Тут нас попросили перевести пост на русский язык. Переводим.

1) лосенок ИБ-бюджетов крупных корпоратов маленький и на всех его не хватит. Импортозамещение изрядно раздуло бюджеты, и в новом году к тратам на ИБ будут относиться осторожно даже банки. Причина банальна — нехватка денег, резко выросшие платежи по кредитам, сокращение программ господдержки и прочее. В общем, фокус расходов государства сместился в другую сторону, и денег на кибербез хватит не всем.

2) точно обострится конкуренция за крупных заказчиков, ждем новых креативных методов продаж и "защиты" клиентов от конкурентов.

3) инвестклимат для стартапов очень плохой, но ИБ-топы практически гарантированно будут сокращать расходы на R&D. Так что если вы достаточно смелый, ловкий, умелый — можете попробовать что-то поделать. Но найти на продукт деньги до стадии MVP будет тяжело. Реально, но тяжело. Российский венчур переехал в поздние стадии.

4) все зависит от политики. Будет перемирие — рынок выдохнет с облегчением, в основном из-за ожидания конца "затягивания поясов" госбюджета. Не будет — ну, значит все будет так, как сейчас.

5) МСБ продолжат ломать хакеры, проблему продолжат заметать под ковер — то есть сам бизнес будет до последнего отрицать факт взлома. Ну а что, им же в НКЦКИ пока сообщать не нужно. В итоге, страус будет постепенно осознавать, что голова в песке не защищает от укуса за задницу. Но происходить это будет очень медленно. Опять же, деньги на кибербез есть не у всех ...

Обновите Телеграмм

Несколько дней назад я обновил клиент телеграмма для IOS, чтобы включить функцию доступа по ключам.

Обычно я обновляю приложение под новые функции, или если где-то пишут о важных/секьюрити апдейтах. Не сказать, что с этим тороплюсь.

И никогда до сегодняшнего дня я не видел сообщение внутри ТГ о необходимости как можно быстрее обновить приложение, иначе оно может перестать работать! Повторюсь, такое сообщение никогда ранее не возникало, видимо последний апдейт важнее всех предыдущих.

Возможно, закрывают уязвимость которую нашли уже на этапе активного использования в атаках. Или у меня просто паранойя.

Но на всякий случай обновите ка приложение.

Обратная атака социальной инженерией

В кибербезе есть такое понятие как "Hack back", это атака атакующего. Вы не только отбиваетесь от атаки, но и в целях дестабилизации инфраструктуры атакующих, или для определения их личности атакуете их в ответ!

Чаще всего такого делают против APT-группировок, и вот оно случилось снова. Да еще как!

APT-группировка КНДР "Lazarus", одна из сильнейших в мире, славится в первую очередь своими атаками с помощью социальной инженерии. Они частенько "устраиваются на работу" в зарубежные компании, для эффективных атак изнутри. Это очень крутая точка входа, требующая солидной подготовки.

Они:
- Находят настоящего разработчика из западной страны.
- Предлагают ему удаленную работу.
- Крадут его личность, получают постоянный доступ к его ноуту.
- Проходят собеседование от его имени и попадают в компанию.

Северные корейцы неоднократно с этим справлялись, но не в этот раз. В этот раз их ждала ловушка-"ханипот", разработчик был подставным.

В проекте принимали участие кибербез специалисты компаний:
- ANY RUN
- NorthScan
- BCA LTD

Ключевые результаты дало то, что ноутбук и его окружение были виртуальными машинами песочницы ANY RUN, которая изображала полноценные рабочие станции с инструментами разработчика и даже историей их использования.

Это позволило:
- Записывать все действия злоумышленников.
- Сохранять используемые ими инструменты.
- И конечно же сохранить их фото с собеседований, оно и прикреплено к посту.

Обмануть можно и социального инженера, уязвимы мы все.

У ~40% компаний 4sec нашла критические уязвимости

Итак, прошло 3 недели со старта активной работы 4security, и у нас есть первая статистика. Из нескольких десятков зарегистрировавшихся компаний (в основном, на бесплатном тарифе) у почти что 4 из 10 компаний обнаружились опасные уязвимости.

Из позитивного: в 80% случаев они были закрыты владельцем инфраструктуры в течение суток. В нескольких случаях проблемы нашлись в shadow IT и legacy инфраструктуре, которая была выведена из эксплуатации. "Иных" ситуаций буквально пара, чему мы искренне рады.

