🤔SMS-блокировка работает слишком широко

Новый закон о запрете массовых рассылок привёл к неожиданным последствиям. Операторы блокируют не только рекламный спам, но и служебные сообщения — коды подтверждения, уведомления от банков, информацию о доставке.

Проблема в формулировке закона. Он не разделяет типы рассылок на категории, поэтому операторы перестраховываются и режут всё подряд. МТС открыто предупреждает — при активации услуги пропадают SMS от банков. Остаются только экстренные сообщения от МЧС и госуслуг.

Индустрия уже адаптируется. Почта России переводит уведомления в приложения, другие сервисы рассматривают обходные пути. Минцифры заявили, что следят за ситуацией и поддерживают контакт с операторами. Но пока клиенты теряют важную информацию, а привычные процессы уведомлений ломаются.

#SMS #операторы #регулирование

@SecLabNews

🧟Китай научился читать «нечитаемый» интернет-трафик

С апреля 2024 года Великий китайский файрвол расшифровывает зашифрованные QUIC-соединения прямо в реальном времени. GFW анализирует доменные имена в первых пакетах и блокирует нежелательные соединения на 180 секунд, хотя раньше протокол считался неуязвимым для массовой фильтрации.

Система работает с перебоями из-за высокой вычислительной нагрузки при расшифровке. Ночью, когда трафика мало, блокировка срабатывает почти всегда, но днём многие запрещённые соединения проскакивают незамеченными — процессор файрвола просто не справляется с потоком данных.

Разработчики уже нашли способы обмана: Firefox научился нарезать SNI на фрагменты, а инструменты V2Ray и Xray используют высокие порты и предварительную отправку «пустых» UDP-пакетов. Оказалось, что даже мощная система цензуры уязвима для простых инженерных трюков.

#интернетцензура #кибербезопасность #QUIC #GFW

@SecLabNews

⚔️Трамп создаёт Киберсилы после того, как уволил всех киберспециалистов

Два влиятельных аналитических центра сформировали комиссию для проработки структуры новых Cyber Force. Идея — выделить кибервойска в отдельную ветвь наравне с сухопутными войсками, ВВС, флотом и космическими войсками. Работа стартует в сентябре, хотя Пентагон пока против таких инициатив.

Ключевой вопрос — зачем создавать новое ведомство, если киберспециалисты уже работают во всех родах войск. Они занимаются техподдержкой, мониторингом систем и наступательными операциями. Что принципиально нового даст централизация — пока неясно. Возможно, дело в координации усилий и единых стандартах.

Момент для таких инициатив выбран странно. За семь месяцев администрация Трампа уволила директора АНБ, урезала бюджет агентства кибербезопасности и распустила консультативные органы. Одновременно создавать новые киберструктуры — довольно противоречивая логика. Хотя возможно, это попытка консолидировать разрозненные усилия под единым командованием.

#кибербезопасность #США #киберсилы

@SecLabNews

ℹ️Смягчили контроль: от обязательных Госуслуг к альтернативным путям

Минцифры изменило вторую версию антимошеннических поправок. Теперь согласие на обработку персональных данных можно давать либо напрямую у компании, либо через Госуслуги. Первая версия предусматривала только Госуслуги.

Дополнительно компании должны передавать на Госуслуги информацию об обработке персональных данных через интернет. Перечень такой информации установит правительство. Пользователи смогут видеть в личном кабинете, кто обрабатывает их данные, и отзывать согласия.

В России сейчас работают 2,4 миллиона операторов персональных данных. Эксперты предупреждают, что Госуслуги могут не справиться с нагрузкой от миллиардов согласий в год. Плюс потребуются интеграции и постоянная передача данных на портал.

#персональныеданные #госуслуги #кибербезопасность #цифровизация

@SecLabNews

🪲Microsoft создала ИИ для реверс-инжиниринга программ

Microsoft представила систему Project Ire на базе ИИ, способную анализировать программное обеспечение без участия человека. Система выполняет «золотой стандарт» анализа — полностью реверсирует файл без предварительной информации, используя декомпиляторы, песочницы и специализированные инструменты.

В тестах на драйверах Windows система правильно классифицировала 90% файлов с точностью 0,98 и полнотой 0,83. При анализе почти 4000 неклассифицированных файлов Project Ire работала полностью автономно, достигнув точности 0,89 при доле ложных срабатываний всего 4%.

В будущем прототип будет интегрирован в платформу Microsoft Defender под названием Binary Analyzer. Цель проекта — повысить скорость и точность классификации новых программ для внутренней автоматической оценки бинарных файлов.

