Что под капотом у Chromium?
1 - Архитектура

На нашем канале хардкорные технические статьи бывают не часто, но всегда находят отклик! Это тот самый случай, по описанной ниже статье вы погрузитесь в самые недры работы, крайне интересного и повсеместно используемого приложения - браузера.

Что в статье?
В первой статье цикла разобраны ключевые компоненты работы Chromium, на примере классической десктопной конфигурации.
- Процесс рендеринга движком Blink
- Обработка динамического содержимого через JavaScript (V8)
- Сетевой стек

Максимально подробно, с указанием всех нюансов выполнения кода службами, от изоляции процессов друг от друга, до использования конкретных указателей.

Хотя статья именно про Chrome/Chromium, но используемые технологии де факто стали отраслевым стандартом для иных браузеров!

Кому эта статья может быть полезна?
Если кратко - исследователям по безопасности тем, для кого это текущая или будущая карьера/хобби, а также разработчикам эксплойтов.
Ведь только понимая все нюансы работы приложения, можно найти белые пятна, не описанные в официальной документации, или найти реализацию которая отошла от безопасного пути.

Ну и всем кто хочет изучить внутреннее устройство браузеров, в первую очередь Chrome, но в статье также захватили детали и других браузеров, Firefox и Safari.
Поскольку это всё ещё начало цикла и статья достаточно обзорная, для программистов и в целом безопасников она тоже может быть интересна.

Статья буквально погружает вас в первичный процесс исследования, в процесс предшествующий поиску 0day уязвимостей.

А в конце статьи даже есть несколько практических упражнений, для тех кому мало почитать, а нужно еще и пощупать)

Статья тут, на сайте платформы Operation Zero!

Партнерский пост

Данные могут перестать быть персональными, ниже вебинар о методах деперсонализации!

————————————————————

Как не сесть в тюрьму и сэкономить миллионы на штрафах по 152-ФЗ и приказу РКН №140?

🕓 Расскажем на вебинаре 23 октября в 11:00 по МСК

Деперсонализация данных — серьезный вызов для бизнеса, ИБ и IT. С сентября этого года за утечки компаниям грозят штрафы до 500 млн рублей и уголовная ответственность до 5 лет лишения свободы. Незнание законов, неправильные методы и хаос в данных = огромный риск.

Приглашаем на вебинар, где подробно разберем:

- требования закона, включая новейшие поправки с 1 сентября;
- типичные ошибки в управлении персональными данными;
- методы деперсонализации, одобренные регуляторами;
- 7 практических шагов для защиты от утечек и ответственности.

Регистрируйтесь по ссылке — после вышлем чек-лист самопроверки. В нем собрали все главные требования к бизнесу и типовые ошибки.

В Музее криптографии интересное!

Как пишут чушь и разгоняют панику

Сегодня вечером во многих ТГ-каналах начали писать про взлом неких СМС-сервисов и сливе 3 ТБ данных.

Давайте разберемся, что в этих постах пишут не то, и почему это больше похоже на разгон паники для хайпа.

1. Слив данных СМС-сервисов, которые используют для разных целей, — вещь неприятная, но не настолько критичная, как может показаться.
Ведь слив — это исторические данные, а отправленные вчера СМС-коды бесполезны.
Содержимое базы никто не показал, и только содержимое сообщений в связке с телефоном могут быть крайне неприятными.
Подлинность базы пока никто не подтвердил из независимых источников!
Хотя в такой слив в целом верим.

2. Чем это чревато? А весь этот блок наполнен фантазиями, намеренно очень страшными.
Злоумышленники продают базу. Не доступ к сервисам, а следовательно, раз они монетизируют базу, значит не бояться уже подсветить то, что они ее получили. Значит, доступов уже у них нет, даже к базе.
Могли ли они видеть содержимое базы в реальном времени? Реализовали бы явно эти доступы не через продажу базы. А через угон аккаунтов, например. Мы уверены, что они это делать не могли.
Могли ли они рассылать сами сообщения? Тоже реализовали эти доступы бы иначе.

А злоумышленники выбрали самый простой и малоприбыльный путь — попробовать продать базу. Значит, иных возможностей и доступов у них не было, и уж точно нет сейчас.

Ну и «предупредите близких» в этих постах — явный маркер хайпа на «страшилках». Осуждаем такое!

Израиль: те же проблемы в ИБ, что и в России

Мы тут в одном израильском канале про безопасность подсмотрели интересный пост. И он настолько "эталонный" в плане кибербеза, что его можно буквально разбирать на цитаты!

