SecurityLab — ваш надежный проводник в мире кибербезопасности, технологий и науки. РКН: https://vk.cc/cFXCkO Наши каналы: https://t.me/addlist/G_0tnwZJOrA3MzEy Голосуйте за канал: https://t.me/SecLabNews?boost
Искал — уже виноват. Новый закон карает даже за запрос
Поправки к КоАП вводят административную ответственность за сам факт поиска запрещённой информации в интернете — даже если никакие данные не были загружены или просмотрены. Особенно показательно: штраф возможен и в случае использования VPN или других способов обхода блокировок.
Такой прецедент сдвигает грань допустимого в сторону контроля над мыслью, а не поведением. Впервые интерес к информации приравнивается к правонарушению, а технология обхода становится не инструментом, а уликой. Речь идёт о сдвиге юридической парадигмы — от наказания за результат к пресечению намерения.
Интеграция норм в существующую архитектуру регулирования интернета усиливает модель централизованного наблюдения за сетевой активностью. Доступ к знаниям, ранее интерпретируемый как нейтральное действие пользователя, получает статус контролируемого события, фиксируемого на уровне магистральных и прикладных компонентов сети.
#информационнаябезопасность, #цифровойконтроль, #законодательство @SecLabNews
🫣Установил расширение — слил кошелёк на $500 000
В Open VSX всплыло фейковое расширение «Solidity Language» для Cursor AI. Внутри — не подсветка кода, а PowerShell, ScreenConnect, Quasar RAT и PureLogs. Один даёт удалённый доступ, второй вычищает всё: пароли, сессии, крипту. Всё это шло под видом популярного инструмента, скачанного 54 тысячи раз.
Злоумышленники не искали уязвимости — они подделали витрину. Название, описание, рейтинг, и даже вторая «версия» с миллионными загрузками, чтобы вытеснить оригинал. Открытый маркетплейс? Открытая дверь в систему.
Кто доверяет расширениям по числу звёзд — пусть сразу готовит холодный кошелёк и тёплое прощание с данными.
#вредоносы #малварь #криптокража
@SecLabNews
📡 Блокировки по регламенту: мобильный интернет в России хотят отключать «по инструкции»
Рост атак БПЛА спровоцировал волну спонтанных отключений связи. Операторы перегружены заявками от местных чиновников, многие из которых не имеют полномочий. Минцифры и бизнес обсуждают создание единой системы — с централизацией решений и понятными регламентами.
Ключевая идея — «одно окно» для предписаний и единая ИС для информирования операторов. Это избавит от ситуаций, когда отключают не там, где надо, или забывают включить обратно. LTE — уже не только интернет, но и голос: хаос в управлении сказывается на всех.
Мягкие меры вместо ковровых отключений — новый приоритет. Без регламента безопасность обернётся потерей управляемости.
#интернет #безопасность #мобильнаясвязь
@SecLabNews
🌐 Татарский омбудсмен требует блокировки Roblox за «обучение диверсиям»
Детский защитник увидела угрозу в пользовательских играх про Чернобыль, где игроки взрывают реакторы. Предлог знакомый — защита от «деструктивного мышления» и профилактика вербовки подростков кибепреступниками.
Волынец ссылается на конкретные сцены: игроки массово выбирают опцию уничтожения реактора и наблюдают за последствиями взрыва. Параллельно омбудсмен фиксирует рост дел по диверсиям среди несовершеннолетних — жертв интернет-вербовщиков.
Платформа с рекордными 16,4 млн игроков может попасть под закон о защите детей от вредной информации. Прецедент покажет, насколько далеко готовы зайти в борьбе с «цифровым экстремизмом».
#модерация #игровыеплатформы #регулирование
@SecLabNews
🔒 GrapheneOS = преступник? Каталония начала проверять владельцев Pixel
В Каталонии владельцы Google Pixel всё чаще попадают в поле зрения полиции — причина не в защите от Google, а в прошивке GrapheneOS. Это альтернатива Android с повышенной приватностью, популярная среди тех, кто хочет контролировать устройство, а не сдавать его большим данным.
