Forwarded from PVS-Studio: поиск ошибок в С/С++, С# и Java
Мы возвращаемся! 🔥
Продолжаем цикл "Вокруг РБПО за 25 вебинаров: ГОСТ Р 56939-2024". Осталось всего 2 вебинара, так что не пропустите!
🗓 21 января в 16:00 встречаемся, чтобы обсудить поиск уязвимостей в программном обеспечении при эксплуатации.
Приоткроем немного завесу тайны. Один из спикеров этого вебинара — Артем Храмых, руководитель отдела по анализу защищенности AKTIV.CONSULTING. Тема доклада "Поиск уязвимостей ПО – базовый минимум или роскошный максимум?"
Кстати, Артем выпустил статью на Хабре "Чемоданчик пентестера". Возможно, вам будет интересно почитать про инструменты, которыми может воспользоваться любой пентестер при аудите инфраструктуры и внешнего периметра.
А регистрация на вебинар доступна по этой ссылке🔗
#вебинар #рбпо
Продолжаем цикл "Вокруг РБПО за 25 вебинаров: ГОСТ Р 56939-2024". Осталось всего 2 вебинара, так что не пропустите!
🗓 21 января в 16:00 встречаемся, чтобы обсудить поиск уязвимостей в программном обеспечении при эксплуатации.
Приоткроем немного завесу тайны. Один из спикеров этого вебинара — Артем Храмых, руководитель отдела по анализу защищенности AKTIV.CONSULTING. Тема доклада "Поиск уязвимостей ПО – базовый минимум или роскошный максимум?"
Кстати, Артем выпустил статью на Хабре "Чемоданчик пентестера". Возможно, вам будет интересно почитать про инструменты, которыми может воспользоваться любой пентестер при аудите инфраструктуры и внешнего периметра.
А регистрация на вебинар доступна по этой ссылке
#вебинар #рбпо
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👏4👍2🤩1
Ключевой идеей его создания является объединение усилий государства, цифровых платформ и финансового сектора для более эффективной защиты граждан от мошенников.
Наиболее интенсивно атакам подвергалась телекоммуникационная отрасль, а самая продолжительная DDoS-атака длилась почти четыре дня.
Комиссия должна будет участвовать в работе правительства при создании национального плана внедрения технологий ИИ в отраслях экономики, социальной сферы и государственном управлении.
Активнее всего к программам поиска уязвимостей подключаются компании из сферы онлайн-услуг, ИТ и госсектора, и при сохранении динамики объем рынка может достичь 1 млрд рублей в течение трех лет.
Это следует из проекта федерального закона, входящего в пакет из 20 мер противодействия преступлениям с использованием информационно-коммуникационных технологий.
Также мошенники переходят к более точечным письмам, которые апеллируют к срочности, используют персональные данные и визуально копируют официальные ресурсы, что существенно повышает их эффективность.
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡3❤2👍1
Собрали список интересных мероприятий на февраль:
🌐 Международный форум iFin—2026
3-4 февраля, Москва
На форуме обсудят обеспечение ИБ в организациях, цифровой рубль, развитие ЭДО, импортонезависимость системного и прикладного ПО и многое другое.
🌐 Конференция «Качество данных»
5 февраля, Москва
Всероссийская конференция по созданию, развертыванию
и эксплуатации конвейера обеспечения гарантированного качества данных.
🌐 Конференция TAdviser «ИТ-приоритеты 2026»
11 февраля, Москва
Основные темы встречи — ключевые ИТ-тренды, стратегии и кейсы для цифровой независимости бизнеса.
🌐 Уральский форум «Кибербезопасность в финансах»
18-20 февраля, Екатеринбург
Крупнейшее мероприятие для обсуждения тенденций и
вызовов в сфере обеспечения информационной безопасности,
приоритетов и перспектив развития киберустойчивости финансовых организаций.
🌐 ТБ Форум
18-20 февраля, Москва
На форуме обсудят актуальные вопросы по защите информации и обеспечению кибербезопасности крупнейших предприятий российской экономики.
🌐 Конференция TAdviser «Импортозамещение 2026: реальный опыт»
18 февраля, Москва
Ключевая тема конференции —переход от точечного внедрения отечественных решений к построению целостных и жизнеспособных экосистем.
🌐 Конференция CNews «Информационная безопасность 2026»
25 февраля, Москва
На мероприятии расскажут про основные драйверы роста рынка кибербезопасности и актуальные ИБ-технологии, а также обсудят прогнозы развития российского рынка ИБ на ближайшие 3-5 лет.
🌐 Российский телекоммуникационный саммит
25 февраля, Москва
Площадка экспертов телекоммуникационной отрасли, в основе деловой повестки которой современные тенденции развития
отрасли на российском и международном рынке.
