РТ-ИБ
1.25K subscribers
1.34K photos
50 videos
3 files
140 links
РТ-Информационная безопасность

Актуальные новости, советы и обзоры технологий для защиты данных. Будьте в курсе киберугроз и научитесь эффективно защищать свои цифровые ресурсы с нами!

Наш официальный сайт — https://rt-ib.ru
Download Telegram
РТ-ИБ pinned a photo
👾 LithiumWare: крошечный вирус, огромный выкуп

Исследователи в области кибербезопасности обнаружили новый вирус-вымогатель — LithiumWare, который распространяется через открытые источники и представляет серьёзную угрозу пользователям и компаниям.
Несмотря на размер всего 103 КБ, вредоносное ПО обладает мощным функционалом и требует за расшифровку данных выкуп до $900 000.

Как действует вирус?
1️⃣ Шифрует файлы с использованием асимметричных алгоритмов шифрования AES и RSA, делая восстановление без ключа злоумышленников практически невозможным.
2️⃣ Постоянно отслеживает буфер обмена, что позволяет перехватывать криптовалютные переводы, подменяя адреса кошельков.
3️⃣ Удаляет теневые копии файлов и отключает механизмы восстановления Windows.
4️⃣ Изменяет ключи реестра и каталоги автозагрузки для автоматического запуска при включении системы.
5️⃣ Мимикрирует под легитимные приложения и сервисы Windows.
6️⃣ Самостоятельно распространяется во все доступные сетевые директории, а также на съёмные носители, что делает его особенно опасным для корпоративных сред.

❗️Важно: LithiumWare — одна из самых опасных киберугроз последних месяцев. Его возможности делают восстановление данных практически невозможным без уплаты выкупа, поэтому критически важно принять меры защиты заранее.

Эксперты РТ-Информационная безопасность рекомендуют:
📎Не открывать и не запускать файлы, полученные из недоверенных источников.
📎Использовать многофакторную аутентификацию и ограничивать доступ к важным данным.
📎Создавать резервные копии и хранить их в изолированной среде.
📎Обновлять операционную систему и антивирусное ПО до актуальных версий.
📎Использовать RT Protect EDR для выявления аномальной активности.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
137👍73😁2
[АРХИВНАЯ ЗАПИСЬ: Эдвард Сноуден]
КЛАССИФИКАЦИЯ: Крупнейшая утечка секретных данных АНБ
ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: 5 июня 2013
ПЕРИОД СБОРА ДАННЫХ: 2009 – 2013
ЧИСЛО ОБНАРОДОВАННЫХ ДОКУМЕНТОВ: 200 тыс. секретных документов


ВЫПИСКА ИЗ ОТЧЕТА
Эдвард Сноуден — бывший сотрудник ЦРУ и АНБ, передавший в 2013 году СМИ секретные документы, обнародовав доказательства массовой слежки за гражданами США и других стран.
Среди утечек оказались подробности о секретных программах АНБ, направленных на глобальный контроль интернет-коммуникаций и телефонных разговоров. Эти документы показали, что США следили не только за потенциальными террористами, но и за обычными людьми, журналистами, бизнесменами, а также за мировыми лидерами, включая канцлера Германии Ангелу Меркель и президентов стран-союзников.


Ключевые разоблачения Сноудена
📎Программа X-Keyscore, которая позволяла АНБ просматривать содержимое электронной почты, чатов, поисковых запросов и других видов онлайн-активности по всему миру.
📎Программа Tempora, которая позволяла британской разведке GCHQ перехватывать и хранить огромные объемы интернет-трафика, проходящего через оптоволоконные кабели.
📎Программа Boundless Informant, которая показывала, сколько данных собирает АНБ по разным странам и регионам.
📎Программа Bullrun, которая позволяла АНБ взламывать защищенные шифрованием коммуникации.
📎Программа Muscular, которая позволяла АНБ и GCHQ взламывать линии связи, соединяющие центры обработки данных Google и Yahoo и копировать их данные.
📎Программа Quantum, которая позволяла АНБ внедрять программное обеспечение для прослушивания и шпионажа в компьютеры и смартфоны целевых лиц и организаций.
📎Программа Fairview, которая позволяла АНБ сотрудничать с американскими телекоммуникационными компаниями для перехвата данных зарубежных граждан.

