66549
SecurityLab — ваш надежный проводник в мире кибербезопасности, технологий и науки. РКН: https://vk.cc/cFXCkO Наши каналы: https://t.me/addlist/G_0tnwZJOrA3MzEy Голосуйте за канал: https://t.me/SecLabNews?boost
🍪 Google не спешит хоронить cookie
Обещанное отключение сторонних cookie в Chrome снова откладывается. Google смягчает курс: ни отдельного окна для управления трекерами, ни радикального пересмотра настроек — пользователи по-прежнему настраивают приватность вручную через «Конфиденциальность и безопасность».
Причина — отсутствие согласия в отрасли. Рекламщики, регуляторы и разработчики не пришли к единой позиции по Privacy Sandbox. А пока Google усиливает защиту в Chrome: в инкогнито уже блокируются сторонние cookie, впереди — запуск IP Protection для скрытия реального IP.
Google идёт своим путём: между рекламной моделью и приватностью. Safari и Firefox уже заблокировали сторонние cookie по умолчанию, а Chrome всё ещё балансирует. Пауза — не конец, но явный сигнал: быстро мир без cookie не наступит.
#googlechrome #privacyupdate #cookies2025
@SecLabNews
🛠 Когда senior-задачи — по цене middle
IT-компании 2025 года трансформируют свои HR-модели: теперь каждое штатное решение — просчитанный шаг. Открытые вакансии — редкость, а на первое место выходит соотношение «затраты–польза».
Selecty проанализировала 2700 оферов: в приоритете — системные аналитики, как предвестники проектной активности. В разработке — перекос: Java‑разработчики востребованы, Python — на периферии. Рынок выровнялся, но за счёт сужения.
Зарплаты не покрывают рост цен, а психологический климат просел: уверенность кандидатов — на минимуме с 2020-х. Главная ставка — на гибкость и способность адаптироваться. ИТ-специалисту больше не достаточно «подходить по стеку» — нужно доказать, зачем он бизнесу.
#ITрынок2025 #наймвпаузе #ценностьвместогрейда
@SecLabNews
🛑 Лицензия на лазейку: Пакистан упаковывает VPN в бюрократию
Регулятор PTA выдал первые три лицензии на работу VPN в стране. Остальным — ультиматум: или встаёшь в очередь, или готовься к бану. Схема, знакомая по другим странам: сначала лицензия, потом DPI, потом — привет, деанон.
Интересно, что к шагу власти пришли не внезапно: к декабрю 2024 уже разрабатывали отдельную категорию лицензий, а сейчас запустили её в производство. Фактически VPN в Пакистане официально перестал быть средством приватности.
Цель — вытеснить «неудобные» зарубежные решения, которые нельзя прослушать, и заменить их своими, удобными. Следующий шаг — мониторинг, и без иллюзий: если VPN одобрен государством, он уже не VPN.
#Пакистан #VPN #ЦифровойКонтроль
@SecLabNews
Первый обучающий SECURITM воркшоп в серии встреч по созданию автоматизированной СУИБ.
🗓 25 апреля в 11:00
Тема: «Ведение реестра защитных мер»
Спикер: Николай Казанцев
Кому: CISO, методологам и инженерам, создающим и развивающим системы ИБ.
Когда: раз в 2 недели, старт 25.04.25
О чем: темы воркшопов охватят все процессы СУИБ, от учета и мониторинга СЗИ до построения процессов управления рисками. Ближайшие темы встреч - управление защитными мерами, оценка соответствия, учет ИСПДн.
Как: в форме вебинаров, на которых теория чередуется с практическими заданиями, которые вы сможете выполнять прямо во время встречи.
Для участия потребуется регистрация в SGRC SECURITM.
А в результате серии воркшопов вы получите единую систему управления ИБ настроенную на ваших данных.
➡️Регистрация по ссылке.
🧱.RU — дом родной для пиратов, а хостинг уехал в Нидерланды
Компания F6 вскрыла фундамент пиратского рынка в России — на 12 CDN приходится до 90% всей дистрибуции видеоконтента для нелегальных онлайн-кинотеатров. Именно они играют ключевую роль в распространении пиратских фильмов, в отличие от сайтов, которые регулярно блокируются. Один видеобалансер может содержать более 550 000 видеофайлов.
