Когда компания является публичной, любой новостной фон может повлиять на ее оценочную стоимость как в положительном, так и в отрицательном ключе. И на нас, как на CTO, CISO и других IT-специалистах лежит большой груз ответственности за стабильность работы и поддержание рыночной стоимости на максимуме. Сегодня поговорим про финансовые метрики оценки рисков айтишников, такие как SLA, MTD, SLE и др.

2 дня назад, 18 ноября, около 14 часов по Москве, крупные сайты перестали открываться, отображая в окне браузера сухое:

Чтобы продолжить, разблокируйте challenges.cloudflare.com.

Что это такое и что с этим делать, никто не знал (видимо, пасхалка от разрабов в виде error debagging is enabled), но факт оставался фактом, и ресурсы не грузились: 💬 X aka Twitter, 📱 OpenAI aka ChatGPT, 🖼 Сanva, 🖼️ DropBox, 🖼️ Discord и ряд других крупных ресурсов* перестали предоставлять свои сервисы.
В ходе разбирательств выяснилось, что причиной парализации около 20% мирового интернета стал файл конфигурации системы управления бот-трафиком 🖼️ CloudFlare. Дане Кнехт, CTO CloudFlare, пояснил, что

…bot mitigation capability started to crash after a routine configuration change we made…

Сервис “висел” около 3 часов и за это время акции компании успели подешеветь на ~3,85% (с $202,8 до $195).
Но и это не все. Неделю назад, 14 ноября, CloudFlare вызвала часовую ошибку глобального сбоя в работе публичного DNS-резолвера 1.1.1.1 и сетевого сервиса Gateway plain text DNS. Как итог - акции упали с $214 до $208.
Итого, за неделю акции компании по причине “работы IT” упали на 8,9%. С учетом того, что компания в настоящий момент стоит $68.7 млрд., всего за 7 дней (а по факту 4 часа простоя) она потеряла в стоимости $6,7 миллиардов. Не плохо для 2 небольших багов…

И тут давайте перейдем непосредственно к основным финансовым метрикам (которые очень любят ребята с CISSP сертификацией):
SLE (Single Loss Expectancy) - Ожидаемый ущерб от одного единственного инцидента
ARO (Annualized Rate of Occurrence) - Сколько раз в год (в среднем) ожидается реализация данного риска
ALE (Annualized Loss Expectancy) - Ожидаемый среднегодовой ущерб от данного типа риска. Формула: ALE = SLE × ARO
MTD (Maximum Tolerable Downtime) - Максимально допустимое время простоя системы/процесса до катастрофических последствий (ухода компании из бизнеса)
RTO (Recovery Time Objective) - Целевое время восстановления системы после инцидента (сколько по времени может быть простой)
RPO (Recovery Point Objective) - Максимально допустимый объём потерянных данных (сколько данных можно потерять)

Давайте рассмотрим их на простом примере:
Допустим, у вас сервер стоимостью 10 млн руб. При реализации угрозы «полный выход сервера из строя» будет потеряно 100 % стоимости (EF = 1). Такие отказы происходят в среднем 1 раз в 5 лет (ARO = 0,2).
SLE = 10 000 000 × 1 = 10 000 000 руб.
ALE = 10 000 000 × 0,2 = 2 000 000 руб. в год
Это означает, что имеет смысл тратить на защиту от данной угрозы не более ~2 млн руб. в год (если затраты меньше ALE — защита окупается).

Также не забываем золотое правило, что время MTD → RTO → RPO.

Последняя и моя самая любимая метрика - это Cost-Benefit Analysis. CBA — это метод количественной оценки, который помогает принять решение о необходимости внедрения и инвестиций в меры защиты.
Обычно, в бизнесе действует негласное правило 1 к 10: вкладываем рубль - защищаем 10. Если показатели отличаются в меньшую сторону - стоит серьезно пересмотреть вложения.

Если что-то непонятно, не переживайте: в первый раз всегда так 😅 Потом, по мере карьерного роста вам рано или поздно придется с этим сталкиваться. Так что, предлагаю начать готовиться прямо сейчас)

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

* Часть не названных сервисов заблокированы на территории РФ на законных требованиях

По правде сказать, я еще ни разу за всю свою работу не встречал человека, который бы пользовался криптофлэшками (кроме меня самого, но это не считается)). И если про настоящее время более-менее все понятно, когда на облачных технологиях даже собирают контроллеры домена, не говоря уже про передачу данных, то лет 5-10-15 назад ни ТОП-менеджеры, ни айтишники не придавали им большого значения. Почему? Думаю, дело не столько в цене (хотя они действительно стоят в 3–4 раза дороже обычных накопителей), сколько в том, что многие просто не знают о существовании таких девайсов. Давайте же закроем этот пробел и разберемся, что это за зверь такой и с чем его едят.