ПОСЛЕДСТВИЯ
⚫️ Международный скандал. США были вынуждены оправдываться перед союзниками, а отношения с Германией и Францией резко ухудшились.
⚫️ Общественные протесты против слежки, которые привели к обсуждению реформ национальной безопасности.
⚫️ Крупнейшие IT-компании пересмотрели свои подходы к конфиденциальности и усилили защиту данных пользователей.
⚫️ В 2015 году Конгресс США принял Закон о свободе США (USA Freedom Act), который ограничил полномочия АНБ по массовому сбору данных.
⚫️ Сноуден стал международным символом борьбы за цифровые права и приватность.

ХРОНОЛОГИЯ СОБЫТИЙ
Март 2013 — Сноуден принимает решение разоблачить АНБ.
Май 2013 — Покидает США и отправляется в Гонконг, где связывается с журналистами The Guardian и The Washington Post.
5 июня 2013 — Первые разоблачения о программе PRISM публикуются в The Guardian.
21 июня 2013 — США предъявляют Сноудену обвинения в шпионаже и аннулируют его паспорт.
23 июня 2013 — Сноуден вылетает в Москву, планируя добраться до Латинской Америки, но застревает в транзитной зоне аэропорта Шереметьево из-за аннулированного паспорта.
Август 2013 — Россия предоставляет Сноудену временное убежище.
2017 — Получает право на постоянное проживание в России.
2020 — Эдварду Сноудену предоставляют российское гражданство.

РЕКОМЕНДАЦИИ
1️⃣ Старайтесь использовать только то программное обеспечение, которому вы доверяете.
2️⃣ Следите за разрешениями приложений — многие программы получают доступ к вашим контактам, микрофону и местоположению.
3️⃣ Отключайте GPS и микрофон, если не используете их.

Документ закрыт. Доступ ограничен.

#Архив
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14118
KillChain: закулисье хакерской атаки

📢 Привет! На связи Андрей Федоров, аналитик мониторинга и реагирования RT Protect SOC. Сегодня открываем первую главу разбора: как атакующий получает начальный доступ в инфраструктуру. Готовы заглянуть по ту сторону безопасности?

Этап 0 — Получение информации и подготовка к атаке
Прежде чем атакующий начнет активные действия, ему нужно найти уязвимость и спланировать атаку.
⚫️ В нашем случае он обнаружил почтовый сервер Microsoft Exchange Server версии 2016 CU12, который имеет критическую цепочку уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
⚫️ Для проверки того, что данный сервер уязвим для ProxyShell, был использован Python-скрипт, который позволил определить точную версию Exchange.
⚫️ ProxyShell позволяет злоумышленнику удаленно выполнить код на сервере без аутентификации. Если сервер Microsoft Exchange 2016 не обновлен до Cumulative Update 21, он остается под угрозой.

Инструменты, которые использует атакующий
📎 Фреймворк Metasploit
📎 BOF MiniDumpWriteDump
📎 Программа pypykatz
📎 Инструмент CrackMapExec
📎 Сетевой сканер Nmap
📎 Программа John The Ripper
📎 Утилита PsExec

Этап 1 — Получение первоначального доступа
В Metasploit атакующий находит подходящий эксплойт, указывает параметры и запускает атаку.
Результат? Он получает удаленный доступ к серверу Microsoft Exchange. Может загружать вредоносные файлы и выполнять команды. Но система защиты тоже не спит.

Как отреагировал RT Protect EDR?
За считанные секунды система зафиксировала три инцидента:
1️⃣ Детектирование веб-шелла
Обнаружена попытка загрузки вредоносного веб-шелла через процесс MSExchangeMailboxReplication.exe.
2️⃣ Блокировка веб-шелла
Второй веб-шелл создается через процесс System.
3️⃣ Обнаружение подозрительного PowerShell-кода
Третий инцидент возник из-за наличия подозрительного параметра powershell в командной строке, в том числе из-за наличия base64 строки.