🌐 Форум FinCore 2026
26 февраля, Москва
Мероприятие про банкинг будущего и новейшие технологии финансовой ИТ-архитектуры.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🤩3❤1
В стандартной библиотеке GNU C Library (glibc) обнаружили уязвимость CVE-2026-0915 в коде, написанном еще в 1996 году. При редком сценарии вызова функций getnetbyaddr и getnetbyaddr_r в DNS-запрос могли попадать неинициализированные данные из стека, что приводило к ограниченной утечке памяти и теоретически могло помочь при обходе ASLR.
Сценарий эксплуатации считается маловероятным, а потенциальный ущерб минимальным. Однако показателен сам факт: краевой случай с нулевым значением не тестировался десятилетиями в одной из ключевых библиотек Linux-экосистемы.
Также раскрыта уязвимость CVE-2026-0861, связанная с memalign. При некорректных параметрах выравнивания она могла приводить к повреждению кучи. Оба дефекта уже исправлены и войдут в релиз glibc 2.43, ожидаемый в начале февраля.
Эта история напоминает, что даже фундаментальные и проверенные временем компоненты требуют внимания, обновлений и регулярного пересмотра с точки зрения безопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯3❤2🤔2👍1
Базовый минимум или роскошный максимум?
Напоминаем, сегодня AKTIV.CONSULTING участвует в вебинаре PVS-Studio из цикла по ГОСТ Р 56939-2024.
Спикер от нашей команды, Артем Храмых, руководитель отдела анализа защищенности.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6🤩5👏1
Интеграции с ЦБ РФ, платежными шлюзами и вендорными платформами остаются одной из самых частых причин инцидентов и замечаний при проверках.
Каждое новое соединение это не просто API, а отдельная зона риска и ответственности.
ГОСТ 57580.1-2017 требует защищать такие интеграции на всех этапах жизненного цикла систем. На практике это означает, что подход «подключили и забыли» больше не работает.
Почему это критично
Большинство проблем возникает не из-за отсутствия средств защиты, а из за организационных и процессных ошибок:
На что реально обращать внимание при интеграции
1. Управление доступом и аутентификация
Проверьте:
2. Защита информации при передаче
Ключевые меры:
В следующем посте разберем мониторинг, защиту виртуальной среды и распределение ответственности между участниками интеграции.
#Сергей_Дурнев
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍1👏1
Комиссия будет не только определять шаги по развитию отечественного ИИ в ключевые сферы, но и устанавливать четкие показатели эффективности.
В 2025 было зафиксировано 118 случаев компрометации баз персональных данных, а в сеть попали более 52 млн записей.
Среди эффектов, которых хочет добиться АБД: повышение доступности данных для обучения ИИ и появление новых видов инновационных продуктов, услуг и сервисов на основе данных.
Задачами группы будут разработка технологической защиты информации, формирование нормативно-правового регулирования, разработка образовательных программ для подготовки профильных специалистов.
Также планируется принять проект об освобождении от уголовной ответственности за преступления в сфере эксплуатации объектов КИИ, если совершивший их активно способствовал расследованию.
Последствия от таких атак — утечки чувствительных данных, репутационный и финансовый ущерб для компаний, нарушение операционной деятельности.
Причинами для запуска таких инициатив стали повышение уровня ИБ, защита от сложных атак и стремление к оптимизации расходов.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
В первой части мы разобрали базовые меры защиты при интеграции.
Но даже корректно настроенные доступы и шифрование не работают без постоянного контроля и четкого распределения ответственности.
3. Мониторинг и реагирование
Интеграции с внешними системами должны находиться под постоянным наблюдением:🟠 Постоянный сбор и анализ логов безопасности (SIEM-системы).🟠 Отработанные процедуры обнаружения и реагирования на инциденты.🟠 Регулярный аудит систем защиты.
4. Защита виртуальной среды
Большинство интеграций сегодня работает в виртуализированной среде, что требует отдельного внимания:🟠 Строгий контроль доступа к ВМ и контейнерам.🟠 Сетевая сегментация для изоляции критичных объектов.🟠 Защита образов систем от несанкционированных изменений.
Разграничение ответственности — ключевой принцип
Без четкого распределения ролей даже лучшие технические меры теряют эффективность:🟠 Ответственность финансовой организации: установление политик безопасности, управление доступом, мониторинг инцидентов, обеспечение защиты данных🟠 Ответственность поставщиков внешних систем: соблюдение установленных политик, безопасность своего сегмента интеграции, предоставление данных для мониторинга🟠 Совместная ответственность: обеспечение целостности инфраструктуры, защита каналов связи
#Сергей_Дурнев
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩5🔥4👍3
Угрозы в 2026 году становятся быстрее, скрытнее и дешевле для атакующих. Основной сдвиг не в типах атак, а в том, как они масштабируются и обходят привычные меры защиты.