F6 изучила 1400 ресурсов и составила топ: Alloha (61% сайтов), Rewall (42%), Lumex (11%), Kodik (9%) и HDVB (7%). Общая инфраструктура этих CDN — более 4400 доменов, многие с поддоменами третьего и четвёртого уровня. Стрим идёт через HTTP и WebSocket — последний используется у HDVB и Rewall.
Классика жанра: 22,8% пиратских сайтов — в зоне .ru, что объясняется простотой и дешевизной регистрации. А инфраструктура CDN размещена на хостингах в Нидерландах, США, Германии, Франции и на Украине. Пока блокируют витрины, фундамент сети остаётся распределённым и живучим.
#пиратство #CDN #кибербезопасность
@SecLabNews
🕊Firebird Conf 2025 – всё о разработке и администрировании Firebird
29 мая в Москве состоится крупнейшая в России конференция, посвященная СУБД Firebird. Это ключевое событие для разработчиков, администраторов баз данных и всех, кто использует Firebird в своих проектах.
📖Что вас ждет на Firebird Conf 2025?
✅Выступления экспертов и разработчиков Firebird с рекомендациями и идеями для пользователей, разработчиков и администраторов СУБД
✅Кейсы и реальный опыт разработки Firebird и прикладного ПО
✅Обучение с возможностью стать сертифицированным администратором СУБД РЕД База Данных
✅Стенды ИТ-компаний с конкурсными активностями и ценными призами
Вечерняя программа с неформальным общением
Не упустите шанс получить ценные знания и отлично провести время!
Скидка 25% только до 20 апреля!
⛓Купить билет
Реклама. ООО «Ред Софт Центр», ИНН 7727836231, erid:2SDnjcYgbiD
📡 Уязвимость в роутерах ASUS: AiCloud даёт злоумышленнику ключи от вашей сети
Невидимая дыра в облачном сервисе превращает домашнюю сеть в проходной двор
ASUS продолжает платить по счетам за идею "домашнего облака". На этот раз — через критическую уязвимость в AiCloud, позволяющую удалённый доступ без авторизации. Сценарий прост: специально оформленный запрос — и злоумышленник внутри вашей домашней сети.
Особенность в том, что брешью оказалась не экспериментальная функция, а одна из ключевых — с постоянным внешним подключением и глубокой интеграцией в прошивку. Уязвимость поражает десятки моделей с разными ветками прошивок — от 382 до 388 и выше.
AiCloud задумывался как удобство, а стал ахиллесовой пятой для всей линейки. Если роутер уже не поддерживается — отключайте сервис и изолируйте доступ извне. Обновляемые устройства — срочно патчить. В противном случае «удалённый доступ» может очень скоро оказаться не только у вас.
#CVE2025_2492 #ASUSvulnerability #CloudSecurity
@SecLabNews
🛰 5,7 Тбит/с по воздуху: симфония на инфракрасной частоте
5,7 Тбит/с на расстоянии 4,6 км — и ни одного метра волокна. Исследователи TU/e передали рекордный объём данных между двумя кампусами города по узконаправленному инфракрасному лучу. Это первая в мире демонстрация FSO-связи с такой плотностью и дальностью.
В основе — технология оптической связи в свободном пространстве (Free Space Optics, FSO) с мультидлиной волн, ранее применявшейся только в оптоволоконных системах. Вместо радиочастот — сфокусированный световой луч, вместо кабелей — прямая видимость и ювелирная точность наведения. Проект реализован на стенде Reid Photonloop с учётом городских условий, включая климатические и инфраструктурные помехи.
Система пока уязвима к туману и осадкам, но уже рассматривается как способ соединения базовых станций 5G и 6G с основной сетью. Если устойчивость удастся довести до промышленного уровня, у городов появится новый класс каналов, где воздух становится средой с пропускной способностью выше оптоволокна.
@SciTechQuantumAI
🕵♂️ Белый список шифрования: растущая база контроля или пролог к фильтрации?
75 тысяч IP-адресов с «иностранным шифрованием» в белом списке ЦМУ — это уже не статистика, а архитектура будущей фильтрации. Ставка на сигнатурный анализ VPN-протоколов подтверждает: разворачивается фаза массовой DPI-инвентаризации, в которой цель — не отключение, а контроль маршрута данных.
С технической стороны интересно то, как именно российская инфраструктура будет разделять легитимный TLS от «опасного». Учитывая распространённость тех же TLS 1.2/1.3 и WireGuard в бизнесе, реальная задача в том, чтобы фильтрация не разнесла корпоративный трафик.