У криптофлэшки aka encrypted USB множество названий, включая “флешка с кодовым замком”, “флэшка с аппаратным шифрованием”, “зашифрованный USB-накопитель” и т.д., но правильное научное название - криптографический модуль (Cryptographic Module).
Задача такого устройства - защитить чувствительную / конфиденциальную информацию от несанкционированного доступа и сохранения конфиденциальности. Важный момент - такие устройства НЕ подходят для хранения государственной и / или военной тайны.

Самое интересное начинается в NIST’е FIPS PUB 140, который и описывает, как криптофлэшка должна работать, и какие у нее должны быть защитные механизмы. В настоящее время действует ревизия 140-3, которая была введена в действие 22 сентября 2021 года.
Но если сам Стандарт достаточно короткий, Руководство по внедрению уже состоит из 218 страниц отборного английского текста (без картинок).
В России же у нас есть общий стандарт, который устанавливает методологию того, как правильно анализировать и обосновывать, что система защиты информации реально безопасна, а не просто заявлена как безопасная - ГОСТ Р 54583-2011/ISO/IEC/TR 15443- 3:2007.

Какими же минимальными защитными механизмами должна обладать криптофлэшка, чтобы соответствовать стандарту и надежно защищать информацию своего владельца? Давайте перечислим: проверка целостности и защита ПО от модификации; физическая защита корпуса, тампер-индикаторы, эпоксидная заливка платы, защита от вскрытия; генерация, ввод, вывод, хранение, разделение и уничтожение ключей и секретных данных; защита от побочных каналов; самотестирование при включении и еще ряд других.

Если поискать кейсы по тестированию такого оборудования, то ничего кроме 📺 Attacking encrypted USB keys the hard(ware) way с BlackHat 2017 не найти. Все остальные - ссылка на данное выступление.

Мы же, со своей стороны, решили провести исследование и самостоятельно проверить, насколько реально защищает криптофлэшка от несанкционированного доступа. Для этого мы закупили 5 устройств от различных производителей, охватывающих весь ценовой диапазон. Что нас ждет под катом, мы можем только догадываться, но то, что будет супер интересно, мы даже не сомневаемся :)

Я думаю, что процесс R&D займет не больше 1 месяца и мы с радостью поделимся с вами нашими изысканиями. Так что, не переключайтесь.

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Угнать за 360 секунд

Что такое опыт? В моем понимании, это вчерашняя история, которая не оставила равнодушным ни одного присутствующего, когда мы с 💬 Дмитрием буквально, не снимая шапок, получили админские привилегии и доступ через Wi-Fi к внутренней корпоративной среде. Итак, что это за опыт, и что все-таки произошло?

Вчера я и Дмитрий Калинин, руководитель департамент по работе с уязвимостями и инцидентами информационной безопасности компании ❤️ Бастион, приняли участие в мероприятиях, посвященных защите информации. Как и положено, посетили официальную часть, после чего отправились в сторону дома.

Уже практически при выходе на улицу сотрудники учреждения, зная нашу любовь к программно-аппаратному взлому, предложили нам осмотреть рядом стоящий киоск на предмет его взломостойкости. Ну мы и оценили 😅

Выход за пределы песочницы киоска у меня занял около двух минут, при этом более половины времени я искал нужный мне инструмент у себя в рюкзаке. Киоск оказался на 💻 Windows 11 с двумя учетными записями, которые по классике — без пароля…

После получения первичного доступа я передал “управление” системой Дмитрию, так как именно он эксперт в тестировании на проникновение данной ОС. Система оказалась лимитированной и без прямого доступа к командной строке. Однако, небольшая магия “Проводника” и вот заветный черный экран открыт! Еще пару команд, и мы локальные админы.
Ну а дальше по классике через

netsh wlan show profiles

и все сохраненные Wi-Fi пароли, включая пароли для доступа к корпоративной среде, у нас в кармане.

На все про все у нас с Дмитрием ушло не более 5 минут. Мы реально даже не успели снять наши шапки, когда показательный аппаратный пентест уже закончился.
Но знаете, что было самое изумительное в тот момент?… Это глаза всех рядом присутствующих 😉

Как вы думаете, какой инструмент я использовал для выхода из песочницы?

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Защита персональных данных - это не только соблюдение норм закона под угрозой наказания (а в России 🇷🇺 это 2% от оборотного актива), но также репутационные риски, которые в денежном эквиваленте могут значительно превышать эти “копейки”. В большинстве случаев на лицо простой “мисконфиг”*, однако именно он может быть решающим в выборе именно вашего продукта.

За время моей работы я не раз сталкивался с ситуациями, когда неправильная конфигурация, которую даже и уязвимостью-то назвать сложно, приводила к печальным последствиям. Один из таких случаев произошел 4,5 года назад, когда я нашел способ выгрузить с сайта управляющей компании всех жителей с их ФИО, телефоном и электронной почтой через … простой поиск на сайте. По непонятной для меня причине разработчики прикрутили к поиску по контенту сайта еще и пользовательский поиск: по ключевым словам типа “@gmail.com” или “8903” выгружались все совпадения.
Немного магии программирования, 30 минут ожидания и вся клиентская база управляющей компании “у меня в кармане". Самое интересное началось потом: я уведомил администратора сайта о бреше в их безопасности, но даже через 1.5 года данная неверная настройка не была устранена.
Более подробно об этой истории вы можете почитать у меня на 🧠 сайте.