Важно: мы говорим не об абстрактных CVE (которых нашлось на всех несколько сотен) а именно о тех уязвимостях, которые злоумышленники могут эксплуатировать прямо сейчас, не имея под рукой "нулей" и ЦОДа АНБ с Солт Лейк Сити. То есть вот прямо то, через что можно попасть в инфраструктуру или причинить ущерб.

И еще один важный момент: тут одно очень любимое и уважаемое нами учреждение (которому мы очень хотели поставить 4sec) было уверено, что для регистрации надо отдавать нам логины и пароли от инфраструктуры. Так вот: не надо. Вообще не надо. Даже для пентеста черным ящиком не надо.

В общем вот так. Полет нормальный, продолжаем работу.

4security.ru — проверь свою уязвимость!

Ненадежная изоляция в Wi-fi сетях

В далеком 2015 году никто не слышал о том, что клиентов Wi-fi сетей можно изолировать друг от друга!
И множество студентов на CTF соревнованиях баловались в отелях ARP-спуффингом, слушая трафик своих оппонентов или случайных посетителей отелей.

С тех пор прошло более 10 лет, и помимо повсеместного внедрения HTTPS, любая Wi-fi точка по умолчанию изолирует клиентов друг от друга в гостевых сетях. Но вот только Wi-fi - это не провод и в ряде случаев изоляцию точки доступа можно обойти, связавшись напрямую!

1. Если сеть открытая. То в целом для этого не нужно ничего, клиент не поймет отправляете ли вы ему данные или точка, с нехитрым инструментом вы можете атаковать любых других клиентов Wi-fi сети, до которых дотянетесь антенной. Для телефонов это не очень критично, там поверхность атаки минимальна, а вот для ПК - могут быть интересные возможности.

2. Если сеть с паролем на WPA/WPA2-PSK. Тут интереснее, одновременно общаться с вами и настоящей точкой доступа у жертвы не выйдет, но и тут атака более чем возможна из-за особенностей протокола. Каждый клиент знающий пароль все такие может притвориться точкой доступа.

А как тогда изолировать?
- WPA2-Enterprise. Он иначе работает с аутентификацией и ключами, там подменить точку не получится.
- WPA3. Протокол из коробки работает с ключами иначе и пока способом обхода ее не нашли.

Технические подробности того, как именно это работает, можно почитать тут.

Автор подготовил и простой инструмент для атак через изоляцию, но помните про УК РФ.

Бесплатное VPN-расширение Urban VPN Proxy тайно продавало переписку с ИИ-ассистентами!

Мы тут много раз говорили, что к расширениям для браузеров надо относиться очень осторожно, и вот прям эталонная история. "Одобренное" Google бесплатное расширение Urban VPN Proxy с 6 (!!!) млн пользователей тайно собирало и продавало переписку пользователей с ИИ-ассистентами. В списке — все лидеры рынка, ChatGPT, Gemini, Grok, DeepSeek, Perplexity и другие.

О целях использования мы можем только догадываться (уверены, что на 99% там реклама), но это большой удар по приватности пользователей. При этом сервис заявляет защиту от фишинга, вирусов, кражи персональных данных и прочего. Ну да, отлично защитили. "Ты должен был бороться со злом, а не примкнуть к нему" (С).

А мы снова и снова повторяем, что на этом рынке не бывает халявы. В любом бесплатном сервисе товар — это вы. В здоровом случае сервис будет просто предлагать вам платную версию. В нездоровом — он просто продаст ваши данные, и хорошо если рекламодателям.

В общем, будьте аккуратны с браузерными расширениями. Приватность, в отличие от анонимности, штука все же достижимая.

Классический сапожник без сапог или почему важно проводит аудит ИТ-инфраструктуры

Китайская компания Knownsec, которая входит в двадцатку ключевых игроков китайского рынка кибербезопасности, призналась, что её инфраструктура была взломана. Злоумышленники проникли в облачную систему и распространили в сети более 12 тысяч внутренних данных.

В своем заявлении Knownsec назвала произошедшее «чрезвычайно прискорбным», признав что технологии атакующих оказались слишком изощренными для оценки полного объема утечки.