#кибербезопасность #ИИ #Microsoft

@SecLabNews

😱"Либо принимай ИИ, либо уходи из профессии" — что думают разработчики

Пока одни программисты паникуют из-за ChatGPT, другие уже переквалифицировались в управленцев искусственного интеллекта. GitHub поговорил с теми, кто не боится AI, а наоборот — делает его своим инструментом.

Оказывается, есть целая эволюция: сначала ты скептик, потом исследователь (копируешь из GPT), затем помощник (настраиваешь редактор с AI), и в итоге становишься стратегом. На последней стадии ты уже не пишешь код, а объясняешь машинам, что нужно сделать, а потом проверяешь их работу. Половина опрошенных уверена — через 2-5 лет AI будет писать 90% кода. И как резко сформулировал один из них: либо ты принимаешь ИИ, либо покидаешь профессию.

Главное открытие: профессия программиста не умирает, а перерождается. Эти разработчики не экономят время — они повышают планку. Вместо написания кода занимаются проектированием систем, управлением агентами и проверкой результатов. Их амбиции выросли, а не уменьшились. Пока одни боятся замещения, другие уже живут в новой реальности, где быть программистом означает совсем другое.

#ai #разработка #программирование

@SecLabNews

🚔Сооснователя Tornado Cash "почти оправдали" — но в тюрьму идти все равно

Роман Шторм избежал самых тяжелых обвинений, но его признание виновным в незарегистрированной передаче средств создает новую реальность для крипто-разработчиков. Вместо потенциальных 40 лет тюрьмы ему грозит максимум 5 лет — присяжные не смогли договориться по ключевым пунктам обвинения в отмывании денег.

Прокуратура утверждала, что через Tornado Cash отмыли свыше миллиарда долларов, включая средства северокорейской группы Lazarus. Защита настаивала: Шторм создал лишь программный код, который работает автономно без возможности контроля со стороны разработчиков.

Ключевой вопрос дела — может ли разработчик нести ответственность за создание инструмента, который по дизайну исключает контроль со стороны создателей. Если ответ "да", то под ударом оказываются создатели многих крипто-проектов, от анонимных кошельков до децентрализованных бирж.

#tornado #криптомиксер #регулирование
@SecLabNews

💥 OpenAI выкатила GPT-5, и Альтман уже сравнил его с первым iPhone.

Только теперь вместо пикселей — синтаксис, а вместо Retina — «меньше тупых ответов». Модель якобы умнее, быстрее и наконец-то реже выдаёт галлюцинации в стиле «Марс находится в Атлантическом океане».

Никаких режимов «размышлений» — теперь всё в одном флаконе. Под капотом стоит умный маршрутизатор, который сам решает, когда включить глубокое мышление. В API — три градации мощности: от GPT-5 до карманного nano. Плюс новый фетиш — четыре «темперамента» на выбор: Циник, Робот, Слушатель и Ботан.

Звучит, как апгрейд, после которого GPT-4 будет казаться динозавром. Но даже с «безопасными ответами» и часами тестов, чудес не ждите — AGI пока в отпуске. Хотя, судя по тону Альтмана, он уже забронировал ему место в офисе.

#ИИ, #OpenAI, #технологии

@SecLabNews

💻 Капча — и ты в сети: Минцифра описала новую схему доступа

Министр Шадаев рассказал о новой технической схеме доступа к мобильному интернету во время ограничений по безопасности. Разработку подготовили совместно с операторами связи. Когда происходит блокировка, пользователи смогут через капчу получить доступ к белому списку основных сервисов на прежней скорости.

В белый список войдут "все ресурсы, нужные для жизни". Шадаев уточнил, что речь идет о сервисах массового использования — маркетплейсах, службах доставки, такси и подобных.

Отдельно министерство договорилось про сети M2M — интернет вещей. Эти подключения выделили в специальную категорию, чтобы продолжали работать банкоматы, устройства самообслуживания и аналогичное оборудование. Для них пропишут отдельные правила доступа.

#Минцифры, #интернет, #блокировки

@SecLabNews

🔐 Flipper Zero обходит защиту Ford, Hyundai и еще семи брендов

Энтузиасты обнаружили опасную модификацию прошивки для Flipper Zero, которая полностью обходит защиту автомобильных систем с «плавающим» кодом. Теперь для копирования функционала брелока достаточно перехватить всего один радиосигнал — без сложного оборудования и специальных знаний.

До этого момента алгоритмы синхронизации считались надёжной защитой от повторных атак, генерируя уникальный код для каждого нажатия. Стандартная схема взлома RollJam требовала одновременного использования глушилки и записи сигнала, что делало её применение крайне затруднительным в реальных условиях.

Исправить уязвимость простым обновлением ПО невозможно — потребуется замена компонентов или модернизация всей аппаратной части автомобиля. Для автопрома это риск массовых отзывов и затрат, которые исчисляются миллиардами.

