Терминалы самообслуживания aka информационные киоски, в том числе с поддержкой оплаты, быстро и уверенно вошли в нашу жизнь.

Пoдoбныe систeмы чаcто испoльзуютcя в кaчeствe туpистичeских гидов и интepактивныx cправoчных cиcтем для пoкупателей бoльшиx тopгoвых цeнтров. Круглосуточный режим работы, возможность корректировки программного обеспечения по своему усмотрению, получение дохода от рекламы, отсутствие затрат на заработную плату – все это делает киоски самообслуживания одним из наиболее перспективных инструментов для развития бизнеса.

говорится в одном из объявлений на 🛍 Авито.

В целом я согласен с данной формулировкой. Однако, ккак показывает моя практика, данное оборудование не всегда настроено и сконфигурировано должным образом. Выход из песочницы, кража персональных данных, получение полного доступа и контроля над киоском - это далеко не полный перечень рисков, которые хранят в себе вышеуказанные программно-аппаратные “железки” и которые вы, как владельцы, должны устранять.

Обращает на себя внимание факт, что у каждого вендора своя технология производства киосков (это объясняется рыночной экономикой). В качестве стандартов безопасности используются общие ISO/IEC 2700x, а также специализированные PCI DSS, если киоск оборудован PoS-терминалом оплаты. В России имеется специфический ГОСТ Р 57277-2016 “Банкоматы и платежные терминалы. Средства технической защиты. Требования и методы испытаний на устойчивость к отрыву и взлому”.

А что с ОС? Тут, конечно, кому что удобно aka с чем умеет работать текущий админ, но в основном это 💻 Windows 11 (и никто его не активирует) или 🐧 GNU/Linux Ubuntu. Если мы говорим про первый вариант, то не стоит забывать о необходимости мощного железа, которое потянет эту операционку.
Линукс же можно запустить на списанном железе и оно проработает еще добрый десяток лет.

В настоящий момент, в рамках преподавательской деятельности в ❤️ МГТУ им. Баумана, один из моих студентов пишет дипломную работу по модернизации Linux, которая обеспечит изоляцию киосков от несанкционированного доступа.
В качестве некоторых решений, мы реализуем следующее:
- в качестве основы - Raspberry Pi OS
- отключение горячих клавиш (Ctrl+Alt+T, Alt+F2, …)
- отключение USB портов
- шифрование диска
- установка пароля на BIOS
- отключение sudo и настройка сетевого доступа по ключам
- удаление значков рабочего стола, ПКЛ и панелей управления…

Это далеко не полный перечень изменений, которые мы планируем затронуть в рамках дипломной работы. Вместе с тем, мы просим вашей помощи, дорогие подписчики: если у вас есть какие-то специфические требования к ОС, устанавливаемым на общедоступные киоски (мы слушаем и не осуждаем), мы будем рады их услышать и включить в работу. Спасибо большое ❤️‍🔥

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Мало кто знает, но у легендарного Raspberry Pi 5 есть брат-двойник. И речь идет не про китайские Orange Pi, Banana Pi, NanoPi, гонконгский Pine64, южнокорейский ODROID или другие не оригинальные Pi.
Я веду речь про Raspberry Pi Compute Module 5. Казалось бы, та же малина, та же 5-я версия, но в чем уникальность?

Raspberry Pi Compute Module 5 aka CM5 - это вычислительный модуль (System-on-Module, SoM), в котором собран «мозг» Raspberry Pi 5, но без привычных разъёмов USB, HDMI, Ethernet. Он предназначен не для прямого использования, а для встраивания в устройства и собственные платы.
То есть, если обычный Raspberry Pi — это готовый компьютер, то Compute Module 5 — это компьютерный модуль, который устанавливается в плату-носитель и используется в кастомных проектах.

Обычно CM5 используют в embedded устройствах в качестве терминалов, контроллеров, промышленных панелей, систем мониторинга; в робототехнике и автоматике для управления периферией и компьютерным зрением; в коммерческих продуктах как киоски, POS-терминалы, цифровые табло и медиа-плееры, а также для решения конкретных задач когда нужно убрать лишние разъёмы, сделать нестандартное питание, использовать PCIe, камеры, дисплеи напрямую и гарантировать долгую доступность (industrial lifecycle).