> > > волны кибератак на компании, предоставляющие компьютерные услуги многим компаниям в экономике

В России в целом та же самая история. Разные "рейтинги безопасности", плашки "кибериспытано" и прочие решения — они направлены как раз на то, чтобы сокращать эффект от атак на цепочки поставок.

> > > большинство из них были атакованы через их связь с компаниями, предоставляющими цифровые услуги бизнес-структурам, которые являются звеньями в цепочках поставок

А вот тут напрямую пишут о проблеме. В целом, любая цифровизованная экономика будет испытывать подобные проблемы. Хоть китайская, хоть американская, хоть европейская. Ни мы, ни Израиль тут не исключение, разве что компетенции по ИБ и тут и там выше среднемировых.

> > > Расследование службы показало, что во многих недавних атаках злоумышленники использовали украденные имена пользователей и пароли

Ой, вот это просто самое жизненное. Фишинг, логи со стилеров — классика.

В общем, ситуация в России не уникальна. Да, геополитика повышает количество атак, но основная причина совсем в другом. Если вас возможно атаковать — вас будут атаковать. Если у вас есть компании, у которых есть деньги на выкуп и которые могут его заплатить — вас будут атаковать. Если у вас есть активный конфликт с другими странами — вас будут атаковать.

Так что проблемы у всех плюс минус одинаковые — вопрос только в масштабе.

Релиз 4sec версии 1.1 уже через неделю!

Мы закончили "пробный" период на реальных клиентов, получили массу отзывов, и уже через неделю будем рады презентовать "обновленный" 4security

Из ключевых обновлений:

- freemium модель вместо "тестового периода". Теперь качественный и постоянный анализ внешнего периметра будет бесплатным (после верификации) для компаний с небольшим числом хостов.

- полностью автоматизированная регистрация. Теперь весь путь можно пройти самостоятельно, без необходимости писать в поддержку.

- полноценный модуль "погружение в ИБ", который подойдет для компаний без ИБ-специалиста.

- полный редизайн интерфейса и сайта: он стал более понятным и "интуитивным".

- детальное описание встроенной страховки и механики ее работы.

- новое руководство пользователя и видеомануал.

Кроме этого — еще несколько десятков разных мелких правок. Параллельно мы проходим все необходимые процедуры регистрации, но это отдельная история.

Мы очень хотим, чтобы наш софт был простым, эффективным и дешевым облачным инструментом защиты для МСБ, внутри которого можно получить все необходимое. Для маленьких компаний — бесплатный поиск критических уязвимостей на периметре. Для средних — базовые ИБ-услуги со скидкой, от консалтинга до пентестов и антифишинга.

А чья телега?

Уже многие видели продвигаемый рекламой клиент для Telegram с очень креативным именем «Telega».

Что же в нем есть такого, чего нет в официальном клиенте?
Очень качественная слежка!

Широкая интеграция с myTracker позволяет:
- Отследить использование VPN
- Соединить ваши действия в «Телеграме» с рекламным идентификатором VK
- Выгрузить все данные, к которым имеет доступ приложение, особенно интересует журнал звонков
- Получить доступ к аутентификационным данным для входа в «Телеграмм»

Что есть еще?
«Безопасный прокси» — задача которого обязательно отправить весь трафик через их сервера, а не в обход. Так им удобнее.

А еще?
Цензура! В приложении уже предусмотрены внутренние ограничения по контенту, даже если «Телеграмм» оставит канал в доступе, вам может его зарезать Telega.

А кто это сделал?
Все собранные и рекламные данные уходят на внутренний сервис VK, звонки же через «Одноклассники». Так что даже и не знаю!

Вердикт
Не использовать ни в коем случае, это буквально ловушка для пользователя, и в ней реализовано всё, с чем старался бороться сам Дуров.

Очень дорогая атака в один клик - разбор Dante

Под ударом оказался любой современный браузер на движке Chromium, а это практически любой современный браузер в принципе.
Для заражения было достаточно просто перейти по ссылке.

Когда это происходило?
В марте 2025 года.

Что было нужно, чтобы провести такую атаку?
- Уязвимость нулевого для в браузере (CVE-2025-2783). Тогда ее ценность была до миллиона долларов.
- Качественно написанный троян, содержащий полную цепочку закрепления из дроппера, загрузчика и шпионского модуля.
- Тщательно скрывать инфраструктуру от исследователей.

Сколько стоила такая атака?
- Не менее сотен тысяч долларов.

Кого таргетили?
- Научные компании России.

Как рассылали?
- Под видом приглашения на форум "Примаковские чтения".
- Ошибок в письме не было, выглядело вполне пристойно.