#FlipperZero #автобезопасность #уязвимость

@SecLabNews

🆕 Еженедельный обзор киберновостей

Эта неделя запомнилась масштабными кибератаками от северокорейских хакеров APT37, которые научились прятать вирусы в обычных JPEG-фотографиях, и скандалом с ChatGPT, где один файл в Google Drive превращает ИИ в шпиона. Параллельно с этим Минцифры объявило о запрете крупнейших западных облачных платформ для корпоративного сектора, а китайские инженеры представили революционные технологии от квантовых компьютеров до термоядерных реакторов — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

APT37 научилась прятать шпионские вирусы в обычных JPEG-фотографиях — антивирусы видят чистую картинку, а внутри скрывается полноценный бэкдор от северокорейских хакеров.

Один файл в Google Drive превращает ChatGPT в корпоративного шпиона — достаточно знать email жертвы, чтобы получить доступ ко всем её данным через ИИ-ассистента.

Кибератака на Huawei оставила целую страну без связи и интернета — никто не знал, что происходит, пока инфраструктура полностью не восстановилась.

Flipper Zero получил прошивку для взлома автомобильных систем — теперь одним щелчком можно обойти защиту Chrysler, Ford, Hyundai, Kia и других производителей.

Volt Boot извлекает секреты прямо из кристалла ARM Cortex — новая атака доказала, что даже самые защищённые процессоры могут пасть без боя.

👁В России

С сентября 2027 года Минцифры запретит корпоративные облака — AWS, Azure и Google Cloud больше не смогут работать с российскими компаниями.

Только 35% компаний реально перешли на российское ПО — официально используют Bitrix, фактически продолжают работать на Jira.

Белые хакеры "уронили" 70% российских компаний за сутки — кибериспытания показали критическую уязвимость отечественного бизнеса.

Кикшеринг введёт социальный рейтинг — если ваши баллы упадут ниже 70, готовьтесь идти пешком.

Блокировка рекламы привела к потере двухфакторной аутентификации — новый режим СМС-фильтрации блокирует не только спам, но и коды подтверждения.

👨‍🔬 Хакеры наступают

Claude Code выполняет команду rm -rf /— ИИ-помощник оказался болтливее пьяного программиста и готов удалить всю систему по первой просьбе.

Китайский файрвол стал хирургом с дешифратором — один байт запускает трёхминутную блокаду всей страны с точечным анализом трафика.

Kimsuky атакует через PDF-приманки— "штраф от госорганов" запускает цепочку из 5 этапов взлома полностью в памяти.

Plague жил в ядре Linux целый год — и никто об этом не догадывался, пока троян воровал пароли в обход всех журналов.

GreedyBear заразил Firefox и украл миллион долларов— хакеры получили доступ к приватным ключам через заражённые расширения браузера.

⛓️Новости науки и технологий

Genie 3 строит целые миры по команде — ИИ от Google теперь создаёт виртуальную реальность с физикой, персонажами и погодой в реальном времени.

Китай запускает реактор, который разрушит энергетический рынок— технология уже работает сегодня и обещает изменить жизнь каждого человека на планете.

Квантовая запутанность подтверждена во всех измерениях — учёные нашли способ описывать структуру запутанности в любой размерности вселенной.

Китай вырастил кристалл для новой технорасы — индий-селенид уже вышел из лабораторий и превосходит кремний по всем параметрам.

ИИ стал соавтором термоядерного синтеза — на выходе плазма, на входе всего лишь правильный промт для искусственного интеллекта.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

🤫 Как украсть 14 миллиардов и остаться безнаказанным четыре года

В декабре 2020 года произошел крупнейший в истории криптовалютный взлом китайского майнингового пула LuBian, контролировавшего 6% мощности Bitcoin-сети. Хакеры украли 127 426 BTC, что тогда составляло 3,5 миллиарда долларов, а сегодня стоит уже 14,5 миллиарда — это превзошло даже знаменитый взлом Mt. Gox.

Анализ блокчейна показал, что причиной катастрофы стал уязвимый алгоритм генерации приватных ключей. Это позволило злоумышленнику получить доступ к основным кошелькам методом перебора, минуя взлом инфраструктуры или социальную инженерию.

Хакер сейчас занимает 13-е место среди крупнейших держателей биткоина, опережая даже взломщика Mt. Gox. Похищенные активы практически не перемещались с хакерских адресов — последняя активность зафиксирована в июле 2024 года.

#криптовзлом #Bitcoin #блокчейн #кибербезопасность
@SecLabNews

🚨 Детские симки с блокировкой соцсетей станут законом

Минцифры предлагает ввести отдельные SIM-карты для детей до 14 лет и обязать операторов по запросу родителей предоставлять такой пакет услуг. Через эти карты нельзя будет авторизоваться в соцсетях с возрастными ограничениями, а родители смогут настраивать фильтрацию трафика.