Инцидент — очередное яркое напоминание о том, насколько важно заранее проводить аудит и искать места, в которые могут проникнуть злоумышленники. Аудит поможет выявить все слабые места в архитектуре и процессах компании, оценить масштабы рисков и заранее подготовиться к быстрому и эффективному ответу в случае обнаружения атаки. За аудитом ИТ-инфраструктуры рекомендую обратиться к моим друзьям из Whitebyte.

OPERATION ZERO - единственная в России платформа по приобретению зиродей-эксплоитов у исследователей для предоставления частным и государственным клиентам наступательных возможностей в киберпространстве. Заказчиками компании являются исключительно организации Российской Федерации и дружественных стран.

OPERATION ZERO сотрудничает с исследователями безопасности, разработчиками и реверс-инженерами по всему миру, соблюдая высочайший уровень конфиденциальности и анонимности. Мы приобретаем зиродей-уязвимости для таких категорий аппаратного и программного обеспечения, как персональные компьютеры, мобильные устройства на базе iOS и Android, браузеры, baseband-процессоры, роутеры, серверы и VPN, гипервизоры, веб-сервисы. Сейчас мы ищем в первую очередь следующие эксплоиты:

— iOS 26 LPE из приложения в ядро — до $500,000
— SolarWinds Serv-U RCE — до $500,000
— Kiteworks MFT RCE — до $500,000
— Titan MFT/SFTP RCE — до $500,000
— Chrome SBX для Android — до $400,000
— PHP / Java RCE для эксплуатации веб-серверов (Apache, Nginx, IIS) — до $400,000
— Windows RCE для первоначального доступа в сеть — до $300,000
— Linux RCE для первоначального доступа в сеть — до $300,000
— Android kernel LPE — до $300,000
— Windows SBX из Untrusted Integrity Level в Medium/SYSTEM — до $200,000
— pfSense RCE — до $200,000
— Chrome heapsbx для Android — до $200,000
— Microsoft Exchange RCE — до $180,000
— MikroTik RCE — до $150,000
— Round Cube RCE — до $150,000
— VNC RCE — до $150,000
— OpenVPN RCE — до $150,000
— Famatech Radmin RCE — до $120,000
— Cisco RCE — до $100,000
— Fortinet FortiGate RCE —до $100,000
— Check Point Firewall RCE — до $100,000
— Juniper Networks RCE — до $100,000
— MacOS RCE/LPE — до $100,000
— Linux LPE (Debian, Ubuntu, CentOS, RHEL, AWS) — до $100,000
— CMS RCE — до $100,000
— Nextcloud RCE — до $70,000
— QNAP RCE — до $70,000

Помимо этого, у нас открыта вакансия для стажёров, готовых обучаться по одному или нескольким направлениям: Windows, Linux, Android, браузеры. Вы будете учиться искать уязвимости и писать для них эксплоиты под руководством профессионалов, причём программа выстроена таким образом, чтобы избежать узкой специализации и уметь исследовать различные системы в зависимости от задач. От вас не требуется какого-либо опыта изучения уязвимостей, но необходимо понимать основы архитектуры x86 и владеть начальными навыками реверс-инжиниринга и программирования на Си и ассемблере.

В блоге на нашем сайте мы пишем обучающие статьи по эксплуатации, а в телеграм-канале публикуем актуальные запросы с ценами, вакансии и прочие новости.

Пост выше о Российской компании Operation Zero!
В индустрии кибербеза про них многие слышали, в технической тусовке их хорошо знают, но активно пиаром ранее не особо занимались.

Их компания - это одно из немногих мест в России, где можно легально развиваться в области исследования уязвимостей нулевого дня и реверс-инженерии.

Мы же обозревали их крутые исследования, и планируем это делать и в будущем!

🚀 CISO FORUM 2026 — главное событие для лидеров кибербезопасности!

📅 28 апреля 2026

📍 Центр международной торговли, Москва

1000+ участников — CISO, CIO, архитекторы и руководители SOC.
4 трека • Реальные кейсы атак • Живые практикумы
Без маркетинга — только то, что работает.

🔥 В числе спикеров — представители топ-25 российских CISO 2025 и ведущие эксперты отрасли.

💼 Участие бесплатно для специалистов по ИБ и ИТ.
👉 [Регистрация открыта →]

CISO FORUM 2026 — где безопасность встречается с бизнесом.

Розыгрыш от наших партнеров!)