Кто это сделал?
- Сейчас это компания Memento Labs, ранее назывались HackingTeam.
- Одни из старейших профессиональных разработчиков коммерческого шпионского ПО.
- Известные по прошлым технологичным атакам и скандалам.

Разоблачили их и восстановили всю цепочку атак исследователи Лаборатории Касперского!

Все технические подробности работы ПО, которое окрестили Dante тут.

5 минут до вебинара с КоинКит!

Присоединяйтесь по ссылке, будет интересно!

Приветствуем всех!

Октябрь подходит к концу и мы успели провести для вас два вебинара на актуальные темы.

21 октября мы погрузились в индустрию шифровальщиков. Разбирали по полочкам:
— от истории до современного состояния индустрии;
— как устроена экосистема изнутри;
— ключевые стадии атаки и их цели;
— и, конечно, как выстроить защиту от вымогателей.

Запись вебинара | Презентация

А ближе к концу месяца, 28 октября, мы объединили силы с друзьями из КоинКит, чтобы поговорить о защите в криптоиндустрии. Вместе мы:
— объяснили, чем на самом деле занимается AML;
— определили главные точки входа для атак и самые частые угрозы;
— разобрали на реальных примерах, как происходят взломы;
— отдельно обсудили кибербезопасность криптокомпаний и их топ-менеджмента.

Запись вебинара | Презентации

Ограбление Лувра

Знаете, чтоб обнести один из известнейших музеев мира на сумму не менее 88 миллионов евро понадобилось:
- Припарковать погрузчик у одного из фасадов музея, для проникновения на территорию.
- Угадать пароль "LOUVRE" (Лувр) от системы видеонаблюдения и отключить ее.
- Угадать пароль "THALES" от системы охраны вендора Thales и отключить ее.
- Взять с собой несколько пил-болгарок и мешки.

Узнали это корреспонденты французской газеты из документов 2014 года, которые были актуализированы без смены паролей в 2024.
Феноменальные дыры в безопасности и вот к чему они привели!

Нет гарантий в криптосфере

Децентрализованная биржа Balancer с момента своего запуска в 2021 году провела больше 10(!) аудитов своих смарт контрактов на предмет их безопасности.

Однако, бирже это не помогло. За вчерашний день было украдено более 110 миллионов долларов в криптовалюте, из-за одного единственного бага в смарт-контракте.

Биржа вынужденно остановила работу, чтобы предотвратить дальнейшую утечку денег из пула ликвидности.

Помните, любая система уязвима, и, занимаясь кибербезом, вы лишь снижаете шанс успешной атаки, но совсем не до нуля!

Теперь отдельные вопросы к аудиторам, как они просмотрели такое? Ждем оправданий!

P.S. Смена подрядчиков тут не помогла, аудировали 3 разные фирмы, хотя финальные исполнители могли пересекаться, зная рынок кибербеза)

"Медуза" не долго поработала по РУ

Трое киберпреступников написали вирус-стиллер "Медуза". Ее целью был сбор данных об учетных записях, банковских картах, криптокошельках и прочего полезного с зараженных компьютеров.

Продавали они "Медузу" по модели Вирус-как-сервис (MaaS), и судя по их длительной деятельности все у них было хорошо, пока в мае этого года кто-то из их покупателей не использовал их вредоноса для атаки на учреждение Астраханской области!

После чего, в результате качественного расследования и деанонимизации все трое создателей вируса оказались задержаны.

А группировка "Stone Wolf", как их пафосно называли исследователи BI.ZONE в своем расследовании еще от августа прошлого года, судя по всему их клиенты.

P.S. За видео спасибо Коммерсанту!

Интересный сюжет о разработке кибероружия в США подкинул U.S. Department of Justice. 29 октября они опубликовали на своём сайте новость о судебном процессе. В ней фактически признаётся, что США занимаются целенаправленной разработкой кибероружия, т.е. средств эксплуатации 0day-уязвимостей. Вендорам уязвимых продуктов они об этом, естественно, ничего не сообщают. 😏

В создании таких средств участвуют компании "оборонные подрядчики" ("U.S. defense contractors"). Одна из таких компаний (Wired пишет, что это Trenchant) разрабатывала ПО, связанное с нацбезопасностью и "как минимум восемь чувствительных и защищённых компонентов кибер-эксплойтов". Хотя это ПО предназначалось только для правительства США и союзников, ТОП-менеджер этой компании продал его за $1.3 млн некоторому иностранному брокеру. 🤷‍♂️ Ущерб компании оценивается в $35 млн. Менеджер признал себя виновным в суде, ему грозит до 20 лет тюрьмы и штраф от $250 000 до 2x ущерба.