Итоги первой фазы атаки
⬛️ Что удалось атакующему?
Успешно загрузить веб-шелл и получить первоначальный доступ в инфраструктуру.

⬛️ Что увидел RT Protect EDR?
Данная активность была обнаружена RT Protect EDR и потенциально могла быть заблокирована.

🔥 Подписывайтесь, чтобы не пропустить
Следующая часть разбора выйдет ровно через 7 дней!

#KillChain
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1388
Опасная уязвимость в WebKit: срочное обновление для пользователей Apple

❗️Apple выпустила экстренное обновление безопасности из-за критической уязвимости в WebKit — движке, на котором работает Safari и другие приложения. Ошибка уже использовалась хакерами для атак.

Что произошло?
В коде WebKit обнаружена уязвимость CVE-2025-24201, которая позволяет злоумышленникам выйти за пределы песочницы и выполнять вредоносные команды. Достаточно открыть специально созданный сайт — и система может быть скомпрометирована.

Кто в зоне риска?
1️⃣ iPhone XS и более поздние модели;
2️⃣ iPad Pro (начиная с 3-го поколения 12,9-дюймовой версии и 1-го поколения 11-дюймовой версии);
3️⃣ iPad Air (с 3-го поколения);
4️⃣ iPad (с 7-го поколения);
5️⃣ iPad mini (с 5-го поколения);
6️⃣ компьютеры Mac под управлением macOS Sequoia;
7️⃣ гарнитура Apple Vision Pro.

Что делать?
Apple уже выпустила патчи:
📎 iOS / iPadOS 18.3.2
📎 macOS 15.3.2
📎 visionOS 2.3.2
📎 Safari 18.3.1

Чтобы защитить устройства, обновитесь прямо сейчас.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
96👍5👎2
📢 Итоги конференции AM Live

12 марта на онлайн-конференции эксперты обсудили, как эффективно организовать процесс реагирования на киберинциденты и сделать его неотъемлемой частью бизнес-процессов, рассмотрели формирование и подготовку команд, а также распределение ответственности между департаментами ИТ, ИБ и АСУ ТП.

Васильев Константин, заместитель руководителя RT Protect SOC, отметил:
«Считаю, что мы провели конструктивный диалог, полный мнениями ведущих экспертов рынка по реагированию на инциденты ИБ. Особо отмечаю, что по результатам обратной связи многие зрители приняли решение по доработке процессов реагирования в своих организациях, что является лучшей оценкой нашего эфира».


Если пропустили эфир, запись уже доступна на:

🟡 VK Видео

🟡 Рутуб

🟡 YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1398
RT Protect NTA: полный контроль над вашим трафиком

Вы уверены, что видите всё, что происходит в вашей сети?

Утечки данных, подозрительные соединения, скрытые угрозы — большинство атак остаются незамеченными, пока не становится слишком поздно. RT Protect NTA — это инструмент, который превращает хаос сетевого трафика в чёткую картину и помогает выявлять угрозы раньше, чем они нанесут ущерб.

Что даёт RT Protect NTA?
🟡 Полный захват сетевого трафика, как локального, так и интернет-взаимодействий.
🟡 Обнаружение атак и несанкционированных подключений в режиме реального времени.
🟡 Контроль действий сотрудников в сети и выявление подозрительной активности.
🟡 Запись и анализ трафика с возможностью ретроспективного расследования.
🟡 Автоматическое выявление утечек данных и нарушений политики безопасности.
🟡 Минимизация финансовых и репутационных рисков за счёт быстрого реагирования.

Как это работает?
RT Protect NTA фиксирует и классифицирует весь сетевой трафик, используя передовые алгоритмы машинного обучения. Система записывает трафик на диск со скоростью до 20 Гбит/с, позволяет анализировать прошлые инциденты и интегрируется с SIEM-решениями для автоматического реагирования.
📎Мониторинг в реальном времени отображает сетевую активность в удобном формате.
📎Ретроспективный анализ помогает разбирать инциденты с учётом всех деталей.
📎Анализаторы трафика выявляют аномалии, отклонения от нормального поведения и потенциальные угрозы.
📎Идентификация протоколов позволяет точно определять более 1000 видов сетевого взаимодействия.