Текущая же история завирусилась около 1.5 месяцев назад в социальной сети 💬 и, на мое удивление, не получила огласки в РУ сегменте.
Так, в одной из сетей продуктовых магазинов, используя терминал самообслуживания, посетители могут оформить себе карту покупателя используя номер мобильного телефона. Проблема в том, что, если под указанным номером уже зарегистрирован покупатель, терминал показывает его полные ФИО и номер телефона. Такое себе решение, если честно.

Именно поэтому я стараюсь не регистрироваться и не оформлять себе карты постоянных покупателей, так как каждый из таких магазинов, где ПО пишется “на коленке”, это потенциальная зона риска, где протечка - это всего лишь вопрос времени.

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

* производное от misconfiguration - неправильная настройка

Цена коммерческой тайны — 1500 рублей: хроники цифровой свалки

Покупка «железа» с торгов по банкротству превратилась в стихийный пентест. Лот списанных HDD оказался не просто мусором, а решетом в контуре безопасности: бесплатный софт с GitHub за пару минут восстановил «стёртые» базы клиентов, ключи доступа и внутреннюю переписку. Никакой магии, только банальная физика магнитной записи.

Эксперимент быстро перестал быть томным и перерос в очное расследование: контрольная закупка, выход на источник утечки и неприятный разговор с безопасниками пострадавшей корпорации. 📝 Узнаем, почему в 2025 году кнопка «Форматировать» всё ещё остаётся главным вектором атаки.

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Покупаем книги пока это еще законно

В августе 2025 года на портале проектов нормативных правовых актов появился вариант поправки к Федеральному закону №149-ФЗ «Об информации, информационных технологиях и о защите информации» (проект ID 159652), которая формально вводит механизм досудебной блокировки ресурсов с «запрещённой» информацией. На странице проекта предложено дополнить статью 15.3 положением, дающим право блокировать сайты до судебного решения в отношении материалов, которые «предназначены для несанкционированного уничтожения, блокирования, модификации, копирования информации» или содержат программы с аналогичным назначением.

Формулировки в проекте настолько широки, что под ними легко могут оказаться не только злонамеренные инструкции и эксплойты, но и легальные исследования уязвимостей, PoC-доказательства, учебные материалы по пентесту и руководства по информационной безопасности. Уже сейчас эксперты и профильные СМИ констатируют: в таком виде поправка делает противозаконными «любые публикации, связанные с практикой информационной безопасности».

Открытое обсуждение уязвимостей и публикации PoC — важный механизм коллективной выработки защиты: разработчики получают сигналы о проблемах, администраторы инфраструктур — указания на слабые места, а обучающиеся — практику, необходимую для подготовки специалистов. Ограничение такого обмена ведёт к «затенению» уязвимостей: баги остаются неизвестными для добросовестных администраторов и одновременно становятся ценным активом для злоумышленников, которые не зависят от законов о «запрете информации». Единственное, на что мы сможем рассчитывать — патчи от вендоров, которые, как вы знаете, не всегда выходят день в день. Этого времени может быть достаточно для проведения атаки (вспоминаем 📝 log4jail).

Если поправка будет принята в её нынешней формулировке, я думаю, что мы рискуем получить среду с меньшим количеством профессиональных знаний, меньшей прозрачностью и повышенной уязвимостью.

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Все наверно слышали про негласные законы казино в Лас-Вегасе 🇺🇸: если человек нашел способ перехитрить систему или легальный способ получить преимущество (например, подсчет карт в Black Jack), то ему запрещен вход внутрь.
У нас, конечно, казино запрещены (за исключением нескольких регионов 🇷🇺), но похожий механизм в розничных сетях присутствует. Давайте сегодня разберемся, что это за система и как она работает.

Верхнеуровнево, система состоит из обычной цифровой видеокамеры, базы данных фотографий с “нежелательными посетителями” и, непосредственно, программного обеспечения для распознавания лиц.
Как это работает: лицо человека фиксируется на камеру (обычно на входе в магазин), ПО определяет ключевые показатели (расстояние между глазами и ртом, ширина и высота носа, форма и положение бровей, и т.д. - обычно около 81 landmarks’ов), которые потом сравниваются с паттернами в БД. Если совпадение найдено, то…

Министерство внутренних дел предупреждает: хищение имущества из магазина преследуется по закону и может повлечь административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Я думаю вы слышали такое или похожее громкое аудиосообщение во время нахождения в ТЦ или розничном магазине. Это как раз и есть работы пассивной системы безопасности по предупреждению краж.
Особую ценность представляют поставщики таких систем, которые взаимодействуют с несколькими торговыми сетями. Это означает, что если из “магазина 1” было что-то украдено, информация о нежелательном человеке попадает в “магазин 2” и “магазин 3”.
Удобно и безопасно? Конечно. Законно? Лично у меня есть к этому вопросы в части обработки ПДн.