Планы на старт 2026 года в нашем канале

Сложный был год: налоги, криминализация утечек, приостановка проектов осенью, несбывшиеся планы на партнеров и мало постов у нас в канале. С последним мириться было нельзя, и за дело принялся знающий человек — снова я.

Поэтому на январских праздниках я напишу все те тексты, которые откладывал:

- Одну статью в «Хакер» с рабочим названием «Полиграф глазами хакера».

- Статью в новое крутое кибербез медиа про рынок ИБ-кадров и баталии на нем.

- Не менее 5 постов по актуальным темам в наш канал, темам, по которым у нас есть что сказать нового/уникального, а не просто пересказать новости.

- Полноценные итоги года нашей компании, куда уж без них?

- Одну популяризационно-развлекательную статью для Хабра!

- И если хватит сил, соберу воедино все материалы по телефонному мошенничеству, написанные мной и рассказанные на выступлениях, в один полноценный обзор этого явления. Масштабный, всесторонний, экспертный, такой, чтоб ответил на все вопросы.

А пока всех с наступающим Новым Годом!

Убежал закрывать этот сложный год =)

Антон Бочкарев

3side - итоги года (совсем коротко)

1. Концепция работы площадки — подтверждена! Закрыли несколько десятков контрактов, причем далеко не только на пентест. На фоне прошлого года — просто космос. Еще десятка полтора "переехало" на начало нового года. А количество клиентов "в раздумьях" к концу декабря перевалило за 50.

2. Научились продавать "коробки" — услуги с предрасчитанной стоимостью. В новом году "коробочный" пентест для небольших компаний станет реальностью.

3. Сформировали костяк команды. Наше огромное уважение ребятам, которые научились работать в рамках ролей, которых на российском рынке толком не было.

4. "Комплексные услуги" — работают! Кибертрансформация перешла в разряд реальных продаж

5. Профинансировали разработку 4security из выручки — без привлечения сторонних инвесторов. Финансировать стартап на деньги от другого стартапа — это не самая частая ситуация для России. Получили под сотню регистраций в "бесплатной" версии и пачку платящих клиентов.

6. Начали продавать IT-услуги вместе с ИБ. Пока начинаем с IT-аудита, а там посмотрим. На удивление, спрос есть и мы как площадка вполне конкурентоспособны

7. Нашли больше 10 очень разных партнеров-лидогенераторов, из которых 2 прям очень крутые и почти наверняка "выстрелят".

С учетом того, что компания полноценно работала "по специализации" 7 месяцев из 12 — результат не самый плохой.

Редкий случай: шифровальщик от инсайдера

В нашей практике уже был случай, когда IT-директор действовал против своей компании. Однако тогда речь шла не о шифровании. Теперь же расскажем о необычном случае.

Обычно шифровальщик — это внешний злоумышленник, так как приобрести его непросто. Но 40-летний IT-директор компании «Сотранс» сумел это сделать. По версии следствия, он:

— приобрёл лицензию на шифровальщик OldGremlin;
— заразил корпоративную инфраструктуру;
— потребовал выкуп в размере 500 миллионов рублей.

Мнения экспертов и следствия о целях такого высокого выкупа расходятся.

Следствие и руководство компании считают, что цель была в уничтожении бизнеса, и злоумышленник не планировал его получить.

Эксперты, напротив, утверждают, что это обычная практика — первоначально завышать сумму для более продуктивных переговоров. С этим согласен и автор данного поста.

Компания смогла самостоятельно восстановиться примерно за две недели. Экс-IT-директор находится под домашним арестом, ему предъявлены обвинения в вымогательстве.

Если вы столкнулись с шифровальщиками, обратитесь к нам. Консультация всегда бесплатна, а далее мы предложим решения, учитывая особенности вашего инцидента.

Телефонное мошенничество в 2025 году: итоги

Что больше всего запомнилось мне в 2025 году в контексте телефонного мошенничества?

0) Широкое обсуждение. О проблеме заговорили все: от блогеров и лидеров мнений до журналистов, далеких от темы кибербезопасности и мошенничества. Это хорошо, потому что привлекло внимание широкой аудитории. Но иногда они несли такое, что лучше б не говорили ничего. Множили мифы и укрепляли заблуждения. Особенно стойким оказался миф про пенсионеров как самую уязвимую возрастную категорию.

Уважаемая аудитория, это не так. Самая уязвимая возрастная категория — 30-39 лет!