Ирония в том, что GrapheneOS — не теневая самоделка, а легальный open-source-инструмент. Он позволяет отключать интернет для отдельных приложений, ограничивать доступ к датчикам и контактам, создавать изолированные профили и даже вводить принудительный PIN, при котором всё удаляется. Это не атака. Это защита.
Теперь и GrapheneOS в списке подозреваемых — наряду с Signal, Tor и криптокошельками. По этой логике и шторы в спальне — уже потенциальная угроза национальной безопасности.
#privacy #Каталония #GrapheneOS
@SecLabNews
🆕 Еженедельный обзор киберновостей SecurityLab
Эта неделя принесла серьёзные потрясения в мире кибербезопасности: от американских 0-day атак на Китай до того, как антивирус приветствует вредоносы как старых друзей. Россия активно продвигает цифровой суверенитет, а мировая наука совершила прорывы от управления энергией Вселенной до возвращения способности ходить парализованным детям — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.
🌎В мире
Китай атакован американским 0day в Exchange, который обнулил защиту китайских технологий.
Иран открыл киберстартап для хакеров с тарифами: атаковал США — надбавка, Израиль — премия.
Президент Мексики продал государство за $25 млн, и теперь страна живёт под надзором Pegasus.
Военный США обменял секреты на флирт с незнакомкой в чате.
Китай признаёт: военные роботы могут убивать без приказа — и без разбора.
🇷🇺 В России
Госдума готовит удар на миллион рублей для незарегистрированных хостеров.
RuStore теперь можно ставить по-хорошему или по закону — Путин подписал соответствующий документ.
Бизнесу запретят хранить данные на западных СУБД — срок до 2027 года.
Школьный экзамен переезжает с Windows на российские ОС Astra.
Даже один сатоши в зарплате — уже нарушение, считает Минтруд.
🏴☠️ В сетях хакеров
Microsoft наконец-то уволила «сотрудника», который 28 лет притворялся, что работает нормально.
6000 разработчиков стали жертвами из-за двух строк кода — и никто ничего не заметил.
eSIM позволяет читать чужие сообщения и перехватывать звонки — это уже доказано.
Хотели безопасный SSH — получили бэкдор: проверьте Termius на macOS.
PuTTY.exe оказался троянским конём — в реальности RedLine, ворующий кошельки и пароли.
Ducex прячет вредоносы так искусно, что даже антивирус приветствует их как старых друзей.
⛽️ Новости науки и технологий
Человечество подключилось к энергосети Вселенной — прорыв австралийских физиков обещает 1000-кратный скачок.
Крошечная страна создала ИИ мощнее ChatGPT и отдаёт его даром — пощёчина BigTech.
GPT-5 стирает границы между текстом, видео и разумом — Альтман молчал месяцами не зря.
Робот Black Panther II пробежал 100 метров за 13 секунд и вычеркнул Boston Dynamics из книги рекордов.
Парализованный ребёнок пошёл впервые в истории при смертельной мутации — революция в медицине.
Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.
@SecLabNews
💥 Мы сами построили себе клетку. И лайкаем её каждый день
Технологии персонализации не просто сделали Интернет удобным. Они сделали его самым вежливым тюремщиком в истории. Он знает, что вы хотите видеть. И знает, чего вы не хотите. У него нет эмоций. Только оптимизация вовлечённости.
Вы не стали глупее. Просто мозг адаптировался к условиям, где конфликт — угроза, а несогласие — ошибка алгоритма. Люди утрачивают эмпатию, не потому что стали злее. А потому что слишком долго жили в мире, где все — такие же, как они.
Солипсизм был философской гипотезой. Instagram превратил его в бизнес-модель. Добро пожаловать в цифровой кокон. Надеюсь, вам там уютно.
https://www.securitylab.ru/blog/personal/securitylab/355783.php
#пузырь, #реальность, #самообман
❓Ваш хостинг ещё не в реестре? Госдума уже проголосовала за штраф до 1 млн
Госдума приняла в первом чтении законопроект, устанавливающий штрафы до 1 млн рублей за нарушение требований к деятельности провайдеров хостинга. Инициатива была внесена группой депутатов и сенаторов во главе с Антоном Горелкиным и направлена на дополнение Кодекса об административных правонарушениях.