В принципе, такую систему можно сделать самостоятельно: достаточно обычной веб-камеры (подойдет с вашего ноутбука) и парочку скриптов на Python по распознаванию лиц. К счастью, на 💻 GitHub таких проектов очень много. Поэтому, если вы владелец небольшого бизнеса и желаете сократить издержки - это достойная альтернатива и останется только добавить фотографии.

В рамках данной темы поделюсь с вами лайфхаком по законной проверке людей на благонадежность: пригласите проверяемого человека на чашку чая / кофе рядом с магазином, в котором установлена такая система. После чаепития зайдите в магазин: если система молчит - значит вашему знакомому можно доверять ;)

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Терминалы самообслуживания aka информационные киоски, в том числе с поддержкой оплаты, быстро и уверенно вошли в нашу жизнь.

Пoдoбныe систeмы чаcто испoльзуютcя в кaчeствe туpистичeских гидов и интepактивныx cправoчных cиcтем для пoкупателей бoльшиx тopгoвых цeнтров. Круглосуточный режим работы, возможность корректировки программного обеспечения по своему усмотрению, получение дохода от рекламы, отсутствие затрат на заработную плату – все это делает киоски самообслуживания одним из наиболее перспективных инструментов для развития бизнеса.

говорится в одном из объявлений на 🛍 Авито.

В целом я согласен с данной формулировкой. Однако, ккак показывает моя практика, данное оборудование не всегда настроено и сконфигурировано должным образом. Выход из песочницы, кража персональных данных, получение полного доступа и контроля над киоском - это далеко не полный перечень рисков, которые хранят в себе вышеуказанные программно-аппаратные “железки” и которые вы, как владельцы, должны устранять.

Обращает на себя внимание факт, что у каждого вендора своя технология производства киосков (это объясняется рыночной экономикой). В качестве стандартов безопасности используются общие ISO/IEC 2700x, а также специализированные PCI DSS, если киоск оборудован PoS-терминалом оплаты. В России имеется специфический ГОСТ Р 57277-2016 “Банкоматы и платежные терминалы. Средства технической защиты. Требования и методы испытаний на устойчивость к отрыву и взлому”.

А что с ОС? Тут, конечно, кому что удобно aka с чем умеет работать текущий админ, но в основном это 💻 Windows 11 (и никто его не активирует) или 🐧 GNU/Linux Ubuntu. Если мы говорим про первый вариант, то не стоит забывать о необходимости мощного железа, которое потянет эту операционку.
Линукс же можно запустить на списанном железе и оно проработает еще добрый десяток лет.

В настоящий момент, в рамках преподавательской деятельности в ❤️ МГТУ им. Баумана, один из моих студентов пишет дипломную работу по модернизации Linux, которая обеспечит изоляцию киосков от несанкционированного доступа.
В качестве некоторых решений, мы реализуем следующее:
- в качестве основы - Raspberry Pi OS
- отключение горячих клавиш (Ctrl+Alt+T, Alt+F2, …)
- отключение USB портов
- шифрование диска
- установка пароля на BIOS
- отключение sudo и настройка сетевого доступа по ключам
- удаление значков рабочего стола, ПКЛ и панелей управления…

Это далеко не полный перечень изменений, которые мы планируем затронуть в рамках дипломной работы. Вместе с тем, мы просим вашей помощи, дорогие подписчики: если у вас есть какие-то специфические требования к ОС, устанавливаемым на общедоступные киоски (мы слушаем и не осуждаем), мы будем рады их услышать и включить в работу. Спасибо большое ❤️‍🔥

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Мало кто знает, но у легендарного Raspberry Pi 5 есть брат-двойник. И речь идет не про китайские Orange Pi, Banana Pi, NanoPi, гонконгский Pine64, южнокорейский ODROID или другие не оригинальные Pi.
Я веду речь про Raspberry Pi Compute Module 5. Казалось бы, та же малина, та же 5-я версия, но в чем уникальность?

Raspberry Pi Compute Module 5 aka CM5 - это вычислительный модуль (System-on-Module, SoM), в котором собран «мозг» Raspberry Pi 5, но без привычных разъёмов USB, HDMI, Ethernet. Он предназначен не для прямого использования, а для встраивания в устройства и собственные платы.
То есть, если обычный Raspberry Pi — это готовый компьютер, то Compute Module 5 — это компьютерный модуль, который устанавливается в плату-носитель и используется в кастомных проектах.

Обычно CM5 используют в embedded устройствах в качестве терминалов, контроллеров, промышленных панелей, систем мониторинга; в робототехнике и автоматике для управления периферией и компьютерным зрением; в коммерческих продуктах как киоски, POS-терминалы, цифровые табло и медиа-плееры, а также для решения конкретных задач когда нужно убрать лишние разъёмы, сделать нестандартное питание, использовать PCIe, камеры, дисплеи напрямую и гарантировать долгую доступность (industrial lifecycle).