Кому это нужно?
1️⃣ Крупному бизнесу, где критически важна защита от целевых атак и утечек информации.
2️⃣ Средним компаниям, которым нужно автоматизировать процессы информационной безопасности и снизить нагрузку на команду.
3️⃣ Малому бизнесу, чтобы избежать потерь из-за киберинцидентов и защитить конфиденциальную информацию.

Почему RT Protect NTA?
Поток данных в компании огромен, и среди привычных процессов легко спрятаться атаке. RT Protect NTA не просто собирает информацию, а делает её понятной. Полный контроль над сетью — это не опция, а необходимость в современном мире.

#RT_Protect_NTA
Please open Telegram to view this post
VIEW IN TELEGRAM
119👍642
РТ-ИБ pinned a photo
16 RTX 4090 vs Akira Ransomware

Вирус-вымогатель Akira атакует пользователей Linux, шифруя файлы и требуя выкуп за их восстановление. Обычно такие атаки считаются безнадёжными, но исследователь кибербезопасности Йоханес Нугрохо доказал обратное. Он разработал инструмент, который позволяет расшифровать файлы без оплаты злоумышленникам, используя вычислительную мощность видеокарт.

Почему шифрование Akira можно взломать?
Akira генерирует уникальный ключ для каждого файла на основе временной метки в наносекундах. Это делает подбор ключа практически невозможным, поскольку количество вариантов огромно. Но есть нюанс: временные метки можно предсказать, если проанализировать логи системы.
Нугрохо использовал эту слабость, чтобы сузить диапазон возможных ключей и применить метод перебора. Однако из-за сложного механизма шифрования Akira процесс оказался очень ресурсоёмким.

Почему понадобились 16 RTX 4090?
🟡 Первая попытка: тесты на RTX 3060 показали, что карта выполняет всего лишь 60 миллионов попыток расшифровки в секунду.
🟡 Вторая попытка: RTX 3090 оказалась мощнее, но всё равно недостаточно производительной.
🟡 Решение: аренда 16 видеокарт RTX 4090 в облачных сервисах. Такой мощности хватило, чтобы завершить подбор ключа за 10 часов.

Что это значит для пользователей?
📎 Если ваши файлы зашифрованы Akira, их можно восстановить без выкупа.
📎 Исходный код инструмента доступен на GitHub с инструкцией.
📎 Время расшифровки зависит от объёма файлов: чем их больше, тем дольше процесс.

Важно! Перед использованием инструмента сделайте резервные копии — ошибки в подборе ключей могут повредить файлы.

Что дальше?
Этот случай показывает, что современные вирусы-вымогатели не всегда непобедимы. Однако хакеры тоже совершенствуют свои методы, и защита данных остаётся важнейшей задачей.

Чтобы не стать жертвой шифровальщиков:
1️⃣ Делайте резервные копии важных данных на отдельном носителе.
2️⃣ Не скачивайте подозрительные файлы и обновляйте ПО.
3️⃣ Используйте RT Protect Антишифр, чтобы предотвратить атаки шифровальщиков.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍99531
📢 Итоги акции

В рамках акции «100 дней — 100 компаний» мы предложили вам бесплатно протестировать RT Protect Антишифр — модуль, который предотвращает атаки программ-шифровальщиков.

Более 50 компаний приняли участие, и вот результат:
1️⃣ Ни одной успешной атаки программ-шифровальщиков после внедрения защиты.
2️⃣ Критические файлы остаются в безопасности, даже если вирус проник в систему.
3️⃣ Ни рубля на выкуп — бизнес не тратил время и деньги на восстановление.

Как работает RT Protect Антишифр?
📎 Останавливает вредоносный процесс, даже если он работает в связке с другими программами.
📎 Блокирует опасные операции до того, как они нанесут вред.
📎 Автоматически сохраняет копии важных файлов в защищённом хранилище.