Такой вот кипеш из-за "простых уязвимостей". 😉

@avleonovrus #thoseamericans

А правда, что Макс безопаснее, чем Телеграмм и лучше защищает от мошенников?

Нет, это скорее всего не так. Точнее, мессенджер — это только один из многих заменяемых инструментов мошенников, и сделать его по-настоящему безопасным и удобным очень тяжело.

Посмотрим с другой стороны. С точки зрения оператора колл-центра, разницы между мессенджерами вообще никакой нет. У него есть CRM-система с информацией по "цели", у него есть приложение для звонков. Он вводит логин-пароль, подключается к заранее сконфигурированному серверу и делает звонок. Способов много: есть сим-карты, аккаунты в ТГ, в Максе, в Whatsapp.

Еще раз: в CRM-системе звонков нет, всю проблему решает сервис SIP-телефонии. Чтобы работать через ТГ, колл-центры покупают аккаунты там. Или в Максе. Есть десятки сервисов с виртуальными номерами (иронично, но многие из них забанены в России), да и купить российскую сим-карту нет великой проблемы. Как, кстати, и украинскую, но это тема для отдельного разговора.

В общем, мошенники покупают прием СМС на российский номер и ... все. У них есть аккаунт, с которого они могут вполне себе эффективно звонить — к слову, даже статистика ЦБ подтверждает, что большинство звонков мошенники все еще совершают с использованием "обычных" звонков, то есть через сим-шлюзы. Их держателей регулярно арестовывают, оборудование изымают (по ссылке очень типичный перечень), но в целом гораздо большую проблему для мошенников создает регулярное отключение интернета в российских регионах. Правда, россиянам оно создает проблему ничуть не меньшую.

Кстати, сим-шлюзы используют по всему миру, в том числе мошенники. Тут эталонный пример — китайские группы, специализирующиеся на телекоме. Кстати, недавно китайцы задержали 57 тысяч (!!!) собственных граждан, подозреваемых в участии в работе скам-центров в Мьянме. Да, 57. Да, тысяч. Да, цитата по русскоязычному Синьхуа. В ЮВА вон огромный спрос на ID местных граждан для тех же целей.

И это мы не говорим про экзотические способы, вроде мобильных базовых станций (по-сути "левые" вышки сотовой связи, подключившимся можно звонить с подменой любого номера). И тут проблема в том, что факт сотрудничества или не сотрудничества мессенджера с правоохранительными органами не меняет ничего.

Если бы Макс был лучше защищен, стоимость аккаунтов в нем была бы сильно выше, чем в ТГ — но это не так. Будут ли там быстрее блокировать мошеннические звонки? Возможно. Если сделают это качественно, будет здорово. Если сделают некачественно — в очередной раз оттолкнут пользователей.

Проблема мошенников не решается блокировками, переходами на судорожно собранные "национальные мессенджеры", и указами уважаемых людей, запрещающих мошенникам мошенничать. Реально они решаются сложным и муторным комплексом мер, часть из которых в России реально проводится.

Только совместными усилиями банков, операторов сотовой связи, криптоиндустрии и правоохранительных органов объем потерь можно сократить. А блокировки только создадут больше проблем, чем решат.

Запись доклада с Underconf

Доклад действительно уникален.

Ведь вся вторая половина доклада была посвящена практике - детальному разбору актуального трехступенчатого скрипта (Социальный Фонд, Госуслуги, ЦБ РФ).

Этого не было ни в одном из ранее рассказанных кем-либо докладов, поэтому смело перематывайте теорию, если слышали ее ранее!

Всем привет!

Небольшая бизнесовая новость. Мы теперь не только агрегатор услуг в ИБ. Мы работаем с несколькими очень хорошими IT-юристами с прям очень крутым профильным опытом (налоги, например) и чуть более чем адекватными условиями. Плюс у нас появились классические IT-партнеры, разные, под очень разные задачи — от обычного аудита до высоконагруженных систем. Уже сделали несколько проектов и результаты пока очень радуют.

В том числе, беремся под разные нестандартные и "тонкие" задачи и в разовом формате, и под сопровождение.

3side постепенно обрастает разными направлениями, плюс 4security превращается в очень интересный "бесчеловечный" продукт, по нему, я надеюсь, будут еще большие новости до нового года.

Подсветили и устранили

Помните историю с тем, что Мираторг лишь по номеру телефона показывал данные о покупателях на терминале самообслуживания?

Исследовательница Катя Тьюринг, с которой и началась эта история, обратила внимание, что благодаря огласке и хайпу, эту проблему достаточно оперативно устранили!

Вот от нее уже свежее фото, стало значительно лучше)