов-однодневок предлагают свои услуги и все выливается в пару конкретных проблем.
1️⃣ Первая: Мы же понимаем, что VPN - это не proxy, это виртуальная сеть.
Т. е. когда вы подключаетесь к VPN ваш компьютер становится удалённо доступен для взаимодействия через интернет, как будто он стоит в одной комнате с другими. Значит и большинство атак, доступных этим другим становятся возможными.
Помимо этого, мне лично довелось видеть, как VPN провайдеры подменяют нешифрованный трафик, вставляя в него скрипты телеметрии и рекламу. Что уж говорить о слежке и продаже трафика, думаю, вы представляете себе.
2️⃣ Вторая проблема: фальшивые VPN-клиенты. Microsoft месяц назад описала кампанию, где людей через поисковую выдачу уводили на поддельные страницы загрузки корпоративных VPN. Схема: поиск -> "скачать" -> вход -> кража учетных данных. [Кейс Microsoft]
А сколько фейк VPN установили обычные пользователи? Все это подкормит ботнеты, у кого-то утекут телеграмм аккаунты, госуслуги и пр.
Ситуация с потребностью в VPN распустила волну легкомысленного отношения к такой простой вещице, которую ещё вчера надо было запускать с осторожностью.
Я не сомневаюсь в белых хеккерах🎩 , которые это читают, но не забывайте о менее опытных пользователях. Напомните им, что надо быть осторожнее.
👉 не ставить абы какие VPN-клиенты
👉 не покупать доступ у случайных продавцов
👉 не тащить такой софт на рабочее устройство
👉 не путать VPN с "безобидным способом открыть сайт"
Как говорится: "Распространите это среди жильцов своего ЖК, как вы это любите!"📣
Я недавно опомнился, что прямо сейчас вижу такую же ситуацию с массовой установкой VPN-клиентов и смене VPN-провайдеров сотнями тысяч людей в связи с блокировками
Что происходит? Люди ставят чужой софт, тысячи каких-то брендов-однодневок предлагают свои услуги и все выливается в пару конкретных проблем.
Т. е. когда вы подключаетесь к VPN ваш компьютер становится удалённо доступен для взаимодействия через интернет, как будто он стоит в одной комнате с другими. Значит и большинство атак, доступных этим другим становятся возможными.
Помимо этого, мне лично довелось видеть, как VPN провайдеры подменяют нешифрованный трафик, вставляя в него скрипты телеметрии и рекламу. Что уж говорить о слежке и продаже трафика, думаю, вы представляете себе.
А сколько фейк VPN установили обычные пользователи? Все это подкормит ботнеты, у кого-то утекут телеграмм аккаунты, госуслуги и пр.
Ситуация с потребностью в VPN распустила волну легкомысленного отношения к такой простой вещице, которую ещё вчера надо было запускать с осторожностью.
Я не сомневаюсь в белых хеккерах
👉 не ставить абы какие VPN-клиенты
👉 не покупать доступ у случайных продавцов
👉 не тащить такой софт на рабочее устройство
Как говорится: "Распространите это среди жильцов своего ЖК, как вы это любите!"
Please open Telegram to view this post
VIEW IN TELEGRAM
1🤡13💯12👍5🔥3👎2❤1🤣1
Решил продолжить рубрику "Новости недели"
1️⃣ Во-первых, она прошла. Прошла хорошо, но повторять никому не рекомендую😭 . Для меня самым важным событием был EMBA, хоть это и не первый раз, но это обязательное мероприятие для получения взгляда на кибербезопасность от людей не из сферы, со своим весомым опытом и видением. Челлендж для моей кибербезопасной картины мира.
2️⃣ На R-EVOlution conf прошла очень крутая дискуссия о том, как бизнес смотрит на кибербезопасность, людей и технологии в эпоху сокращения ресурсов. Очень ценно было услышать идеи от руководителей направлений безопасности Jet, S7, ПСБ, R-Vision. Всем руководителям и, на самом деле, может даже важнее сотрудникам рекомендую услышать взгляд сверху. Выложу вам видео, когда оно выйдет.
3️⃣ На следующей неделе меня ждет поездка в Дагестан на КодИБ.Профи. У меня будет что-то новенькое из заготовок: Я собрал настольную игру в духе штабных tabletop-учений с соответствующими механиками и различными акторами из зала. Уже не терпится испытать ее на опытной аудитории КодИБ. Если зайдет, обещаю разыграть пару коробок в канале для аудитории.
4️⃣ Последнее, поздравьте меня с окончательным обизнесением, теперь вы можете найти меня еще и по нику - @bogomolove.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥8🕊1🤡1😴1
У Sentra вышла серия заметок по атакам с AI и на AI. Всем интересующимся рекомендую.
🔥7❤1🤡1
Forwarded from Sentra
Часть 3/6. Атаки на AI-агентов
С помощью промпт-инъекции в обычном чат-боте можно получить некорректный ответ модели, украсть чувствительную информацию. Но когда цель — AI-агент с доступом к инструментам, инъекция преваращается в настоящий инцидент безопасности.
Почему атаки на агентов настолько критичны?