В отчёте выделяются следующие тренды:
1. Вредоносное ПО с использованием ИИ
Зловреды умеют меняться в реальном времени, обходить сигнатуры и подстраиваться под защиту. Ручной анализ не успевает за скоростью атак.
2. Архитектура нулевого доверия Zero Trust
Периметр больше не считается безопасным «по умолчанию». Каждый доступ и каждое действие перепроверяются, чтобы ограничить распространение атаки внутри сети.
3. Квантовые риски для шифрования
Данные могут перехватываться сегодня с расчетом на расшифровку в будущем. Для критичных систем встает вопрос перехода к постквантовой криптографии.
4. Вымогатели как сервис
Атаки ставятся на поток. Инструменты доступны даже низкоквалифицированным злоумышленникам, а стоимость восстановления продолжает расти.
5. Риски 5G и edge инфраструктуры
Устройства и сервисы на краю сети часто защищены хуже. Их компрометация может влиять на цепочки поставок и реальные бизнес процессы.
6. Инсайдерские угрозы при гибридной работе
Ошибки сотрудников и подрядчиков становятся одной из основных причин инцидентов, особенно в облачных средах.
7. Атаки на цепочки поставок
Компрометация одного поставщика или обновления ПО позволяет атаковать десятки организаций одновременно.
8. Уязвимости контейнеров и микросервисов
Ошибки конфигурации и непатченные образы дают быстрый вход в среду. Без встроенной безопасности в DevOps риски масштабируются мгновенно.
9. Социальная инженерия с использованием дипфейков
Подделка голоса и видео делает мошенничество убедительнее. Проверки по привычке перестают работать.
10. Сближение ИТ и промышленной безопасности
Интеграция ИТ и OT в рамках Industry 4.0 разрушает прежнюю изоляцию. Атаки могут приводить не только к утечкам данных, но и к остановке производства или нарушению работы оборудования. Возникает потребность в сквозном мониторинге ИТ и OT сред.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔5❤2
Этот день был учрежден в 2006 году в честь исторического события – подписания 28 января 1981 года Конвенции Совета Европы №108. Этот документ стал первым международным актом, давшим определение ПДн и закрепившим основы их защиты.
В День защиты ПДн мы хотим поднять тему того, насколько вы щепетильны в отношении своих ПДн? Как часто вы задумываетесь о приватности ваших данных?
Предлагаем разобраться в формате опроса.
Также нам будет интересно почитать курьезные или интересные случаи, с которыми вы сталкивались в вопросах обработки ваших ПДн
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4⚡3🤩3
Отзывали ли вы когда-нибудь согласие на обработку ваших ПДн у оператора ПДн?
Anonymous Poll
25%
неоднократно
42%
один раз
34%
а так можно?
Задавали ли вы оператору ПДн вопрос зачем он собирает те или иные категории ваших ПДн? Например: зачем магазину одежды обрабатывать ваши биометрические ПДн?
Anonymous Poll
36%
неоднократно
16%
один раз
48%
ни разу
Отказывались ли вы когда-нибудь подписывать согласие на обработку ПДн?
Anonymous Poll
33%
неоднократно
19%
один раз
47%
ни разу
Сообщали ли вы в Роскомнадзор о неправомерной обработке ваших ПДн?
Anonymous Poll
3%
неоднократно
7%
один раз
82%
ни разу
8%
а так можно?
Читаете ли вы согласие на обработку ПДн перед тем как подписать его?
Anonymous Poll
54%
всегда
38%
иногда
8%
никогда
Задумывались ли вы о том, правомерно ли оператор собирает ваши ПДн? (например, сбор без согласия)
Anonymous Poll
78%
неоднократно
12%
один раз
10%
ни разу
Мы привыкли думать, что ГОСТ 57580.1 это старый стандарт, который все, кому надо, уже реализовали. Спешим вас удивить — скоро ГОСТ получит свое второе дыхание!
Банк России последовательно возвращает этот стандарт в активную зону. Причем теперь он касается не только финансовых организаций, но и тех, кто с ними работает — ИТ и ИБ подрядчиков, интеграторов, провайдеров, SOC и иных поставщиков услуг.
В новой статье Алексей Сторож, ведущий консультант AKTIV.CONSULTING, рассказывает как подходить к внедрению мер ГОСТ в 2026 году.
В первой части автор разбирает:
Во второй части статьи, которая выйдет через неделю
#Алексей_Сторож
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍5🤩2🆒1
Forwarded from REDtalk (Alexey)
Привет! ⭐️
Первого января редтимерам сделали подарок на НГ и выпустили Sliver 1.6 🥳. Данная версия долго находилась на стадии разработки и не предполагалась для использования "на проде". Все последние релизы были на 1.5.*
В основные изменения версии 1.6 можно отнести:
*️⃣ Полностью переработанный CLI. Изменения очень понравились, особенно оценил фикс проблемы постоянных случайных выходов нажатием CTRL+C
*️⃣ Возможности работы одновременно с несколькими имплантами
*️⃣ Большое количество багфиксов и обновления зависимостей.