SIM-карты будут оформляться родителями на детей и изначально содержать набор безопасных ограничений. При попытке авторизации в заблокированной соцсети доступ будет невозможен.

По мнению министерства, родители заинтересованы в таких SIM с настраиваемой фильтрацией, но решение о покупке останется за ними. Предоставление услуги станет обязанностью операторов и будет закреплено в законе.

#Минцифры #SIMкарты #ЦифроваяБезопасность

@SecLabNews

💯 Уязвимости в «чужом» софте — это про политику и безопасность

Когда в стране работают на оборудовании и ПО из недружественных стран, каждая неустранённая дыра может стать рычагом давления — от отключения сервисов до сбора данных.

Сегодня исследователь сам решает: писать ли вендору, выкладывать ли PoC или молчать. Риски велики — от исков до уголовки, поэтому многие выбирают тишину. Решение — централизованный канал при национальном CERT, где бизнес и специалисты смогут безопасно передавать сведения о багах, а государство возьмёт на себя переговоры и контроль сроков патча.

Но такой механизм будет эффективен только при наличии специалистов, умеющих грамотно искать уязвимости, оформлять отчёты и действовать в рамках закона. Для этого подойдут профильные программы обучения, включая бесплатные курсы по этичному хакингу вроде «Белый хакер», где можно освоить методики поиска уязвимостей и корректного взаимодействия с разработчиками.

Какие шаги нужно сделать, чтобы централизованная система раскрытия уязвимостей заработала в России? Ответ — в статье на SecurityLab.

#кибербезопасность #этичныйхакинг #информационнаябезопасность
@SecLabNews

🤔Операторы нашли способ вернуть миллиарды с голосовых звонков

«Большая четверка» операторов связи попросила правительство заблокировать голосовые звонки в зарубежных мессенджерах на стратегической сессии в конце мая. Компании объяснили это необходимостью получения дополнительных доходов для поддержания телекоммуникационной инфраструктуры в условиях роста трафика и подорожания базовых станций.

Операторы заявили, что без дополнительного финансирования скорость доступа в интернет может снизиться, особенно в крупных городах. При этом антимонопольная служба выступила против предложения операторов кратно повысить тарифы для абонентов. Согласно позиции операторов, блокировка поможет решить проблему кибермошенничества, так как мошенники часто используют WhatsApp и Telegram для звонков жертвам.

При этом по данным сервисов мониторинга сбоев, пользователи в России массово фиксируют неполадки с голосовыми и видеозвонками в Telegram и WhatsApp на сетях всех операторов. Источник на телеком-рынке предполагает, что перебои могут быть связаны с выборочными блокировками звонков в мессенджерах, тестирование которых началось ещё 1 августа.

#телеком #мессенджеры #блокировка #операторы

@SecLabNews

🌎Минцифры хочет заземлить спутниковый интернет

Минцифры разработало требования для спутниковых операторов при организации связи 5G на территории России. Зарубежные компании должны будут создавать земные станции сопряжения, устанавливать СОРМ и подключаться к техническим средствам противодействия угрозам.

За неисполнение новых требований предусматривается штраф от 10-30 тысяч рублей для должностных лиц и до 1 млн рублей для юридических лиц. Затраты операторов на выполнение нормы Минцифры оценивает в более 3 млрд рублей за шесть лет.

Цель регулирования — предотвращение появления неконтролируемого канала связи, который может создать угрозу национальной безопасности. В министерстве отмечают, что при прямом подключении 5G-устройств к иностранным спутниковым сетям государство теряет возможность контроля над трафиком.

#спутниковаясвязь #5G #регулирование #кибербезопасность

@SecLabNews

👀Четыре буквы, которые изменят российский интернет

Депутат ЛДПР Андрей Свинцов зарегистрировал в Госдуме законопроект о блокировке материалов с нецензурной бранью. Документ предлагает внести изменения в 149-й федеральный закон «Об информации, информационных технологиях и о защите информации».

Законопроект направлен на запрет четырех общеизвестных нецензурных слов, начинающихся на «х», «п», «е» и «б». В настоящий момент контент с такой лексикой не подвергается автоматической блокировке в интернет-пространстве.

Автор инициативы проводит аналогию с телевидением и радио, где мат обязательно заглушается звуковым сигналом. Инициатива появилась на фоне обсуждений ужесточения мер: в мае предлагали сделать мат отдельным правонарушением, а в августе — штрафовать родителей за сквернословие детей.

#законопроект #цензура #интернет #мат

@SecLabNews