AI-агент — это система, которая не просто генерирует текст, а выполняет действия: работает с файловой системой, отправляет запросы в базу данных, запускает скрипты и т.п. Если обычный чат-бот при инъекции отдаст какой-то не тот результат, то скомпрометированный агент выполнит что-то опасное: удалит файлы на сервере, отправит данные злоумышленнику, предоставит удаленный доступ к системе и т.д.
Кейс Devin AI
Исследователь Йоханн Ребергер потратил $500 на тестирование Devin — автономного coding-агента. Через отравленную веб-страницу можно было заставить Devin открыть порт в интернет, отдать access-токены и установить малварь для удалённого управления. И всё это — без единого клика пользователя.
Ключевой момент: Devin имел неограниченный доступ в интернет и мог выполнять shell-команды.
Кейс GitHub Copilot (CVE-2025-53773)
В GitHub Copilot и Visual Studio была обнаружена критическая уязвимость: промпт-инъекция через комментарии в коде или README-файле заставляла Copilot включить режим auto-approve (так называемый «YOLO mode»), который отключает все подтверждения от пользователя. После этого Copilot мог выполнять произвольные shell-команды на устройстве разработчика. Исследователи продемонстрировали загрузку малвари и подключение к вредоносному серверу.
Microsoft пропатчили эту уязвимость, но если бы её обнаружили реальные злоумышленники, миллионы разработчиков и компании, в которых они работают, могли пострадать.
Паттерн атаки
Во всех случаях цепочка одинакова:
1. Промпт-инъекция (через сайт/документ/код) захватывает контекст агента.
2. Агент выполняет вредоносное действие как часть рабочего процесса.
3. Пользователь не видит ничего подозрительного, потому что всё происходит автоматически.
Некоторые исследователи называют это «AI Kill Chain» — цепочка полной компрометации системы, проводимая AI без участия человека.
➡️ Следующий пост: Tool Poisoning и MCP — расскажем, как могут атаковать инфраструктуру, к которой подключаются AI-агенты.
С помощью промпт-инъекции в обычном чат-боте можно получить некорректный ответ модели, украсть чувствительную информацию. Но когда цель — AI-агент с доступом к инструментам, инъекция преваращается в настоящий инцидент безопасности.
Почему атаки на агентов настолько критичны?
AI-агент — это система, которая не просто генерирует текст, а выполняет действия: работает с файловой системой, отправляет запросы в базу данных, запускает скрипты и т.п. Если обычный чат-бот при инъекции отдаст какой-то не тот результат, то скомпрометированный агент выполнит что-то опасное: удалит файлы на сервере, отправит данные злоумышленнику, предоставит удаленный доступ к системе и т.д.
Кейс Devin AI
Исследователь Йоханн Ребергер потратил $500 на тестирование Devin — автономного coding-агента. Через отравленную веб-страницу можно было заставить Devin открыть порт в интернет, отдать access-токены и установить малварь для удалённого управления. И всё это — без единого клика пользователя.
Ключевой момент: Devin имел неограниченный доступ в интернет и мог выполнять shell-команды.
Кейс GitHub Copilot (CVE-2025-53773)
В GitHub Copilot и Visual Studio была обнаружена критическая уязвимость: промпт-инъекция через комментарии в коде или README-файле заставляла Copilot включить режим auto-approve (так называемый «YOLO mode»), который отключает все подтверждения от пользователя. После этого Copilot мог выполнять произвольные shell-команды на устройстве разработчика. Исследователи продемонстрировали загрузку малвари и подключение к вредоносному серверу.
Microsoft пропатчили эту уязвимость, но если бы её обнаружили реальные злоумышленники, миллионы разработчиков и компании, в которых они работают, могли пострадать.
Паттерн атаки
Во всех случаях цепочка одинакова:
1. Промпт-инъекция (через сайт/документ/код) захватывает контекст агента.
2. Агент выполняет вредоносное действие как часть рабочего процесса.
3. Пользователь не видит ничего подозрительного, потому что всё происходит автоматически.
Некоторые исследователи называют это «AI Kill Chain» — цепочка полной компрометации системы, проводимая AI без участия человека.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10🤡3❤2👍1
Forwarded from CyberED
Начинаем эфир «ИнфоБесы» в 19:00 мск и разыгрываем крутые призы 🎁
Трансляции уже запущены:
▶️ Основная комната ⬅️
▶️ YouTube
▶️ Вконтакте
👍 Первая достанется автору лучшего вопроса для ведущих из тех, что вы писали под этим и этим постами. Вопрос-победитель определит Егор Богомолов.
👍 Второго победителя выберем по тому же списку предложенных тем — с помощью рандомайзера чисел.
👍 Последние три футболки достанутся автору лучшего вопроса в чате трансляции.
Трансляции уже запущены:
тут будет общение с участниками Мы знаем, как вы любите мерч, а потому сегодня на эфире ИнфоБесы разыграем 5 футболок «Следуй за Белым Хакером».
Бонусом к футболке станет консультация от Егора.Этот счасливчик получит не только футболку, но и консультацию с преподователем на выбор. Варианты отправим в личку.Выиграть может каждый. Для этого отправь свой коммент до 19:00 мск😉
Всех победителей объявим в прямом эфире!
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡5🔥2