Самое приятное - цена девайся: в 2 раза дешевле старшего брата и составляет $45 или 3600 рублей по текущему курсу.

Однако и это не предел кастомизации. 4 месяца назад энтузиаст под ником schlae провел реверс инжиниринг CM5 и на своем 📱 GitHub разместил его детальную схему. Как пишет сам автор (в переводе):

Это обратно разработанная схема и топология печатной платы для Raspberry Pi Compute Module 5. Она не предназначена для изготовления — критические параметры целостности сигналов рассчитаны неверно, схема не на 100 % соответствует оригиналу, посадочные места компонентов не полностью совпадают, а спецификация (BOM) не была восстановлена. Кроме того, вы не сможете приобрести большинство микросхем, поскольку они являются кастомными для этого дизайна или доступны только крупным заказчикам напрямую, а не через дистрибьюторов.

Понятно, почему это изложено именно в таком виде (спойлер: чтобы избежать юридической ответственности), но я думаю в скором времени его репозитарий все равно затрут через суд. Поэтому, если есть интерес к данному проекту и направлению, рекомендую качнуть его локально:

git clone https://github.com/schlae/cm5-reveng.git

А вы уже использовали данное устройство в рамках своих проектов? Если да, то просьба поделиться обратной связью: насколько это выгодно по бюджету, быстрее по времени и удобней по исполнению.

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Amazon начал выявлять 🇰🇵 северокорейских госслужащих у себя в штате через keystroke.

Итак, что же в итоге произошло? Amazon, так же как и другие компании по всему миру, нанимает сотрудников в формате удаленного работы. Естественно, все действия такого работника находятся под постоянным контролем и keystroke (одно отдельное нажатие клавиши на клавиатуре) - один из таких “наблюдаемых”.
Пару недель назад в компанию наняли IT-специалиста и практически сразу же он попал в поле зрения ИБ. Проблема была в том, что паттерн временной задержки между вводом команд на корпоративном ноутбуке и их поступлением в штаб-квартиру должен укладываться в значение менее 100 миллисекунд. Однако, у новоявленного сотрудника фактическая задержка на постоянной основе составляла 110 миллисекунд, что указывало на то, что сотрудник находился значительно дальше, чем предполагалось изначально.
В ходе разбирательств выяснилось, что работник, у которого наблюдалась повышенная задержка, на самом деле был гражданином Северной Кореи и переправлял деньги (зарплату) в КНДР.
Как проходил скрининг кандидата мы оставим за скобками ;)

Этот факт напомнил мне историю, когда в советские времена шпионов вычисляли по скрепке на паспорте. Наши всегда ржавели и оставляли соответствующие следы. А у поддельных паспортов скрепка была из нержавеющей стали и не желтела со временем.
Так и тут: вроде бы мелкая и незначительная деталь, но сколько смысла она несет для понимающих.

Как резюмировал Петр Гирнус в своем 💬 посте:

Ты можешь подделать резюме, обойти службу безопасности и сэмитировать акцент, но ты не можешь обмануть законы физики и двигаться быстрее скорости света

Я думаю, что в ближайшем будущем данная метрика с подсчетом keystroke появится и в отечественных системам мониторинга и SOC по понятным причинам, а также ввиду особенностей законодательства про ставки НДФЛ.

Первоисточник принадлежит Bloomberg (требуется платная регистрация), однако почитать более подробно без регистрации и СМС лучше на PCGamer.

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

IDOR является одной из легких и очевидных уязвимостей в процессе тестирования веб-приложений, а также самой пакостной для владельцев бизнеса, так как оборотные штрафы за утечку ⚡️ ПДн никто не отменял. Если в строке браузера вы видите порядковый номер - будьте уверены, опытный хакер ее раскрутит.

Insecure Direct Object Reference aka Незащищённая прямая ссылка на объект - это уязвимость контроля доступа, при которой приложение напрямую использует идентификаторы объектов (ID пользователя, заказа, файла и т. п.) и не проверяет, имеет ли текущий пользователь право на доступ к этим объектам.
Если веб-приложение принимает параметр вроде

https://www.victimsite.ru/api/user?id=1337

и возвращает данные пользователя под порядковым номером 1337, не проверяя авторизацию, злоумышленник может изменить id на 1 или 152 и получить доступ к данным администратора или любого другого пользователя.

Одна из массовых потенциальных утечек по данной уязвимости произошла у меня пару лет назад, когда я нашел IDOR у одной из 🇺🇸американских компаний, занимающихся эвалюацией дипломов. Личный кабинет содержал ссылку вида

https://CENSORED.org/CENSORED/1004203/1205881

где последние цифры являлись порядковым номером пользователя в базе данных ресурса. Руководствуясь методологией, описанной в предыдущем абзаце, я смог получить персональные данные к 1.2 миллионам людей по всему миру, включая ФИО, телефон, домашний адрес, а также копии их дипломов.
Очень интересный кейс, более подробно о котором я описывал у себя на 🧠 сайте.