Самое приятное - цена девайся: в 2 раза дешевле старшего брата и составляет $45 или 3600 рублей по текущему курсу.

Однако и это не предел кастомизации. 4 месяца назад энтузиаст под ником schlae провел реверс инжиниринг CM5 и на своем 📱 GitHub разместил его детальную схему. Как пишет сам автор (в переводе):

Это обратно разработанная схема и топология печатной платы для Raspberry Pi Compute Module 5. Она не предназначена для изготовления — критические параметры целостности сигналов рассчитаны неверно, схема не на 100 % соответствует оригиналу, посадочные места компонентов не полностью совпадают, а спецификация (BOM) не была восстановлена. Кроме того, вы не сможете приобрести большинство микросхем, поскольку они являются кастомными для этого дизайна или доступны только крупным заказчикам напрямую, а не через дистрибьюторов.

Понятно, почему это изложено именно в таком виде (спойлер: чтобы избежать юридической ответственности), но я думаю в скором времени его репозитарий все равно затрут через суд. Поэтому, если есть интерес к данному проекту и направлению, рекомендую качнуть его локально:

git clone https://github.com/schlae/cm5-reveng.git

А вы уже использовали данное устройство в рамках своих проектов? Если да, то просьба поделиться обратной связью: насколько это выгодно по бюджету, быстрее по времени и удобней по исполнению.

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Amazon начал выявлять 🇰🇵 северокорейских госслужащих у себя в штате через keystroke.

Итак, что же в итоге произошло? Amazon, так же как и другие компании по всему миру, нанимает сотрудников в формате удаленного работы. Естественно, все действия такого работника находятся под постоянным контролем и keystroke (одно отдельное нажатие клавиши на клавиатуре) - один из таких “наблюдаемых”.
Пару недель назад в компанию наняли IT-специалиста и практически сразу же он попал в поле зрения ИБ. Проблема была в том, что паттерн временной задержки между вводом команд на корпоративном ноутбуке и их поступлением в штаб-квартиру должен укладываться в значение менее 100 миллисекунд. Однако, у новоявленного сотрудника фактическая задержка на постоянной основе составляла 110 миллисекунд, что указывало на то, что сотрудник находился значительно дальше, чем предполагалось изначально.
В ходе разбирательств выяснилось, что работник, у которого наблюдалась повышенная задержка, на самом деле был гражданином Северной Кореи и переправлял деньги (зарплату) в КНДР.
Как проходил скрининг кандидата мы оставим за скобками ;)

Этот факт напомнил мне историю, когда в советские времена шпионов вычисляли по скрепке на паспорте. Наши всегда ржавели и оставляли соответствующие следы. А у поддельных паспортов скрепка была из нержавеющей стали и не желтела со временем.
Так и тут: вроде бы мелкая и незначительная деталь, но сколько смысла она несет для понимающих.

Как резюмировал Петр Гирнус в своем 💬 посте:

Ты можешь подделать резюме, обойти службу безопасности и сэмитировать акцент, но ты не можешь обмануть законы физики и двигаться быстрее скорости света

Я думаю, что в ближайшем будущем данная метрика с подсчетом keystroke появится и в отечественных системам мониторинга и SOC по понятным причинам, а также ввиду особенностей законодательства про ставки НДФЛ.

Первоисточник принадлежит Bloomberg (требуется платная регистрация), однако почитать более подробно без регистрации и СМС лучше на PCGamer.

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

IDOR является одной из легких и очевидных уязвимостей в процессе тестирования веб-приложений, а также самой пакостной для владельцев бизнеса, так как оборотные штрафы за утечку ⚡️ ПДн никто не отменял. Если в строке браузера вы видите порядковый номер - будьте уверены, опытный хакер ее раскрутит.