1) Убитые. Появились первые убитые под влиянием телефонного мошенничества. 24 декабря человек, находящийся под влиянием, приехал в Москву из Ивановской области и, получив взрывное устройство, заложил его под машину. В этот момент к нему подошли два сотрудника ДПС, и устройство сдетонировало. Погиб и сам зомби-подрывник, и оба сотрудника, еще двое их коллег оказались ранены. Схема была стандартная: имитация взлома Госуслуг, а далее инструкции от «товарища майора» и участие в «спецоперации».

О том, что социальная инженерия может быть очень опасной, я писал еще в 2022 году. Это был восьмой пост нашего канала (https://t.iss.one/By3side/8), выпущенный после первой акции по поджогу автомобиля. Мы одними из первых начали поднимать эту тему и бороться с мошенничеством.

2) Странная борьба. Под борьбу с этим явлением подтягивали в этом году очень многое. От вполне адекватных инициатив, например, периода охлаждения для кредитов, до неэффективных и противоречивых, например, блокировки звонков в мессенджерах. Нам говорили о MAX как месте, где мошенников не будет, но, по иронии судьбы, пользоваться им оказалось для злоумышленников дешевле и удобнее! Аккаунты в MAX стоят дешевле.

И если ранее перехватывать смс-коды для множества действий требовалось через постоянную коммуникацию с жертвой или спец. приложения, то теперь достаточно один раз установить MAX жертвы себе на устройство. А если ещё национального мессенджера у жертвы нет, ей рассказывают, как установить, и помогают, параллельно устанавливая и себе.

Война с телефонным мошенничеством продолжается:
- Иногда эффективно;
- Иногда и с умышленным или случайным «дружественным огнем»;
- Совместно с идиотами, воющими не туда;
- И, к сожалению, с первыми человеческими жертвами.
А до ее окончания еще очень-очень далеко!

Китай запрещает американский и израильский ИБ-софт - чем это важно для России

Тут пришла вот такая (спойлер: вполне ожидаемая) новость: Китай запрещает ИБ-софт из США и Израиля, который в этом плане является филиалом США. "Израильские компании по кибербезопасности" давно стали чем-то вроде мема, при этом они часто работают подрядчиками АНБ. Да и что далеко ходить, вспоминаем Pegasus.

Нет, это не значит, что у нас появился шанс что-то продать Китаю. Эта новость нам интересна вот чем. Чем больше "фрагментируется" мир, чем более многополярным он становится, тем большие требования предъявляются к происхождению ИБ-софта. При этом в мире не так много стран, которые в состоянии этот софт разрабатывать на достаточно высоком уровне.

И вот тут у России появляются шансы: у нас значительная часть мира косо смотрит на США. Другая значительная часть мира (особенно в ЮВА) очень косо смотрит на Китай. В итоге Россия оказывается чуть ли не самой политически "нейтральной" страной: у нас нет глобальных амбиций, мы не хотим навязать кому-то новый миропорядок, мы хотим назад в SWIFT, продавать нефть и снятие санкций.

То есть для многих стран и китайский, и американский софт начинает нести существенные политические риски. Особенно это касается стран, которые не являются союзниками ни Китая, ни США.

Вот в этом, возможно, главный шанс на экспорт российского кибербеза. Мы в состоянии поставлять "хорошие решения без политической составляющей". Мы не передаем данные в АНБ, ЦРУ, китайскую разведку или куда-то еще. Российские вендора — понятные. И даже если российские решения уступают американским — с точки зрения политических угроз они ощутимо надежнее.

Нет в Google - нет в Интернете

У технарей есть такая фраза: «Если нет в Google, значит, нет в интернете». Смысла обычно два:

- Про доминирующую роль Google в сфере поиска информации и Интернете в целом;

- И о том, что далеко не все способны найти то, чего в гугле нет.

Но иногда мы даже не подозреваем, насколько Google может затруднить доступ к сайту для миллиардов пользователей, и отсутствие в выдаче — лишь верхушка айсберга!

В этой статье я расскажу о том, как без какой-либо причины интернет-гигант забанил наших клиентов, насколько длинны его «руки», можно ли было это предупредить, что делать, когда вас уже «забанили» в Интернете?

Написал эту статью, чтоб показать, что Google может быть единой точкой отказа совсем не с точки зрения поиска!

Поддержите репостами, плюсами на Хабре и комментариями, это действительно важная тема, информирование - защита от подобных ситуаций в будущем!