RT Protect Антишифр доказал: кибератаки — это не приговор, если защита работает на опережение.

А ваша компания готова к атакам шифровальщиков?
Please open Telegram to view this post
VIEW IN TELEGRAM
18105👍4
Киберугроза или фантазия?

Ниже представлены два сценария кибератак. Один из них уже представляет угрозу миллиардам устройств, а второй — пока лишь плод воображения. Сможете угадать, какой сценарий настоящий?

Сценарий 1: Миллиард устройств под угрозой – бэкдор в Bluetooth-чипе
1️⃣ Цель атаки: получение полного контроля над уязвимыми гаджетами через скрытые команды.
2️⃣ Метод: в популярном микрочипе ESP32 от компании Espressif обнаружен скрытый набор из 29 команд, позволяющих злоумышленникам манипулировать Bluetooth-функциями устройства.
3️⃣ Последствия: возможность подделки доверенных устройств, кража данных, использование чипа как точки для атак на другие устройства в сети, закладка вредоносного кода.

Дополнительные детали:
📎Исследование проводила компания Tarlogic Security, представив его на конференции RootedCON в Мадриде.
📎Уязвимость позволяет злоумышленникам изменять MAC-адрес устройства, читать и записывать данные в память, перехватывать соединения.
📎Угроза затрагивает более миллиарда устройств – от умных замков до медицинского оборудования.
📎Уязвимости уже присвоен идентификатор CVE-2025-27840, но производитель пока не дал официальных комментариев.


Сценарий 2: «Искусственный образ» — атака на системы распознавания лиц через синтетические фото
1️⃣ Цель атаки: обман систем распознавания лиц с помощью искусственно созданных изображений.
2️⃣ Метод: хакеры используют нейросети для генерации синтетических изображений лиц, которые выглядят идентично реальным людям. Эти изображения затем применяются для обхода систем безопасности, использующих распознавание лиц, например, в аэропортах или на пограничных постах.
3️⃣ Последствия: несанкционированный доступ к защищённым зонам, перехват личных данных, использование для фишинга и других форм мошенничества.

Дополнительные детали:
📎Генерация изображений происходит с использованием глубоких нейронных сетей, что делает фото почти неотличимыми от реальных.
📎Эта технология может быть использована не только для обхода систем безопасности, но и для создания фальшивых учётных записей, проведения атак с подменой личности.


Как думаете, какой из этих сценариев уже стал реальностью?

💛 — Первый сценарий
🔥 — Второй сценарий
🎉 — Оба сценария


#Следствие_вели
Please open Telegram to view this post
VIEW IN TELEGRAM
108👍44
Киберугроза или фантазия: итоги опроса

Если вы выбрали первый сценарий "💛", то оказались правы!

Исследователи из Tarlogic Security действительно нашли бэкдор в Bluetooth-чипе ESP32. Это значит, что миллиард устройств — от умных замков до медицинского оборудования — под угрозой.

📢 А что со вторым сценарием?
«Искусственный образ» — это не фантастика, но пока массовых атак такого уровня не зафиксировано. Однако технологии deepfake уже активно используют в мошенничестве и подмене личности.

В следующем посте разберем, как хакеры обходят системы распознавания лиц с помощью ИИ, и что с этим делать.

🔥 Подписывайтесь, чтобы не пропустить!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1255
KillChain: как хакер закрепляется в системе и отключает защиту

Привет! С вами снова Андрей Федоров, аналитик мониторинга и реагирования RT Protect SOC.
Мы продолжаем разбирать атаку на контроллер домена в виртуальной инфраструктуре. В прошлый раз атакующий получил первоначальный доступ к серверу. Теперь он переходит к следующему этапу: закреплению в системе и отключению средств защиты.
Разберем подробно: какие шаги предпринимает злоумышленник, и как на это реагирует RT Protect EDR.

Как хакер скрывает свое присутствие?
Оказавшись внутри системы, атакующий не хочет терять контроль. Он выполняет три ключевых действия:
1️⃣ Инъекция в другой процесс.
2️⃣ Отключение средств защиты.
3️⃣ Загрузка ВПО и его добавление в автозагрузку.