За работу без включения в реестр провайдеров хостинга граждан ждут штрафы от 50 до 100 тыс. рублей, индивидуальных предпринимателей — от 200 до 500 тыс. рублей. Юридические лица могут быть оштрафованы на сумму от 600 тыс. до 1 млн рублей за аналогичные нарушения.
С февраля прошлого года в России действует закон, обязывающий хостинг-провайдеров уведомлять Роскомнадзор о своей деятельности и подтверждать возможность безопасного хранения данных. Однако на рынке до сих пор остаются компании, которые игнорируют эти требования и считают, что закон их не касается.
#госдума #хостинг #регулирование
@SecLabNews
Июль приносит новые знания! Приглашаем на митап CyberCamp* — разберем работу с внешними цифровыми угрозами ⚡️
18 июля в 13:30 мск оставим в стороне классический TI* и поговорим про другие стороны киберразведки.
В программе:
⏩OSINT* активов компаний: как работают популярные инструменты
⏩Фишинг в 2025: как выжить, если злоумышленник уже давно пользуется AI*
⏩Применение обработки естественного языка в OSINT
⏩Поднимаем завесу: как происходит настоящий Intelligence* в даркнете
⏩Взлом через подрядчика: взгляд киберразведки
⏩«Я тебя по IP* вычислю!» — разбираем кейсы реальных атак и ищем их организаторов
⏩Ты — цель. Построение персонализированной модели угроз
Участвовать можно в двух форматах:
▶️ смотреть доклады онлайн
▶️ практиковаться в киберучениях (заявки принимаются до 15 июля)
Регистрация уже на сайте!🖱
*CyberCamp — Сайберкэмп
*TI — Киберразведка
*OSINT — Разведка по открытым источникам
*AI — Искусственный интеллект
*Intelligence — Разведка
*IP — Сетевой протокол
🧠ИИ прочитал вас по сохранёнкам
Закрытие Pocket стало поводом для нетривиального эксперимента: инженер и бывший офицер ВВС решил скормить ИИ свой архив из 878 сохранённых статей за 7 лет — и получил в ответ точнейший личностный портрет. Без анкет, логов и метаданных — только URL, заголовки и время сохранения.
С помощью утилиты xsv и модели o3 он выяснил, что алгоритм способен вычислить не только возраст, доход и количество детей, но и уровень тревожности в ноябре, тягу к самодельным E-Ink-устройствам и циклы профессионального выгорания. Причём точность оказалась выше, чем у многих опросников: срез по ролям, привычкам и целям напоминал психологический паспорт.
Эксперимент напомнил: даже «песочница для ссылок» выдаёт нас с головой. Данные о чтении — это не просто интересы, это карты мышления. И чем глубже их анализируют ИИ-модели, тем острее вопрос: кто на самом деле знает нас лучше — мы или алгоритмы?
#личныеданные #ИИ #самоанализ
@SecLabNews
Каким будет SOC будущего?
В новой статье для Positive Research Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies, рассказывает, как философия работы SOC уже меняется от круглосуточного наблюдения к интеллектуальному управлению инцидентами.
🔴 Автономные SOC — новый виток развития технологий
🔴 SIEM-решения — стареющее ядро SOC
🔴 Виртуальные сотрудники: встроенные ИИ-аналитики
#PositiveResearch
🛡Белых хакеров снова загнали в тень
Госдума отклонила законопроект о легализации этичного хакинга в России. Профильный комитет по госстроительству признал инициативу сырой и рискованной для критической инфраструктуры.
Корень проблемы — в системных противоречиях. Депутаты требуют комплексных изменений в уголовном праве, которых до сих пор нет. Особую тревогу вызывает передача данных об уязвимостях зарубежным разработчикам из недружественных юрисдикций — прямая угроза нацбезопасности.
Отрасль остается в правовом вакууме. Проект обещают вернуть. Но пока что — белым хакерам всё так же нельзя.
#инфобез #bugbounty #госдума
@SecLabNews
Остаётся ли в тайне ваш диалог с ИИ?
Большие языковые модели умеют многое — от помощи в аналитике до написания кода. Но за удобством скрываются риски: утечки данных, нарушение комплаенса, потеря интеллектуальной собственности.