Insecure Direct Object Reference aka Незащищённая прямая ссылка на объект - это уязвимость контроля доступа, при которой приложение напрямую использует идентификаторы объектов (ID пользователя, заказа, файла и т. п.) и не проверяет, имеет ли текущий пользователь право на доступ к этим объектам.
Если веб-приложение принимает параметр вроде

https://www.victimsite.ru/api/user?id=1337

и возвращает данные пользователя под порядковым номером 1337, не проверяя авторизацию, злоумышленник может изменить id на 1 или 152 и получить доступ к данным администратора или любого другого пользователя.

Одна из массовых потенциальных утечек по данной уязвимости произошла у меня пару лет назад, когда я нашел IDOR у одной из 🇺🇸американских компаний, занимающихся эвалюацией дипломов. Личный кабинет содержал ссылку вида

https://CENSORED.org/CENSORED/1004203/1205881

где последние цифры являлись порядковым номером пользователя в базе данных ресурса. Руководствуясь методологией, описанной в предыдущем абзаце, я смог получить персональные данные к 1.2 миллионам людей по всему миру, включая ФИО, телефон, домашний адрес, а также копии их дипломов.
Очень интересный кейс, более подробно о котором я описывал у себя на 🧠 сайте.

К чему я это все подвожу? Вчера наш с вами коллега и подписчик 💬 b0b_channel cкидывает мне интересную ссылку на сервис химчисток 🏳 Москвы и 🏳 Санкт-Петербурга, которая имеет вид

https://pay.CENSORED.ru/1001014253

Как можно видеть, данный портал является кабинетом заказов сети химчисток, где указан непосредственно клиент, оказываемые услуги и сумма заказа. Также там имеется ссылка на PDF, где указывается номер телефона и другая персонифицированная информация.
Увидев порядковый номер, Степан решил проверить, насколько качественно данная компания защищает его персональные данные и поменял последние цифры. Результат ожидаем - получаем ПДн третьего лица, а вместе с ним и еще 14+ тысяч человек.

В текущей ситуации, давайте включим наше воображение и подумаем, что с этими данными может сделать злоумышленник?
1️⃣ Зная полные ФИО и телефон человека, провести смишинг и/или вишинг
2️⃣ Прийти в химчистку и, предоставив bar-код заказа, указанный в PDF, похитить ковер Степана
3️⃣ Будучи конкурентной компанией, спарсить таким образом клиентскую базу и провести СМС-рассылку с целью переманить потенциальных заказчиков себе.

И тут возникает закономерный вопрос: какие действия необходимо предпринять Степану в текущей ситуации? С одной стороны, оказать помощь, чтобы данные не “утекали”. С другой стороны, компания, находящаяся на рынке более 50 лет и имеющая более 20 химчисток по всей России, но которая не смогла нанять специалиста по ИБ и защитить данные своих клиентов.

Что вы посоветуете Степану?

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

🎮 It Works: Electronics Repair Simulator Playtest

Разработчик игр Games Incubator (🇵🇱 Польша, Варшава), известный своими симуляторами отелей, магазинов электроники, собачьими приютами и т.д. выпускает на рынок игру-мечту любого аппаратчика — симулятор ремонта электроники.
Геймплей выстроен вокруг вас как владельца мини-мастерской в гараже: принимаете заказы, диагностируете проблему, ремонтируете, возвращаете. Зарабатывая деньги и репутацию, вы развиваете бизнес и, со временем, принимаете более сложные устройства на ремонт.

Однако нас интересует другая составляющая — игровое обучение радиотехнике. По заверениям разработчиков, игра наполнена детальными инструкциями, которые позволят правильно диагностировать проблему и выбрать подходящий способ ремонта. Из тизера видно, что игроку придется работать с мультиметром (по виду - DT832😅), отвертками, манипулировать пинцетами и другими инструментами, в том числе меняя батарейки CMOS, занимаясь пайкой и … общаться с клиентами напрямую.
На первый взгляд, игра вызывает у меня положительные эмоции и думаю будет востребована.