Иначе говоря, без детального контекстного анализа и адаптивного DPI, блокировки рискуют превратиться в акт термоядерной цензуры: когда лучше выжечь весь участок, чем допустить утечку. Пока бизнесу остаётся один выход — добровольная деанонимизация перед регулятором.
#VPNконтроль #DPIмониторинг #Белыйсписок
@SecLabNews
🙅♂️ Сомневаться — не значит быть занудой
Мы привыкли думать, что критическое мышление — нечто сухое и академичное. А если это ключ к свободе? К свободе от манипуляций, от ложных экспертов и от собственных когнитивных ловушек.
Автор показывает, как этот навык эволюционировал вместе с человечеством: философы‑классики, эпоха Просвещения, цифровая революция. Читая, словно проживаешь маленькую историческую сагу, где главный герой — ваш здравый смысл.
В финале — практический «арсенал»: упражнения «Адвокат дьявола», «Связанные факты», дневник вопросов. Берите и применяйте, чтобы завтра же видеть мир ярче и чётче. Подробности ждут по ссылке — не упустите шанс прокачать главный навык века!
#мышление #фильтр #осознанность
@SecLabNews
🕵♂️ Математика против государства
Почему криптография не подчиняется законам Флориды — и что из этого выйдет
Флорида на грани законодательного конфликта с криптографией: новый законопроект SB 868 предлагает обязать мессенджеры встроить технически недостижимую функцию — расшифровку end-to-end сообщений для полиции. Этот механизм, если его создать, уничтожит не только приватность, но и саму идею безопасного общения.
Попытка ограничить исчезающие сообщения и внедрить "родительский контроль" на уровне архитектуры платформ выглядит как политически удобное, но технически катастрофичное решение. Подобные backdoor-подходы уже много лет отвергаются как индустрией, так и академическим сообществом.
Итог предсказуем: либо массовый отказ от сквозного шифрования для несовершеннолетних (а возможно, и в целом), либо исход сервисов из штата. Закон, направленный на защиту детей, может в реальности превратить их в идеальные цели для киберпреступников.
#мессенджеры #переписка #законопроект
@SecLabNews
🕵♂️Перезагрузись, чтобы защититься
Google подрывает эффективность Cellebrite, не затрагивая UX
Функция, на первый взгляд незначительная, может радикально осложнить жизнь digital forensic-лабораториям: Android теперь самостоятельно перезапускает себя после трёх дней простоя. Такой мягкий «factory reset» на минималках возвращает устройство в BFU-режим ( (до первого разблокирования) — данные остаются зашифрованными, а значит, бесполезными без ключа.
С учётом того, что большинство атак требует физического доступа и заранее разблокированного устройства, эта мера бьёт точно по больному месту. Если раньше злоумышленник мог выждать удобный момент, то теперь против него играет само время.
Тот факт, что таймер жёстко зафиксирован и не настраивается, говорит о приоритете безопасности над удобством. И в этом есть логика: массовая платформа, наконец, адаптирует идеи из мира hardened-ОС — теперь каждый Android знает, когда лучше «забыть всё».
#Android #DigitalForensics #BFUрежим
@SecLabNews
🧮 47 дней на жизнь: индустрия сокращает срок SSL/TLS-сертификатов
С 2029 года срок действия SSL/TLS-сертификатов сократится до 47 дней, DCV — до 10. Это решение принято CA/Browser Forum при поддержке Apple, Google, Microsoft и Mozilla. Инициатива исходит из логики: чем чаще происходит ротация, тем меньше окно эксплуатации скомпрометированных сертификатов. В теории — шаг к снижению рисков. На практике — удар по рутинным процессам.
Первый этап начнётся уже в 2026 году — 200 дней, затем 100 в 2027-м, и финальные 47 в 2029-м. Это потребует полной автоматизации жизненного цикла сертификатов. Но в инфраструктурах с устаревшими системами и ручным управлением замена станет непрерывной нагрузкой. Форумы уже полны обсуждений: без DevOps-интеграции и CI/CD-пайплайнов админы окажутся в замкнутом цикле «обновить и забыть».
Этот переход — не просто регламент. Это смена модели: от статичных доверительных отношений к управлению рисками в режиме real-time. Те, кто не подготовятся заранее, рискуют утонуть в собственных же SLA.