🔐 На вебинаре 9 июля расскажем:
— Что происходит с вашими данными в ChatGPT, Claude, Perplexity, Gigachat и других.
— Как отличаются политики конфиденциальности вендоров.
— Что можно, а что нельзя отдавать внешним LLM.
— Как настроить корпоративные правила безопасного использования ИИ.
— Как защитить свои данные от попадания в обучающие датасеты.
🎯В финале — готовый шаблон политики + чеклист для компаний.
И всё это — на реальных кейсах.
👉 Присоединяйтесь: разберём, как использовать LLM с пользой и без риска.
0️⃣Обнаружена эксплуатация новой 0day уязвимости в серверах Exchange
🔓 Кибергруппировка NightEagle эксплуатирует ранее неизвестную 0day уязвимость в Microsoft Exchange для получения machineKey сервера. С помощью этого ключа хакеры проводят удалённую десериализацию и устанавливают вредоносное ПО на серверы любой совместимой версии Exchange.
🎯 Группа целенаправленно атакует ведущие китайские компании в сфере высоких технологий, производства чипов, квантовых разработок и искусственного интеллекта. Для подбора нужной версии Exchange злоумышленники последовательно перепробовали все популярные версии на рынке, демонстрируя высокий уровень подготовки.
💻 Хакеры используют уникальный вредонос, работающий исключительно в памяти и остающийся невидимым для систем защиты. Все атаки происходят строго с 21:00 до 6:00 по пекинскому времени, что указывает на вероятное происхождение группы из Северной Америки.
#0day #exchange #кибератаки #китай
@ZerodayAlert
🔑Гейминг под контроль: кто и как будет рулить отраслью?
Российским разработчикам игр дали домашнее задание: к следующему совещанию представить предложения по стратегии всей индустрии. Один из ключевых пунктов — выбор госоргана, который будет отвечать за гейминг. Ранее АПРИОРИ уже предлагала свою версию стратегии: господдержка — только тем, кто работает на NAU Engine и предустанавливает VK-магазины. Вернутся ли к этим условиям — пока вопрос.
Ещё одна идея на столе — пускать в Россию только те зарубежные игры, что работают через российских издателей. Локализация? Безусловно. Но индустрия опасается, что зеркальные шаги не заставят себя ждать.
Всё идёт к созданию «дорожной карты» — то ли маршрута к росту, то ли кольцевой с односторонним движением.
#видеоигры #регулирование #локализация
@SecLabNews
🤫ИИ-раздевалки: $36 млн в год на дипфейках — на серверах Google и Amazon
85 сайтов генерируют поддельные обнажённые фото женщин и детей. Хостятся они на Amazon и Cloudflare, авторизация — через Google. Всё официально, без взломов, без обходов. Эта индустрия встроена в экосистему Big Tech и даже не делает вид, что прячется.
За фасадом — кредиты, платные подписки, реклама порно-сервисов, партнёрки и каналы в Telegram. Маскировка через нейтральные домены и обход фильтров — стандарт. Пользователь заходит по ссылке, а сайт давно работает под прикрытием, и не где-нибудь, а в CDN крупнейших корпораций.
Пока у этих сервисов не заберут инфраструктуру, они будут расти. А значит, кто-то из тех, кто эту инфраструктуру предоставляет, делает это вполне осознанно — и зарабатывает вместе с ними.
#deepfake #насилие #bigtech
@SecLabNews
🟥Вебинар PT NGFW — 22 июля
22 июля приглашаем на вебинар, где команда PT NGFW поделится важными новостями о развитии продукта.
Расскажем:
▪️о новых младших моделях — теперь линейка охватывает ещё больше сценариев, включая небольшие площадки и филиалы;
▪️что появилось в версии 1.7.1 — ускорили VPN, повысили производительность, добавили сбор событий через WEC;
▪️что уже реализовано в 1.8 — поддержка ICAP, интеграция с DLP и песочницами, а также BFD и ускоренная сходимость кластера и протоколов маршрутизации;
▪️о новых возможностях BGP, включая BGP Community, и других фичах, которые делают PT NGFW ещё удобнее и мощнее.