Системные требования игры минимальны, так что апгрейдить свою микроволновку не придется: 💻 Windows 10, Intel Core i5 3.0 GHz, 8 гигов RAM и 12 гигов свободного места на SSD. Видеокарта подойдет встроенная, но для полного погружения рекомендуется не ниже Nvidia GeForce GTX 970.
Языковая поддержка максимальная - целых 13, включая 🇷🇺 русский. Аудио сопровождение, к сожалению, так и останется на английском, но интерфейс и титры, по заверению разработчиков, полностью адаптированы.

Теперь плохие новости: игра выходит только в 2026 году, так что придется немного подождать. Однако уже сейчас вы можете добавить ее в вишлист и зарегистрироваться на плейтест.

Ну что, поиграем?

🔁 Поделись с теми, кому это может быть полезно 📱 Иван Глинкин

Уважаемые друзья!
От всей души поздравляю вас с наступающим Новым 2026 годом!

Желаю вам крепкого здоровья, неиссякаемой энергии, новых профессиональных достижений и интересных научных проектов. Пусть каждый день приносит вам радость, гармонию в семье и окружении, а все планы реализуются легко и успешно.
Пусть Новый год станет для вас началом новых ярких страниц, наполненных теплом, приятными событиями и исполнением всех желаний!

С глубоким уважением и наилучшими пожеланиями, 📱 Иван Глинкин

В конце декабря 2025 года в 🇨🇳 китайском Чэнду прошёл концерт Wang Leehom — и он привлёк внимание мировой общественности одной неожиданной деталью: в роли бекстейдж-танцоров выступили роботы.

Так, китайская компания Unitree, специализирующаяся на разработке человекоподобных роботов (гуманоидов), в качестве демонстрации своих возможностей предоставила своих “танцоров”. На сцене роботы двигались быстро и плавно, без рывков, синхронно с музыкой и даже выполняли «волну». Но вишенкой на торте стал Webster flip, выполненный практически идеально (по крайней мере, с обывательской точки зрения).
Хочется процитировать классика и спросить:

Как тебе такое, Илон Макс?

Впрочем, он уже прокомментировал этот прыжок одним словом — 💬 Impressive

Похоже, что в ближайшие годы нас ждёт формирование отдельного направления — робо-пентеста, находящегося на стыке IoT, низкоуровневого программирования и ИИ. И вопрос будет уже не в том, умеют ли роботы танцевать, а в том — кто и как может ими управлять.

🧠 Поделись с теми, кому это может быть полезно 💬 Иван Глинкин

Признайтесь: сколько полезных статей вы сохранили в прошлом году — и так и не открыли? Новогодние каникулы — идеальный момент, чтобы без спешки наверстать упущенное.

Собрал в одном сообщении подборку наших с ❤️ Бастионом статей на 📝 Хабре за 2025. Никакой воды, только максимум пользы и интересной информации, до которой в рабочие будни не доходили руки:

1️⃣ Исследую роутеры с «вечным VPN» с российских маркетплейсов: admin:admin, открытые порты и доступ к соседям

2️⃣ Как я вскрыл «умный» замок пятью способами за пять минут

3️⃣ Red Team против умного замка: взламываем биометрическую СКУД при помощи скрепки и магнита

4️⃣ Корпоративные секреты по 1500 рублей: что мы нашли на списанных жестких дисках с барахолки

5️⃣ Ключ от всех дверей: MITM-атака на протокол Wiegand с помощью самодельной платы

6️⃣ Инфракрасный хакинг: взламываем пульт от телевизора Samsung

С чего начнём?

🧠 Поделись с теми, кому это может быть полезно 💬 Иван Глинкин

За неделю до нового года ко мне в частном порядке обратилась Татьяна (имя изменено) и попросила помощи в интересном расследовании. Она, будучи доверчивым человеком и уверенной в положительном исходе дела, инвестировала более миллиона рублей в 🖼️ криптовалюту. Как итог: личный кабинет инвестора - всего-лишь красивая картинка, а деньги - на китайских криптосчетах.
После того, как мне рассказали схему, я хотел поаплодировать стоя - настолько она изящная. Но когда я погрузился в расследование и увидел объем рынка - было тяжело прийти в себя.
Так что же все-таки произошло?