*️⃣ Обновление криптографии на клиент-сервере и импланте
Так как список изменений показан в виде 300+ пунктов, я решил структурировать их, особенно интересные выделил жирным.
Статистика (посчитана нейросетью, похожа на правду):
Багфиксы: ~120
Мажорные обновления: ~25
Обновления клиента/сервера: ~70
Обновления импланта: ~55
Обновления зависимостей: ~140
1️⃣ Общие изменения
*️⃣ Добавлены профили HTTP
*️⃣ Улучшена работа с логами
*️⃣ На официальную вики добавлены туториалы по использованию
*️⃣ Добавлена компиляция на Zig (Написано, что для кросс-компиляции, но я еще не смотрел подробно)
*️⃣ Расширенная конфигурация sliver-extentions (В частности, наконец-то поддержка self-hosted armory, для хранения бофов в закрытом виде)
*️⃣ Улучшена работа с криптографией (просмотр сертификатов, переделана генерация nonce)
2️⃣ Изменения импланта
*️⃣ Добавлен стейджер RC4
*️⃣ Возможность создания импланта в виже службы Windows
*️⃣ Добавлен враппер на системный вызов NtCreateThreadEx ( Один коммит с одной измененной строчкой, при этом сам вызов по-умолчанию не используется 👾 )
*️⃣ Создание процесса теперь работает в спрятанном окне, вместо совсем не подозрительного cmd.exe на весь рабочий стол ⌨️
*️⃣ Несколько важных фич, связанных с передачей трафика по DNS
3️⃣ Изменения клиента/сервера
*️⃣ Улучшено взаимодействие с msf при создании стейджера
*️⃣ Новая система консольного интерфейса (фреймворком так и осталась go cobra, но сам интерфейс очень сильно переделан)
*️⃣ Улучшенная работа с профилями
*️⃣ Добавлен листинг командной оболочки сливера
*️⃣ Улучшен socks прокси (интерфейс клиента, автоудаление)
*️⃣ Добавлена возможность мультиплеера через сеть Tailscale
*️⃣ Добавлены команды по работы с файлами (head, tail, upload (директорий), grep)
*️⃣ Поддержка запуска одной задачи для нескольких имплантов сразу
*️⃣ Поддержка сторонних систем сборок импланта
*️⃣ Добавлено редактирование прав доступа операторов
Первого января редтимерам сделали подарок на НГ и выпустили Sliver 1.6 🥳. Данная версия долго находилась на стадии разработки и не предполагалась для использования "на проде". Все последние релизы были на 1.5.*
В основные изменения версии 1.6 можно отнести:
Так как список изменений показан в виде 300+ пунктов, я решил структурировать их, особенно интересные выделил жирным.
Статистика (посчитана нейросетью, похожа на правду):
Багфиксы: ~120
Мажорные обновления: ~25
Обновления клиента/сервера: ~70
Обновления импланта: ~55
Обновления зависимостей: ~140
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡4🔥4🆒2
При этом минимальный уровень киберзащиты достигнут лишь у 36% организаций. В числе ключевых причин — системное отстранение ИБ-специалистов от бизнес-процессов и отсутствие полного учета ИТ-активов.
Цель центра заключается в снижении барьеров для внедрения ИБ-решений заказчиками.
За технические ошибки и нарушения правил эксплуатации, не приведшие к уничтожению или утечке данных, грозят только административные штрафы.
Тренды названы в сферах искусственного интеллекта, импортозамещения, квантовых вычислениях и информационной безопасности.
В проекте доктрины указывается, что вопросы защиты информации должны быть встроены с самого начала в процессы создания и эксплуатации любых цифровых систем, в том числе на основе ИИ.
Эксперты отмечают, что мошенникам становится сложнее и дороже дозваниваться до потенциальных жертв, поэтому они стремятся повысить эффективность атак.
Среди основных изменений — введение новой надёжной системы обеспечения безопасности цепочки поставок ИКT, а также расширение роли ENISA, которая получит больше полномочий, ресурсов и обязанностей.
Наиболее распространенными мерами защиты респонденты назвали ограничение объема личной информации в соцсетях, осторожность при переходе по ссылкам, использование 2FA и антивирусных решений.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3⚡1
Эксперты разобрали вопросы о поиске уязвимостей в программном обеспечении при эксплуатации.
Вебинар был организован УЦ "МАСКОМ" и PVS Studio, при поддержке приглашенных экспертов — Артёма Храмых (AKTIV.CONSULTING), Алексея Морозова (ecom.tech) и Алины Ким (ГК «Эшелон»).
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤3👍2