К чему я это все подвожу? Вчера наш с вами коллега и подписчик 💬 b0b_channel cкидывает мне интересную ссылку на сервис химчисток 🏳 Москвы и 🏳 Санкт-Петербурга, которая имеет вид

https://pay.CENSORED.ru/1001014253

Как можно видеть, данный портал является кабинетом заказов сети химчисток, где указан непосредственно клиент, оказываемые услуги и сумма заказа. Также там имеется ссылка на PDF, где указывается номер телефона и другая персонифицированная информация.
Увидев порядковый номер, Степан решил проверить, насколько качественно данная компания защищает его персональные данные и поменял последние цифры. Результат ожидаем - получаем ПДн третьего лица, а вместе с ним и еще 14+ тысяч человек.

В текущей ситуации, давайте включим наше воображение и подумаем, что с этими данными может сделать злоумышленник?
1️⃣ Зная полные ФИО и телефон человека, провести смишинг и/или вишинг
2️⃣ Прийти в химчистку и, предоставив bar-код заказа, указанный в PDF, похитить ковер Степана
3️⃣ Будучи конкурентной компанией, спарсить таким образом клиентскую базу и провести СМС-рассылку с целью переманить потенциальных заказчиков себе.

И тут возникает закономерный вопрос: какие действия необходимо предпринять Степану в текущей ситуации? С одной стороны, оказать помощь, чтобы данные не “утекали”. С другой стороны, компания, находящаяся на рынке более 50 лет и имеющая более 20 химчисток по всей России, но которая не смогла нанять специалиста по ИБ и защитить данные своих клиентов.

Что вы посоветуете Степану?

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

🎮 It Works: Electronics Repair Simulator Playtest

Разработчик игр Games Incubator (🇵🇱 Польша, Варшава), известный своими симуляторами отелей, магазинов электроники, собачьими приютами и т.д. выпускает на рынок игру-мечту любого аппаратчика — симулятор ремонта электроники.
Геймплей выстроен вокруг вас как владельца мини-мастерской в гараже: принимаете заказы, диагностируете проблему, ремонтируете, возвращаете. Зарабатывая деньги и репутацию, вы развиваете бизнес и, со временем, принимаете более сложные устройства на ремонт.

Однако нас интересует другая составляющая — игровое обучение радиотехнике. По заверениям разработчиков, игра наполнена детальными инструкциями, которые позволят правильно диагностировать проблему и выбрать подходящий способ ремонта. Из тизера видно, что игроку придется работать с мультиметром (по виду - DT832😅), отвертками, манипулировать пинцетами и другими инструментами, в том числе меняя батарейки CMOS, занимаясь пайкой и … общаться с клиентами напрямую.
На первый взгляд, игра вызывает у меня положительные эмоции и думаю будет востребована.

Системные требования игры минимальны, так что апгрейдить свою микроволновку не придется: 💻 Windows 10, Intel Core i5 3.0 GHz, 8 гигов RAM и 12 гигов свободного места на SSD. Видеокарта подойдет встроенная, но для полного погружения рекомендуется не ниже Nvidia GeForce GTX 970.
Языковая поддержка максимальная - целых 13, включая 🇷🇺 русский. Аудио сопровождение, к сожалению, так и останется на английском, но интерфейс и титры, по заверению разработчиков, полностью адаптированы.

Теперь плохие новости: игра выходит только в 2026 году, так что придется немного подождать. Однако уже сейчас вы можете добавить ее в вишлист и зарегистрироваться на плейтест.

Ну что, поиграем?

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Уважаемые друзья!
От всей души поздравляю вас с наступающим Новым 2026 годом!

Желаю вам крепкого здоровья, неиссякаемой энергии, новых профессиональных достижений и интересных научных проектов. Пусть каждый день приносит вам радость, гармонию в семье и окружении, а все планы реализуются легко и успешно.
Пусть Новый год станет для вас началом новых ярких страниц, наполненных теплом, приятными событиями и исполнением всех желаний!

С глубоким уважением и наилучшими пожеланиями, 📱 Иван Глинкин

В конце декабря 2025 года в 🇨🇳 китайском Чэнду прошёл концерт Wang Leehom — и он привлёк внимание мировой общественности одной неожиданной деталью: в роли бекстейдж-танцоров выступили роботы.

Так, китайская компания Unitree, специализирующаяся на разработке человекоподобных роботов (гуманоидов), в качестве демонстрации своих возможностей предоставила своих “танцоров”. На сцене роботы двигались быстро и плавно, без рывков, синхронно с музыкой и даже выполняли «волну». Но вишенкой на торте стал Webster flip, выполненный практически идеально (по крайней мере, с обывательской точки зрения).
Хочется процитировать классика и спросить:

Как тебе такое, Илон Макс?