В первых числах декабря 2025 года Татьяна через сервис 💙 знакомства познакомилась с “молодым человеком” - Стасом. Как это обычно бывает, в первые пару дней конфетно-букетный период и переписки ни о чем. И вот через неделю общения Стас как бы невзначай “роняет”, что занимается инвестированием в крипту (очень прибыльно) и, если Татьяне интересно, он может познакомить ее с наставниками, которые “бесплатно” помогут “разобраться”.
Сказано - сделано, и вот Татьяна “инвестирует” свои первые 30 тысяч.

Но как это происходит? Татьяна открывает счет в банке 🏦 Цифра и переводит туда свои кровные. Далее, через внутренние возможности банка, открывает счет в отделении Цифры в 🇧🇾Республике Беларусь и переводит туда деньги.
Почему именно Беларусь? Во-первых, там можно работать с криптой в соответствии с Декретом №8 «О развитии цифровой экономики». Во-вторых, так как жертва сама переводит деньги между своими счетами в другую страну, местом совершения преступления будет являться не 🇷🇺 Россия.
Предварительно, для Татьяны создали сайт, на котором был сымитирован личный кабинет и номер криптосчета куда переводить деньги для пополнения/инвестирования.
Ну, а далее, со счета Белоруской Цифры на данный криптосчет был осуществлен перевод.

Далее по классике: дают вывести какие-то крохи, показывая прибыльность предприятия и “приглашая” внести еще средства: больше инвестируешь - больше заработаешь.
Внесся все, что было, а это порядком 1.2 миллиона рублей, Татьяна стала ждать прибыли.
Мошенники поняв, что Татьяна уже “пустая” продолжили схему. Стас, который все время был на связи и со стороны контролировал процесс, якобы закидывает на счет Татьяны 600.000 рублей, чтобы тоже “подзаработать”, но счет блокируется, так как транзакция была из ненадежного источника. Чтобы разблокировать и вывести средства - Татьяне нужно со своей стороны закинуть на криптосчет еще 600.000 рублей. Тут уже Татьяна все поняла и пришла ко мне за помощью.

В отличии от банковской тайны и ее централизованной системы, все транзакции по криптосчетам прозрачны: откуда, когда и сколько пришло; куда, когда и сколько ушло; и любой желающий может это посмотреть. Все, что нужно - номер счета.
После того, как Татьяна передала мне номер своего счета на проверку, я разработал и подготовил ПО, которое рекурсивно обходит все связные счета (см. картинку) и показывает связи между ними. Вот тут даже я, видавший виды, потерял дар речи.

Со счета Татьяны было проведено 2 исходящих платежа на разные криптосчета. Суммарно, на эти 2 счета пришло $1.8 миллионов… за 8 дней🤯 Итого, по моим скромным подсчетам, за декабрь было обмануто 846 человек на вышеуказанную сумму (средний “чек” - 170.000 рублей).
Далее, крипта пошла “отмываться” и сумма выросла до $3.7 миллионов.
Суммы, конечно, космические за такой короткий срок.

Более подробно о произошедшем я расскажу попозже в соответствующей статье с детальным расследованием.
И помните, что бесплатный сыр достается второй мышке бывает только в мышеловке.

🧠 Обязательно поделись с теми, кому это может быть полезно 📱 Иван Глинкин | ⚡️Бустануть канал

Один из негласных законов ИТ-мира звучит так:

Если за продукт не нужно платить, то продукт - это Вы!

Качаете пиратский софт - будьте готовы к троянам; бесплатный пробный период - введите данные банковской карты; установили бесплатную игру на телефон - дайте доступ к контактам и фотографиям!
Казалось бы, что все всё про это знают и осознают возможные последствия, но, как показывает практика, нет предела человеческой жадности. И раз уж мы начали неделю с мошенничества, то давайте продолжим тему и рассмотрим “новогодний подарок” от ИИ.