Шаг 1: Инъекция в другой процесс
Как атакующий пытается скрыться?

Когда хакер получает доступ через meterpreter, он запускает свой код в процессе powershell.exe. Но у него есть проблема:
powershell.exe был запущен процессом w3wp.exe, и если получить доступ к командной строке, то получится следующая цепочка процессов *-> w3wp.exe -> powershell.exe -> powershell.exe -> cmd.exe, что является очень подозрительным. Для затруднения обнаружения атакующий решает переместиться в другой процесс.

Что делает атакующий?
Злоумышленник использует команду «migrate» в meterpreter и мигрирует из процесса powershell.exe в процесс w3wp.exe.

Как реагирует RT Protect EDR?
RT Protect EDR зафиксировал нестандартное межпроцессное взаимодействие, связанное с созданием нити в процессе w3wp.exe из powershell.exe.

Шаг 2: Отключение средств защиты
После выполнения инъекции в другой процесс атакующему желательно закрепиться на скомпрометированном хосте. Поэтому следующим шагом он отключает стандартные средства защиты Windows:
🟡 Windows Defender
🟡 Windows Firewall

Как он это делает?
Отключение стандартных средств защиты Windows реализуется при помощи изменения значений следующих ключей в реестре Windows:

EnableFirewall в HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

DisableAntiSpyware в HKLM\SOFTWARE\Policies\Microsoft\Windows Defender


Шаг 3: Добавление вредоносного ПО в автозагрузку
После успешного отключения защиты атакующий загружает вредоносное ПО и добавляет его в автозагрузку: при помощи команды «reg createkey» он создает значение Avast в ключе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run и указывает путь до исполняемого файла вредоносного ПО, тем самым пытаясь дополнительно замаскироваться под легитимное ПО.

Как реагирует RT Protect EDR?
Сразу после добавления ПО в автозагрузку — в EDR был создан инцидент, в котором была обнаружена подозрительная активность процесса w3wp.exe, связанная с редактированием следующих ключей реестра:

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender

HKLM\Software\Microsoft\Windows\CurrentVersion\Run


Итоги: кто кого?
Что удалось атакующему?

📎 Выполнить инъекцию в процесс.
📎 Отключить защитные механизмы Windows.
📎 Добавить вредоносное ПО в автозагрузку.

Что помешало атакующему?
RT Protect EDR зафиксировал все подозрительные действия.
Даже грамотная атака не осталась незамеченной. Система защиты зафиксировала все критически важные события.

До следующего разбора — 7 дней
Подписывайтесь, чтобы не пропустить!

#KillChain
Please open Telegram to view this post
VIEW IN TELEGRAM
115👍43🫡1
Опасная подделка: вирус под видом reCAPTCHA

📢 Киберпреступники нашли способ заражать устройства пользователей, подделывая окна reCAPTCHA и Cloudflare Turnstile. Вместо обычной проверки «Я не робот» жертвы сталкиваются с вредоносным кодом, который загружает вирусы и крадёт данные.

Как это работает
Группа ClearFake использует скомпрометированные сайты на WordPress, чтобы показывать пользователям поддельные капчи. После клика жертве предлагают «обновить браузер» или «исправить ошибку». Вместо обновления на устройство загружается вредоносное ПО.

Что распространяют злоумышленники
1️⃣ Lumma Stealer, Vidar Stealer — крадут пароли, файлы и банковские данные.
2️⃣ ClickFix — заставляет жертву выполнять вредоносные команды.
3️⃣ EtherHiding — делает атаку трудноотслеживаемой, пряча код в блокчейне Binance Smart Chain.

Масштабы атаки
По данным Sekoia, заражено уже более 9 300 сайтов, а около 200 000 пользователей могли столкнуться с вредоносными страницами.