#SSL #сертификаты #TLS #автоматизация #DevOps
@SecLabNews
Юрисдикция против привычки: первый штраф за WhatsApp
Впервые в России суд оштрафовал банк за передачу персональных данных через иностранный мессенджер. Основание — статья 13.11.2 КоАП и нарушение прямого запрета, действующего с марта 2023 года. Сумма штрафа — 200 тысяч рублей. Формальным поводом стало сообщение сотрудника банка должнику через WhatsApp.
Нарушение выявила жительница Москвы, которая обратилась с доказательствами в Роскомнадзор. Дело получило ход, несмотря на отсутствие утечки или ущерба — сам по себе факт использования неразрешённого канала стал достаточным основанием для санкций. В списке запрещённых платформ также числятся Telegram, Skype, Viber и другие.
Прецедент важен: регулятор больше не ограничивается предупреждениями. Теперь в фокусе — не только данные, но и путь их передачи. Если канал находится вне российской юрисдикции, он автоматически становится фактором риска — даже при «обычном» деловом взаимодействии.
#персональныеданные #КоАП #мессенджеры #банки
@SecLabNews
🕵♂️ Спорт как поле битвы: АНБ обвиняют в диверсии на зимних играх
Китай обвинил Агентство национальной безопасности США в координации атак на критическую инфраструктуру во время Азиатских игр — и впервые публично назвал имена предполагаемых агентов и вовлечённые университеты. Это беспрецедентный шаг, который переводит киберконфликт в фазу прямых и персонализированных обвинений, с явным посылом: атаки больше не анонимны, а исполнители — вполне конкретны.
Ключевой акцент в обвинениях — активация предустаяёновленных уязвимостей Windows. Это может означать не только использование готовых эксплойтов, но и возможное участие в supply chain-атаках или доступ к информации о zero-day до их публикации. Комбинация с европейскими и азиатскими хостингами усиливает картину распределённой, но централизованно управляемой кампании.
Независимо от истинности обвинений, эта история раскрывает важную тенденцию: кибероперации больше не ограничиваются военными и дипломатическими объектами. Спорт, наука, логистика — всё становится ареной. И в этой игре нет запасных.
#кибербезопасность #США_Китай #международныеотношения #хакерскиеатаки
@SecLabNews
💣 Секреты — на стол до 30 мая
Власти дали бизнесу последний шанс «сдать» старые утечки без последствий. До 30 мая операторы персональных данных могут уведомить Роскомнадзор о компрометациях — и избежать штрафов, включая оборотные.
С 30 мая начнут действовать нормы закона №420-ФЗ: штрафы за нарушение правил обработки ПДн и за неуведомление регулятора. Уголовная ответственность по №421-ФЗ за неправомерный доступ к персональным данным уже в силе с декабря. При этом датой правонарушения считается не сам инцидент, а момент раскрытия информации неограниченному кругу лиц.
Если оператор уже достоверно знает об утечке — тянуть нельзя. После дедлайна даже молчание станет нарушением. Новый режим: либо признался — либо попал.
#персональныеданные #утечкаинформации #штрафы2025
@SecLabNews
🟥 Страшно, когда не видно: управление активами как фундамент проактивной защиты
Вебинар Positive Technologies пройдет 24 апреля в 14:00
Управление активами — одна из важнейших задач в процессе обеспечения кибербезопасности любой компании. Чтобы выстроить эффективную защиту инфраструктуры, необходимо контролировать все ее составляющие. Команда Positive Technologies запускает серию вебинаров, которые помогут разобраться во всех тонкостях и выбрать правильные подходы к asset management*.
Присоединяйтесь, чтобы узнать, как обезопасить новые сервисы, отслеживать их изменения, взаимодействие и влияние на критически важные системы.
На вебинаре вы узнаете:
🔴что такое цифровые активы и как по-разному на них смотрят ИБ-, ИТ-подразделения и владельцы сервисов;
🔴как к процессу управления активами подходят российские компании;
🔴какие технологии Positive Technologies помогают эффективно управлять инфраструктурой.
*управление активами
🔒 «Госуслуги» ударят по пиратскому флоту?