Формат — дружеский и по делу. Говорим открыто о том, что уже сделано и куда движемся дальше. Ведут вебинар продуктовая и техническая команды.
Регистрируйтесь — будет интересно.
📞 Фильтр против звонка от «внука в беде»
Звонки «из банка», «от сына в беде» и прочие мошеннические номера должны исчезнуть. Миронов и Лантратова внесут законопроект: операторы обязаны автоматически подключать антифрод-фильтры всем абонентам, бесплатно и без заявлений.
Сервис должен блокировать как известные номера мошенников, так и новые схемы — в реальном времени. Роскомнадзору передают контроль над техническими требованиями.
Если закон примут, операторы станут ответственными за первую линию защиты от телефонных афер. Вопрос — насколько система будет прозрачной и точной? Всегда есть риск «перебдеть» и отрезать нужный звонок.
#госдума #мошенничество #связь
@SecLabNews
Котик уже заполнил опрос 🐱
Остались только вы 🫠
Расскажите, как у вас обстоят дела с данными и инцидентами, ИБ-процессами и взаимодействием команд.
Где горит? Где всё гладко? Что автоматизировали, а что работает на честном слове?
✅ Анонимно, быстро, по-человечески.
👉 Оставить контакт можно по желанию — никто не будет звонить, только если прям захотите 🐱
Мяч в руки Фемиды: баскетболист в деле вымогателей
Российский спортсмен Даниил Касаткин встретил в Шарль-де-Голле не фанатов, а наручники: 21 июня его задержали во Франции. США настаивают на экстрадиции — считают его переговорщиком группы, атаковавшей около 900 организаций, включая два федеральных агентства.
Адвокат утверждает: он просто купил подержанный ноут и «вообще не разбирается в технике». Однако Касаткин остаётся в изоляторе, а к нему до сих пор не пускают даже российских дипломатов.
Карьеру в московском MBA он уже приостановил. Что дальше — паркет или присяжные в округе Колумбия — решит суд.
#вымогатели #экстрадиция #международноеправо
@SecLabNews
Надбавка за США, премия за Израиль, новая схема Pay2Key.I2P
Pay2Key.I2P строит не просто вымогательскую кампанию, а идеологическую платформу. «Атакуй врага Ирана — получи больше». Хакеров не нанимают, их агитируют. А заодно щедро платят: 80% выкупа уходит исполнителям.
В техническом арсенале — скрытые сети, свежий вирус на базе Conti и набор инструментов, способных обойти даже обновлённые системы резервного копирования. По сути, это боевой набор «всё включено».
Когда кибератаки становятся инструментом государственной политики, а вымогатели — её руками, возникает новая реальность. Здесь уже не действуют правила цифрового криминала. Здесь — ставка на ненависть, скорость и автоматизацию разрушения.
#вымогатели, #Иран, #кибератака @SecLabNews
⛔️ЕГЭ на Windows? Разработчики против
Пока ЕГЭ продолжают сдавать на американской Windows, ассоциация «Отечественный софт» требует перемен: по их мнению, это не просто игнорирование курса на импортозамещение, а прямая угроза безопасности и бюджету страны. Письмо с просьбой о переходе на российские ОС уже направлено в Минцифры, Рособрнадзор и Минпросвещения.
В рекомендации Рособрнадзора по ЕГЭ-2025 чёрным по белому: экзамен — только на Windows. А между тем с 1 января действует президентский указ, запрещающий использовать иностранное ПО на объектах критической инфраструктуры, а с 1 сентября — и вовсе только отечественный софт из реестра Минцифры. Получается, школьные экзамены — вне зоны правового поля?
Ставка — не только на Astra Linux, РЕД ОС или ALT, но и на «ОС МЭШ», уже применённую в школах Москвы. Аргументы бизнеса звучат всё жёстче: зависимость от санкционного ПО, утечки данных, ежегодные расходы на лицензии. И что важнее — школьники привыкают к чужим системам, теряя навык работы с тем, что продвигает сама страна.