Впрочем, он уже прокомментировал этот прыжок одним словом — 💬 Impressive

Похоже, что в ближайшие годы нас ждёт формирование отдельного направления — робо-пентеста, находящегося на стыке IoT, низкоуровневого программирования и ИИ. И вопрос будет уже не в том, умеют ли роботы танцевать, а в том — кто и как может ими управлять.

🧠 Поделись с теми, кому это может быть полезно 💬 Иван Глинкин

Признайтесь: сколько полезных статей вы сохранили в прошлом году — и так и не открыли? Новогодние каникулы — идеальный момент, чтобы без спешки наверстать упущенное.

Собрал в одном сообщении подборку наших с ❤️ Бастионом статей на 📝 Хабре за 2025. Никакой воды, только максимум пользы и интересной информации, до которой в рабочие будни не доходили руки:

1️⃣ Исследую роутеры с «вечным VPN» с российских маркетплейсов: admin:admin, открытые порты и доступ к соседям

2️⃣ Как я вскрыл «умный» замок пятью способами за пять минут

3️⃣ Red Team против умного замка: взламываем биометрическую СКУД при помощи скрепки и магнита

4️⃣ Корпоративные секреты по 1500 рублей: что мы нашли на списанных жестких дисках с барахолки

5️⃣ Ключ от всех дверей: MITM-атака на протокол Wiegand с помощью самодельной платы

6️⃣ Инфракрасный хакинг: взламываем пульт от телевизора Samsung

С чего начнём?

🧠 Поделись с теми, кому это может быть полезно 💬 Иван Глинкин

За неделю до нового года ко мне в частном порядке обратилась Татьяна (имя изменено) и попросила помощи в интересном расследовании. Она, будучи доверчивым человеком и уверенной в положительном исходе дела, инвестировала более миллиона рублей в 🖼️ криптовалюту. Как итог: личный кабинет инвестора - всего-лишь красивая картинка, а деньги - на китайских криптосчетах.
После того, как мне рассказали схему, я хотел поаплодировать стоя - настолько она изящная. Но когда я погрузился в расследование и увидел объем рынка - было тяжело прийти в себя.
Так что же все-таки произошло?

В первых числах декабря 2025 года Татьяна через сервис 💙 знакомства познакомилась с “молодым человеком” - Стасом. Как это обычно бывает, в первые пару дней конфетно-букетный период и переписки ни о чем. И вот через неделю общения Стас как бы невзначай “роняет”, что занимается инвестированием в крипту (очень прибыльно) и, если Татьяне интересно, он может познакомить ее с наставниками, которые “бесплатно” помогут “разобраться”.
Сказано - сделано, и вот Татьяна “инвестирует” свои первые 30 тысяч.

Но как это происходит? Татьяна открывает счет в банке 🏦 Цифра и переводит туда свои кровные. Далее, через внутренние возможности банка, открывает счет в отделении Цифры в 🇧🇾Республике Беларусь и переводит туда деньги.
Почему именно Беларусь? Во-первых, там можно работать с криптой в соответствии с Декретом №8 «О развитии цифровой экономики». Во-вторых, так как жертва сама переводит деньги между своими счетами в другую страну, местом совершения преступления будет являться не 🇷🇺 Россия.
Предварительно, для Татьяны создали сайт, на котором был сымитирован личный кабинет и номер криптосчета куда переводить деньги для пополнения/инвестирования.
Ну, а далее, со счета Белоруской Цифры на данный криптосчет был осуществлен перевод.

Далее по классике: дают вывести какие-то крохи, показывая прибыльность предприятия и “приглашая” внести еще средства: больше инвестируешь - больше заработаешь.
Внесся все, что было, а это порядком 1.2 миллиона рублей, Татьяна стала ждать прибыли.
Мошенники поняв, что Татьяна уже “пустая” продолжили схему. Стас, который все время был на связи и со стороны контролировал процесс, якобы закидывает на счет Татьяны 600.000 рублей, чтобы тоже “подзаработать”, но счет блокируется, так как транзакция была из ненадежного источника. Чтобы разблокировать и вывести средства - Татьяне нужно со своей стороны закинуть на криптосчет еще 600.000 рублей. Тут уже Татьяна все поняла и пришла ко мне за помощью.

В отличии от банковской тайны и ее централизованной системы, все транзакции по криптосчетам прозрачны: откуда, когда и сколько пришло; куда, когда и сколько ушло; и любой желающий может это посмотреть. Все, что нужно - номер счета.
После того, как Татьяна передала мне номер своего счета на проверку, я разработал и подготовил ПО, которое рекурсивно обходит все связные счета (см. картинку) и показывает связи между ними. Вот тут даже я, видавший виды, потерял дар речи.

Со счета Татьяны было проведено 2 исходящих платежа на разные криптосчета. Суммарно, на эти 2 счета пришло $1.8 миллионов… за 8 дней🤯 Итого, по моим скромным подсчетам, за декабрь было обмануто 846 человек на вышеуказанную сумму (средний “чек” - 170.000 рублей).
Далее, крипта пошла “отмываться” и сумма выросла до $3.7 миллионов.
Суммы, конечно, космические за такой короткий срок.