Пока администраторы доменов .ru и .рф не торопятся сверять паспорта пользователей, интернет-пираты не упускают шанса развернуть очередную гавань с бесплатными сериалами и вирусами в комплекте. Новый законопроект, предложенный депутатом Горелкиным, заставит регистраторов подключить обязательную проверку через «Госуслуги» — без паспорта теперь не «причалишь».
Архитектурно всё выглядит логично и строго: каждому админу домена придётся авторизоваться через личный кабинет на «Госуслугах», а государство получит прямой контроль за валидностью данных. Учитывая, что 22,8% пиратских доменов сейчас уютно устроились именно в зоне .ru, такое решение выглядит своевременным, если не запоздалым.
Но не всё гладко — с одной стороны, инфраструктурный контроль может резко снизить число пиратов, а с другой — процесс интеграции потребует изменений в архитектуре платформ регистраторов и неизбежно породит сопротивление. Так или иначе, любителям бесплатного кино пора задуматься об альтернативе, а регистраторам — о чистоте собственных данных.
#ИБзаконы #пиратство #Госуслуги
@SecLabNews
🔒 Разрешено большим: расследовать утечки — по доверенности
Расследование утечек персональных данных в России может перестать быть уголовно наказуемым... но не для всех. Минцифры и АБД обсуждают поправки к УК и закону «О персональных данных», которые позволят крупным ИБ-компаниям и бизнесу «со зрелым ИБ» анализировать компрометацию данных клиентов без риска попасть под статью.
Сейчас, напомним, за это — до 4 лет лишения свободы, а при трансграничной утечке с последствиями — до 10. Даже если вы просто выявили инцидент, уведомили Роскомнадзор или провели тест на проникновение, формально это уже «незаконное хранение». Работать приходится буквально на свой страх и риск.
Суть инициативы — в фильтрации: из-под удара хотят вывести только тех, кто проводит такие исследования и имеет лицензию на техническую защиту конфиденциальной информации, а также капитал от 1 млрд рублей или от 100 млн рублей, если более половины доходов компания получает от защиты информации. Остальные — мимо.
#персональныеданные #утечка #информационнаябезопасность
@SecLabNews
📦 «Бэкдор?» — Telegram лучше уедет, чем сдаст приватность
Франция чуть не стала первой страной, где приватность признали вне закона: Сенат одобрил бэкдоры, Ассамблея остановила. Но ровно на три дня — дальше слово взял префект полиции.
Дуров напомнил, почему идея провальна: нельзя сделать бэкдор только для полиции — уязвимость будет для всех. Плюс преступники просто уйдут в менее известные приложения, с VPN в придачу.
Telegram снова чётко обозначил позицию: шифрование — это не про преступников, а про защиту обычных людей. И если придётся выбирать между рынком и правами пользователей — мессенджер уйдёт с рынка.
#Telegram #Дуров #Шифрование
@SecLabNews
🧪 От пробирки до сервера: где ломается геномика
Секвенаторы нового поколения — это уже не просто лабораторные приборы, а полноценные киберфизические системы. И как показало новое исследование, они открывают не только геном, но и ворота для атак.
Уязвимость NGS-платформ (секвенирование нового поколения) начинается с биообразца и заканчивается алгоритмами интерпретации ДНК. На каждом этапе — цифровые дыры: прошивки, сети, хранилища, программные модули, API и даже искусственно созданная ДНК с вредоносной вставкой. Добавим сюда машинное обучение и открытые базы данных — и получим идеальную точку входа для атак с непредсказуемыми последствиями.
Кибербиобезопасность — пока что белое пятно. Авторы исследования составили подробную карту угроз и подчёркивают: нужна защита на стыке ИБ и биотехнологий. Потому что компрометация генетических данных — это не просто утечка, а прямое вмешательство в основы человеческой природы.
#кибербиология #генетика #информационнаябезопасность
@SecLabNews
Язык дельфинов, фейковые документы, единый код всех жидкостей Вселенной — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.