#отечественныйсофт #ЕГЭ #импортозамещение
@SecLabNews
🔐 Центробанк закручивает гайки: криптография КС1, ГОСТ, биометрия и 3 часа на отчёт
Банк России меняет правила игры на рынке платежей — и речь не только о банках. Новая редакция указания №821-П требует криптографии уровня не ниже КС1, усиленной ЭП и полной отчётности об инцидентах за 3 часа. Под удар попадают и те, кто раньше жил «на грани» — филиалы иностранных банков, платежные агенты и платформы, работавшие без формальных ИБ-обязательств.
Технически ключевой акцент — верификация и защита биометрии: только российская криптография, цифровые отпечатки вместо образов, обязательная синхронизация времени через ГЛОНАСС с точностью до 3 секунд. Также вводится обязанность обеспечивать целостность электронных сообщений и событийных журналов.
Для среднего банка это вложения в десятки миллионов, а оценка соответствия — от миллиона рублей. Но отказать себе в защите уже не получится: ЦБ фиксирует рост инцидентов из-за подрядчиков и требует от всех участников платежного оборота единых стандартов. Тарифы, скорее всего, не вырастут — а вот маржа сожмётся.
#ЦБ #криптография #финансы @SecLabNews
⚡️Крипта ≠ зарплата: даже частично — нельзя
Российским компаниям по-прежнему запрещено платить сотрудникам в криптовалюте — даже частично. Минтруд напомнил: зарплата по закону возможна только в рублях. Но бизнес не унимается — особенно те, кто работает с релокантами. После запуска режима трансграничных криптоплатежей в 2024-м многие решили: окно возможностей приоткрыто.
Формально цифровые активы не признаны платёжным средством. А значит, криптозарплата — не экономия, а риск: от налоговых до уголовных. Законопроект уже на подходе — штрафы до миллиона и конфискация средств.
Рынок зовёт к гибкости, регулятор — к дисциплине. И пока компромисс только один: цифровой рубль. Но в биткоин вы его не обменяете.
#зарплата #криптовалюта #штрафы
@SecLabNews
🤖Ты играешь — они получают доступ: как TapTrap обходит защиту Android
Исследователи из TU Wien и Университета Байройта показали, что на Android можно обойти любые системные разрешения... не спрашивая ничего. Метод TapTrap маскирует вредоносные действия под анимации интерфейса, так что пользователь уверен: он нажимает на элемент в игре. А на деле — передаёт доступ злоумышленникам.
Фишка в прозрачной активности с кастомной анимацией: на экране вроде бы ничего нет, но касание уже передано другому приложению. Без наложений, без разрешений. Всё штатно, через startActivity(). Даже Android 16 на Pixel 8a не спасает.
76% приложений из Play Store потенциально уязвимы. Почти никто не учитывает, что анимации — это тоже вектор атаки. Google пообещал закрыть дыру, GrapheneOS уже готовит патч. А пока? Даже «непрошеное» касание может быть критичным.
#Android #TapTrap #MobileSecurity
@SecLabNews
🇷🇺 Персональные данные — только на отечественном
Минцифре, ФСБ и ФСТЭК поручено до декабря 2025 года подготовить поправки, по которым обрабатывать и хранить персональные данные можно будет только на российском софте. Включая СУБД. Крайний срок перехода — 1 сентября 2027 года. Под ударом — миллионы систем, от федеральных регистров до бухгалтерий в регионах.
Требование касается всех: от «Сбера» и Минтруда до микроклиник и ТСЖ. Вопрос не только в замене СУБД — придётся переделывать прикладные системы, процессы, интеграции. Особенно там, где Oracle и MS SQL — часть критичных IT-ландшафтов. На кону — совместимость, SLA, устойчивость к нагрузкам.
Вендоры уже предлагают open source с локальной поддержкой, а рынок ждёт реестр сертифицированных сборок. Но если подходы к категорированию операторов и техтребования не будут прозрачными, это обернётся хаосом. Переход возможен — но при условии технической зрелости, не лозунгов.
#импортозамещение #персональныеданные #СУБД
@SecLabNews
🧨 $920 против банковской инфраструктуры
📥 Как продать страну за цену смартфона? Сотрудник компании C&M, ответственной за каналы между банками и Центробанком Бразилии, слил свои корпоративные учётки за... $920. Потом ещё немного поработал на команду — через Notion. В итоге: 140 миллионов долларов — не у ЦБ, не у банков, а на анонимных криптокошельках.