Как защититься
🟡 Не вводите данные на сайтах, если капча кажется подозрительной.
🟡 Не скачивайте обновления браузера с неизвестных источников.
🟡 Используйте антивирус и соответствующие расширения браузера для блокировки вредоносных скриптов.
🟡 Реализуйте защиту конечных точек от продвинутых угроз с помощью RT Protect EDR.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
965👍3
📢 Какой метод атаки, часто применяемый против хешированных паролей, становится значительно менее эффективным при использовании соли и алгоритмов, замедляющих вычисления (bcrypt, PBKDF2 или Argon2)?
Final Results
6%
SQL-инъекция
75%
Брутфорс-атака
8%
Атака «человек посередине»
11%
Перехват сеанса
👍733🤔1
Итоги викторины

75% участников викторины ответили верно.

❗️Правильный ответ — брутфорс-атака.

Что такое брутфорс?
Брутфорс (brute-force) — способ взлома, при котором злоумышленник перебирает различные комбинации логинов, паролей и ключей шифрования.
Цель атакующего — войти в систему и получить доступ к защищённой информации.

Зло или благо?
📎 Хакеры используют его, чтобы взламывать аккаунты.
📎 А специалисты по кибербезопасности — чтобы проверять, насколько системы устойчивы к атакам.

📢 Как защититься от брутфорса?
Об этом расскажем в следующем Техноразборе! Подписывайтесь!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1133
👾 DDoS-атака на Lovit

С 21 марта интернет-провайдер Lovit подвергается мощной DDoS-атаке. Хотя доступ в интернет восстановлен, возможны сбои: снижена скорость, некоторые сайты остаются недоступными.

Что известно?
Атака началась утром 21 марта. Жалобы поступили от пользователей Москвы, Санкт-Петербурга и Нижегородской области.
Lovit сообщил, что «затронуты ключевые элементы инфраструктуры». Для защиты задействована Национальная система противодействия DDoS-атакам (НСПА), но угроза пока не устранена.

Последствия
1️⃣ За двое суток поступило почти 4000 жалоб на сбои.
2️⃣ Магазины в жилых комплексах застройщика ПИК временно остались без интернета, а значит, и без работающих касс.
3️⃣ Доступ к некоторым ресурсам остается ограниченным.

Что делать пользователям?
🟡 Перезагрузите роутер и дождитесь улучшения ситуации.
🟡 Не вводите пароли и личные данные, если страницы грузятся странно или долго.
🟡 Проверяйте официальные каналы Lovit для актуальной информации.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍963😁2🤷1
Тема: Уязвимость SQL-инъекции и методы защиты
Дата: 24.03.2025
Автор: Ян, аналитик первой линии

Этот пост для тех, кто хочет разобраться, как SQL-инъекции до сих пор помогают злоумышленникам взламывать базы данных.

Что такое SQL-инъекция?
SQL-инъекция (SQLi) — уязвимость, позволяющая атакующему внедрять вредоносный SQL-код для доступа к базе данных. Это одна из самых распространенных и опасных атак, угрожающая любому сайту или приложению, работающему с SQL.

Симптомы взлома
📎 Внезапный поток подозрительных запросов.
📎 Перенаправление пользователей на странные сайты.
📎 Необычные всплывающие окна и ошибки базы данных.

Этапы атаки
🟡 Поиск уязвимых веб-приложений — злоумышленник ищет сайты, которые используют SQL-запросы без должной защиты.
🟡 Анализ точек ввода — проверяются формы логина, регистрации, поиска и другие поля, куда можно вставить SQL-код.
🟡 Внедрение вредоносного кода — злоумышленник вводит специальный SQL-запрос в поле ввода или URL. Если защита слабая, сервер выполняет его, предоставляя доступ к данным.

Виды SQL-инъекций
SQL-инъекции (SQLi) различаются по способу атаки и масштабу ущерба. Разберём три основных типа:

1️⃣ Внутриполосная атака (In-band SQLi)
Самый распространённый и удобный для хакеров способ. Один и тот же канал используется и для атаки, и для сбора данных.
📎 Error-based SQLi – взломщик провоцирует ошибки базы данных, анализирует их и выявляет уязвимости.
📎 Union-based SQLi – злоумышленник объединяет запросы и получает нужные данные через SQL-оператор UNION.