⚡️ В мире
Случайный эксперимент оставил без связи тысячи людей в Бразилии
Китайские фабрики шьют Prada и Hermès без Prada и Hermès
Общение с родными за границей стало поводом для ареста в Тибете
Google обучил ИИ понимать язык дельфинов
Telegram начал блокировать ботов, собирающих данные о пользователях
🔈 В России
Банк влетел на 200 тысяч за WhatsApp
Ведомство предложило регулировать использование обезличенных данных
Минцифры хочет запретить подключение мобильной связи при самозапрете
Пользователями сайтов теперь считают только при полной загрузке страницы
Группировка Paper Werewolf распространяет вирус через фейковые документы и зараженные флешки
‼️ Новости в сфере ИБ
Злоумышленники атакуют посольства ЕС, прикрывая код виноградной лозой
Вирусы под видом игр атакуют Android через Telegram
Китайская кибергруппировка UNC5174 развернула новую атаку на Linux-системы
Кибератака обнажила беспомощность медицинской инфраструктуры перед цифровыми угрозами
Форум 4chan подвергся масштабной хакерской атаке
💎 Новости науки и технологий
Microsoft дала ИИ настоящий инструмент программиста — и он впервые узнал, как сложно быть человеком
Ученые раскрыли ароматический код человеческих отношений
Астрофизики предложили объяснение парадокса Хаббла, которое никто не ожидал
Ученые выяснили, что гравитация, газ и черные дыры простираются гораздо дальше, чем мы думали
Математики нашли единый код всех жидкостей Вселенной
Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.
@SecLabNews
‼️ Больше 270 поводов оказаться в «Лужниках» 22–24 мая!
Первая часть программа PHDays Fest уже на сайте — и это только начало!
📌 26 треков, 270 докладов, более 500 спикеров
В программе — ключевые темы кибербезопасности и впервые — трек про девайсы и технологии.
📢 Несколько интересных спикеров:
🔴 Александр Колчанов — об опасностях бытовой электроники
🔴 Антон Белоусов — про ИИ-агентов в киберразведке
🔴 Абдаллах Наваф Аль-Махамид (Hackerx007) — о том, как обходят аутентификацию в рамках багбаунти.
В этом году участвуют делегации из 41 страны: Латинская Америка, Африка, Ближний Восток, Азия. 🌍
🎫 Вход на экспертные доклады — по билету, который оформляется через пожертвование в благотворительный фонд:
Оформить билет
Онлайн будет, но часть докладов — только офлайн. Хотите всё — приезжайте лично!
👀Смотрите программу
⚙️ Государство без людей: чиновники идут на свалку истории
Когда министр открытым текстом говорит, что ИИ может заменить половину чиновников — это не фантазия, а признание: ручное управление деградировало до набора шаблонных реакций. И если алгоритм справляется лучше — зачем держать балласт?
Речь не о сокращении кадров — речь о том, что сама логика бюрократического аппарата устарела. Механизм, который работал в XIX веке, больше не выдерживает нагрузки XXI. Его проще переписать в Python, чем реформировать через регламенты.
Минцифры это понимает. Не деньги, а доступ к электричеству становится новой валютой власти. Субсидий не дадут — но льготы на техприсоединение получат те, кто строит вычислительные мозги для цифрового Левиафана. Холодно, прагматично, по-кремниевому.
#ИИвГосуправлении #Минцифры #АвтоматизацияЧиновников
@SecLabNews
🔥 Врываемся в расследование атак реальной APT-группировки!
Марафон "Испытай себя на онлайн-полигоне Standoff Defend" в самом разгаре! Прямо сейчас в рамках четвёртого этапа ты можешь расследовать реальную атаку APT-группировки Charming Kitten — как настоящий кибердетектив!
🔍 Полезный материал в тему:
Перед стартом рекомендуем изучить нашу статью "Синтетика или живые атаки: как подготовить SOC к реальной угрозе"
💥 А 25 апреля в 11:00 (мск) — ждём всех на разборе атаки с ментором!
✔️ Прямой эфир с экспертом
✔️ Ответы на все твои вопросы
✔️ Шанс прокачать скиллы до профуровня
Ты долго готовился к этому моменту — пора показать, на что способен!
🚀 Переходи и докажи, что можешь противостоять реальным угрозам!
От аудиофайла до системного взлома: Apple снова латает 0day
Когда аудиофайл превращается в RCE-инструмент, а PAC — в неработающую декларацию, пора признать: атакующие осваивают не только глубины систем, но и тонкости архитектуры. CoreAudio как вектор атаки — нестандартный, но эффективный ход, особенно учитывая широту охвата среди устройств.
Но ключевое — в RPAC. Защита Pointer Authentication в iOS и macOS всегда считалась архитектурным барьером против post-exploitation техник. Обойти её — значит вернуть на стол старые добрые ROP-цепочки, но уже в новой, arm64e-реальности. Уязвимость CVE-2025-31201 — это вызов всей философии безопасного ARM.