Аккурат под ёлочку, 30 декабря 2025 года, 🇮🇱 израильский исследователь Мойша Симан (Moshe Siman Tov Bustan) из компании OX Security опубликовал исследование относительно 2-х расширений для 📱 Chrome Browser. Так, вредоносы вводят пользователей в заблуждение, выдавая себя за легитимное расширение компании AITOPIA, которое добавляет боковую панель поверх любого сайта и позволяет общаться в чате с самыми популярными LLM на рынке.

Расширения крадут переписку с чат‑ботами 📱 ChatGPT и 🎥 DeepSeek, собирают данные о сайтах, которые посещает пользователь, а потом вся информация раз в 30 минут переправляется на С2-сервера злоумышленников. По предварительным данным, вредоносными расширениями успело воспользовались более 900 тысяч человек.
Иронично, что одно из расширений даже получило статус ⚡️ рекомендованного.

Техническая информация о расширениях:
1️⃣ Название: Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI | ID: fnmihdojmnkclgjpcoonokmkhjpjechg | Hash sum: 98d1f151872c27d0abae3887f7d6cb6e4ce29e99ad827cb077e1232bc4a69c00
2️⃣ Название: AI Sidebar with Deepseek, ChatGPT, Claude and more | ID: inhcgfpbfdjbjogdfjbclgolkmhnooop | Hash sum: 20ba72e91d7685926c8c1c5b4646616fa9d769e32c1bc4e9f15dddaf3429cea7

Зловредные ссылки (не забудьте добавить себе в файервол):
* chataigpt.pro (сервер Lovable)
* chatgptsidebar.pro (сервер Lovable)
* deepaichats.com (C2 Endpoints)
* chatsaigpt.com (C2 Endpoints)
* deepseek.ai (сайт)
* chatgptbuddy.com (сайт)

В настоящее время упомянутые зловредные расширения удалены из магазина, а сигнатуры с эндпоинтами добавлены в EDRы, включая Kaspersky. Однако это не означает, что не были сделаны аналоги/клоны, так что будьте на чеку.

p.s. а мы пока продолжим пользоваться самым хакерским браузером всех времен - 📱 Mozilla Firefox. Иногда это хорошо, что продукт не настолько популярен - злоумышленникам не рентабельно тратить свои ресурсы на узкую аудиторию. Опять возвращаемся к cost-benefit анализу ;)

🧠 Обязательно поделись с теми, кому это может быть полезно 📱 Иван Глинкин | ⚡️Бустануть канал

❤️ Ты или твой друг ищете работу в ИБ? Присмотритесь к вакансии в Бастионе!

Сейчас мы в активном поиске ведущего специалиста аппаратных исследований. География вакансии: Москва (гибридный график по рабочей необходимости).

Чем предстоит заниматься:

🔵Анализ встроенных систем и IoT-устройств на уязвимости;
🔘Исследование протоколов связи;
🔵Извлечение и анализ прошивок (dump, reverse engineering);
🔘Разработка и реализация эксплойтов для аппаратных векторов атак;
🔵Исследование безопасности ПО: hardcoded credentials, buffer overflow, insecure update, downgrade attack;
🔘Автоматизация анализа прошивок, поиска уязвимостей, сбора дампов;
🔵Разработка утилит, скриптов и PoC для демонстрации найденных проблем.

Заинтересовала вакансия? Пиши нашему рекрутеру Лене Куркиной @BastionRecruiting или отправляй резюме на почту career@bastion-tech.ru.

Мы предлагаем:

🔵работу в аккредитованной IT-компании;
🔘оформление по ТК РФ с первого дня и ДМС со стоматологией после испытательного срока;
🔵отсутствие тайм-трекеров;
🔘компенсацию внешнего обучения и участия в профильных конференциях;
🔵бонусы за дополнительную активность: статьи на Хабре, менторство на стажировках, участие в подкастах и т. д.

Все #Вакансии в Бастионе смотри на сайте.

@bastiontech подписаться