2️⃣ Инференциальная атака (Inferential SQLi, «слепая» SQL-инъекция)
Данные напрямую не передаются, но можно понять структуру базы по реакции сервера.
📎 Time-based SQLi – серверу отправляют запрос, вынуждая его задерживать ответ. Если реакция замедляется, значит уязвимость найдена.
📎 Boolean SQLi – хакер получает ответы в формате «да» или «нет», постепенно выявляя, какие данные есть в системе.

3️⃣ Внеполосная атака (Out-of-band SQLi)
Используется, когда другие методы не работают из-за нестабильности сервера. Данные передаются через альтернативные каналы (например, HTTP-запросы или DNS).

Как защититься?
📎 Используйте подготовленные SQL-запросы (prepared statements).
📎 Фильтруйте пользовательский ввод и экранируйте спецсимволы.
📎 Ограничьте права доступа: приложение не должно иметь полный контроль над БД.

SQL-инъекции остаются актуальными, потому что ошибки в коде встречаются даже у опытных разработчиков.

Защита — это не разовое действие, а постоянный процесс. Проверьте, насколько безопасно ваше приложение, прежде чем это сделает кто-то другой.

#УголокТехнаря
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1385🔥1
RT Link — корпоративная коммуникация нового поколения

Сколько мессенджеров вы используете для работы?
Чаты в одном, звонки в другом, файлы отправляете через почту… А теперь представьте платформу, где всё это собрано в одном месте безопасно, удобно и быстро.

Что меняется с RT Link?
Коммуникация становится проще
1️⃣ Один мессенджер вместо множества сервисов
2️⃣ Чаты, видеозвонки, конференции, пересылка файлов – всё на одной платформе
3️⃣ Демонстрация экрана и корпоративные каналы для удобной работы команды

Безопасность выходит на первый план
🟡 Трёхслойное шифрование всех данных
🟡 End-to-End защита звонков и переписок
🟡 Чаты с исчезающими сообщениями
🟡 Запрет на резервное копирование в облако

Рабочие процессы ускоряются
📎Интеграция с инфраструктурой компании (Active Directory, IP-телефония)
📎Автоматизация задач с чат-ботами
📎Управление доступами и правами сотрудников

Вместо хаоса прозрачность. Вместо риска утечки контроль. Вместо устаревших инструментов новая корпоративная реальность.

#RT_Link
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11742🔥2
Утечка данных пользователей Keenetic

В сеть попала база данных с конфиденциальной информацией владельцев роутеров Keenetic. Компрометация затронула более миллиона пользователей.

Что произошло?
Исследователи Cybernews подтвердили утечку 1 034 920 записей, содержащих:
📎 Логины и email-адреса владельцев устройств;
📎 SSID и пароли Wi-Fi в открытом виде;
📎 MAC-адреса, IP-адреса, конфигурации роутеров;
📎 Логи активности пользователей, включая посещаемые ресурсы;
📎 Ключи шифрования и данные VPN-подключений.

Почему это опасно?
Эта утечка — не просто список случайных данных. Скомпрометированная информация может использоваться злоумышленниками для:
🟡 Подключения к вашему Wi-Fi без разрешения;
🟡 Перехвата интернет-трафика и слежки за активностью;
🟡 Изменения настроек роутера и создания лазеек для атак;
🟡 Использования вашего IP-адреса в мошеннических схемах.

Реакция Keenetic
Компания заявляет, что проблема была устранена еще в марте 2023 года, и под угрозой оказались только пользователи мобильного приложения, зарегистрированные до 16 марта 2023 года. Тем не менее, утекшие данные уже попали в чужие руки, и их использование остается открытым вопросом.

Эксперты РТ-Информационная безопасность рекомендуют:
1️⃣ Сменить пароли Wi-Fi и администратора роутера;
2️⃣ Отключить удалённое управление, переадресацию портов, UPnP;
3️⃣ Обновить прошивку роутера до последней версии;
4️⃣ Проверить список подключённых устройств — нет ли лишних?

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
95👍32
РТ-ИБ pinned a photo