Более подробно о произошедшем я расскажу попозже в соответствующей статье с детальным расследованием.
И помните, что бесплатный сыр достается второй мышке бывает только в мышеловке.

🧠 Обязательно поделись с теми, кому это может быть полезно 📱 Иван Глинкин | ⚡️Бустануть канал

Один из негласных законов ИТ-мира звучит так:

Если за продукт не нужно платить, то продукт - это Вы!

Качаете пиратский софт - будьте готовы к троянам; бесплатный пробный период - введите данные банковской карты; установили бесплатную игру на телефон - дайте доступ к контактам и фотографиям!
Казалось бы, что все всё про это знают и осознают возможные последствия, но, как показывает практика, нет предела человеческой жадности. И раз уж мы начали неделю с мошенничества, то давайте продолжим тему и рассмотрим “новогодний подарок” от ИИ.

Аккурат под ёлочку, 30 декабря 2025 года, 🇮🇱 израильский исследователь Мойша Симан (Moshe Siman Tov Bustan) из компании OX Security опубликовал исследование относительно 2-х расширений для 📱 Chrome Browser. Так, вредоносы вводят пользователей в заблуждение, выдавая себя за легитимное расширение компании AITOPIA, которое добавляет боковую панель поверх любого сайта и позволяет общаться в чате с самыми популярными LLM на рынке.

Расширения крадут переписку с чат‑ботами 📱 ChatGPT и 🎥 DeepSeek, собирают данные о сайтах, которые посещает пользователь, а потом вся информация раз в 30 минут переправляется на С2-сервера злоумышленников. По предварительным данным, вредоносными расширениями успело воспользовались более 900 тысяч человек.
Иронично, что одно из расширений даже получило статус ⚡️ рекомендованного.

Техническая информация о расширениях:
1️⃣ Название: Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI | ID: fnmihdojmnkclgjpcoonokmkhjpjechg | Hash sum: 98d1f151872c27d0abae3887f7d6cb6e4ce29e99ad827cb077e1232bc4a69c00
2️⃣ Название: AI Sidebar with Deepseek, ChatGPT, Claude and more | ID: inhcgfpbfdjbjogdfjbclgolkmhnooop | Hash sum: 20ba72e91d7685926c8c1c5b4646616fa9d769e32c1bc4e9f15dddaf3429cea7

Зловредные ссылки (не забудьте добавить себе в файервол):
* chataigpt.pro (сервер Lovable)
* chatgptsidebar.pro (сервер Lovable)
* deepaichats.com (C2 Endpoints)
* chatsaigpt.com (C2 Endpoints)
* deepseek.ai (сайт)
* chatgptbuddy.com (сайт)

В настоящее время упомянутые зловредные расширения удалены из магазина, а сигнатуры с эндпоинтами добавлены в EDRы, включая Kaspersky. Однако это не означает, что не были сделаны аналоги/клоны, так что будьте на чеку.

p.s. а мы пока продолжим пользоваться самым хакерским браузером всех времен - 📱 Mozilla Firefox. Иногда это хорошо, что продукт не настолько популярен - злоумышленникам не рентабельно тратить свои ресурсы на узкую аудиторию. Опять возвращаемся к cost-benefit анализу ;)

🧠 Обязательно поделись с теми, кому это может быть полезно 📱 Иван Глинкин | ⚡️Бустануть канал

❤️ Ты или твой друг ищете работу в ИБ? Присмотритесь к вакансии в Бастионе!

Сейчас мы в активном поиске ведущего специалиста аппаратных исследований. География вакансии: Москва (гибридный график по рабочей необходимости).

Чем предстоит заниматься:

🔵Анализ встроенных систем и IoT-устройств на уязвимости;
🔘Исследование протоколов связи;
🔵Извлечение и анализ прошивок (dump, reverse engineering);
🔘Разработка и реализация эксплойтов для аппаратных векторов атак;
🔵Исследование безопасности ПО: hardcoded credentials, buffer overflow, insecure update, downgrade attack;
🔘Автоматизация анализа прошивок, поиска уязвимостей, сбора дампов;
🔵Разработка утилит, скриптов и PoC для демонстрации найденных проблем.

Заинтересовала вакансия? Пиши нашему рекрутеру Лене Куркиной @BastionRecruiting или отправляй резюме на почту career@bastion-tech.ru.

Мы предлагаем:

🔵работу в аккредитованной IT-компании;
🔘оформление по ТК РФ с первого дня и ДМС со стоматологией после испытательного срока;
🔵отсутствие тайм-трекеров;
🔘компенсацию внешнего обучения и участия в профильных конференциях;
🔵бонусы за дополнительную активность: статьи на Хабре, менторство на стажировках, участие в подкастах и т. д.

Все #Вакансии в Бастионе смотри на сайте.

@bastiontech подписаться