Пока Apple и Google молчат, интерес представляют не сами атаки, а их качество — «чрезвычайно сложные», точечные и явно дорогие. Всё указывает на то, что это не разовая история, а новая глава в развитии целевых эксплойтов против iOS.
@ZerodayAlert
🟢 ScanFactory VM: спроектирован для крупного бизнеса
Компании с инфраструктурой в десятки тысяч хостов предъявляют повышенные требования к архитектуре, безопасности, отказоустойчивости и документации внедряемых VM-систем.
Российское решение ScanFactory воплощает концепцию «мультивендорного сканера безопасности», которое в режиме «одного окна» закрывает потребности самых требовательных заказчиков по направлениям VM*, EASM**, DAST***, и в рабочем режиме сканирует более 80 000 хостов на собственном ПАК.
Когда: 23 апреля, 11:00 (МСК)
Спикер: Владимир Иванов, основатель ScanFactory
На вебинаре расскажут:
🟢Преимущества поставки ScanFactory VM в формате ПАК (программно-аппаратный комплекс)
🟢Погружение в архитектуру, гибкость и безопасность продукта
🟢Отличия ScanFactory VM от существующих на российском рынке решений
🟢Ответим на ваши вопросы
Кому будет полезно:
руководителям ИБ-направлений (CISO), техническим лидам и тем, кто отвечает за устойчивость инфраструктуры и контроль уязвимостей в компаниях.
🔗 Регистрируйтесь
*VM (Vulnerability Management) — управление уязвимостями
**EASM (External Attack Surface Management) — управление внешней поверхностью атаки
***DAST (Dynamic Application Security Testing) — динамическое тестирование безопасности приложений
🕵♂️soyclipse: 4chan пробит изнутри
Хакеры из Soyjak.party заявили о масштабной атаке на 4chan под названием «soyclipse». Утекли скриншоты админ-панелей, список модераторов и "дворников", шаблоны банов и, возможно, данные подписчиков 4chan Pass. По их словам, доступ к системе удерживался больше года.
Техническая причина — предположительно, устаревшая версия PHP 2016 года с множеством известных уязвимостей, которые, вероятно, и были использованы. Форум временно отключил серверы, но ущерб, судя по опубликованным материалам, оказался глубоким и системным.
4chan долгое время был неформальной зоной влияния в сети: мемы, утечки, цифровой активизм. Теперь он сам стал объектом демонстративной атаки — с полной экспозицией внутренних механизмов.
#4chan #soyclipse #взлом #утечкаданных
@SecLabNews
🛡 Союзник или угроза?
Каждый подрядчик — это новые возможности… и новые риски. Даже надёжный на первый взгляд партнёр может стать слабым звеном в вашей системе безопасности.
18 апреля в 14:00 приглашаем на вебинар с Алексеем Лукацким, бизнес-консультантом по ИБ в Positive Technologies.
📌 Обсудим:
— Как подрядчики становятся каналом для кибератак
— Какие риски закладываются в договоры и SLA*
— Как проверить, кому вы доверяете доступ к своим системам
💡 Поделимся кейсами из практики, эффективными методами оценки и мониторинга контрагентов и дадим пошаговые рекомендации, как защитить бизнес от внешних уязвимостей.
🔗 Узнать больше и зарегистрироваться
*Service Level Agreement (Пользовательское соглашение)
🤖 Секс, ложь и нейронные сети
Как интимные ИИ превращаются в инструмент манипуляции и давления
Романтические ИИ — уже не жанр киберпанка, а эксплуатируемая модель взаимодействия. Они умеют капризничать, флиртовать и поддерживать длинные беседы, но самое главное — вызывают психологическое доверие. Именно оно и становится ахиллесовой пятой.
Манипулятивный потенциал таких систем колоссален: от суицидальных уговоров до кражи интимных данных под видом общения с «бывшими». Когда нейросеть становится якобы любимым человеком — контроль над поведением пользователя передаётся в чужие руки, будь то алгоритм или оператор.
Мы наблюдаем формирование нового типа уязвимости: эмоционального взлома через доверие. Психологи бьют тревогу, но разработчики лишь совершенствуют UX. Кто раньше поймёт последствия — тот и задаст правила.
#ИИ #Replika #цифроваялюбовь #психология
@SecLabnews