🔍 Технически — типичный провал архитектуры доверия. Нет, не софт подвёл — человеческий фактор. Но фактор этот почему-то получил доступ к критически важной инфраструктуре без адекватного контроля действий. Где лимиты? Где алерты? Где сегментация? Если «корпоративная учётка» одного клерка способна перевести сотни миллионов — это не инсайдер, это архитектурная недальновидность.
🚨 Пока одни гонятся за Zero-Day, другие покупают сотрудников. Пока уязвимость "в голове" остаётся главным вектором, архитектурный «хребет» систем должен предусматривать минимум доверия и максимум ограничений. C&M говорит: "это не баг, это инсайдер". А мы скажем: "если инсайдер может сломать систему — значит, система уже была сломана".
#инсайдеры #банк #социальнаяинженерия #кража
@CyberStrikeNews
🎭 Шесть нажатий Ctrl+C против всей системы защиты Linux
Механизмы шифрования, пароли на загрузчик и Secure Boot внезапно оказались бесполезны. Исследователь из ERNW Александр Мох показал, как с одним USB-накопителем и терпением можно получить контроль над системой — даже если она «максимально защищена». Виной тому — отладочная консоль, которая активируется при сбоях дешифровки root-раздела.
Ключевая проблема в том, что Secure Boot проверяет только ядро и модули, но не initramfs. Злоумышленник может вызвать шелл (например, на Ubuntu 25.04 — через ESC и шесть Ctrl+C), подключить внешний носитель с утилитами, изменить initramfs и внедрить вредоносные скрипты, которые выполнятся при следующей загрузке. Подписанные компоненты при этом остаются нетронутыми — система не видит подмены.
Решение — отключить отладочную оболочку через параметры ядра (panic=0, rd.shell=0), настроить пароль на сам процесс загрузки и зашифровать boot-раздел с помощью LUKS. Пока дистрибутивы не перейдут к единой подписанной сборке ядра и initramfs, уязвимость будет сохраняться.
#Linux #SecureBoot #initramfs @SecLabNews
📇 bitchat: офлайн-мессенджер, который не глушится
Когда сотовая сеть падает по аварии или приказу, коммуникация рушится первой. Разработчик jackjackbits предлагает иной маршрут: смартфоны образуют ячеистую цепь и сами передают сообщения, обходясь без вышек и провайдеров.
Связь держится на Bluetooth LE до 30 м, а каскад узлов увеличивает радиус. Бинарный протокол, адаптивное сжатие LZ4 и порог TTL = 7 ограничивают эфирную «болтовню». Ключи X25519 + AES-256-GCM шифруют, Ed25519 подписывает, фильтры Блума отсекают дубликаты, случайные идентификаторы и задержки скрывают метаданные.
Результат — автономный канал, устойчивый к обесточенным вышкам и DPI. Планируемые модули Wi-Fi Direct, LoRa и мосты Nostr расширят охват от квартиры до километров, не жертвуя шифрованием. Администраторам трафика придётся искать рычаги контроля уже вне привычной инфраструктуры.
#Bluetooth #локальнаяСеть #инфобез
@SecLabNews
👨🔬Мумбаи против Кремниевой долины — 4:0
История Сохама Пареха — лишь вершина айсберга. Программист из Мумбаи работал в четырёх стартапах, пока твит фаундера не запустил волну разоблачений. Выяснилось: армия таких "многостаночников" процветает в тени.
Пока компании гонятся за техническими навыками на собеседованиях, сабреддит r/overemployed растёт как на дрожжах. Там делятся советами, как совмещать несколько должностей и не попасться. Парех довёл себя до хронического недосыпания ради нескольких зарплат.
Индустрия создала монстра собственными руками. Игнорируя надёжность и командную работу ради быстрого найма, получили поколение корпоративных кочевников. Теперь каждый идеальный удалённый кандидат под подозрением — а что, если он уже кодит для ваших конкурентов?
#инсайдеры #удаленка #корпбез
@SecLabNews