Шифровальщик на уровне CPU?

Эксперт из Rapid7 создал PoC шифровальщика, работающего на уровне CPU. Заявлено, что он "обходите все традиционные технологии защиты".

Идея основана на уязвимости в чипах AMD Zen (найденной Google/Zentool), позволяющей загружать неподписанный микрокод. Это открывает путь либо к модификации поведения CPU, либо к контролю BIOS/UEFI для загрузки вредоносного загрузчика, шифрующего диск до старта ОС. Подобные идеи обсуждались и в утекших чатах Conti. PoC (proof-of-concept) не будет опубликован.

Хотя угроза выглядит серьезной, но "неизбежностью" не совсем пахнет. Для таких атак часто требуется либо предварительное компрометирование системы (права администратора), либо эксплуатация очень специфических уязвимостей. Техники низкоуровневой персистентности известны давно. Многие взломы до сих пор происходят из-за базовых проблем безопасности (слабые пароли, непатченные системы).

Гонка вооружений между атакующими и защитниками продолжается на всех уровнях 🎹

Типичный 🥸 Сисадмин

🔒 Менеджеры паролей...

Коллеги, очередной виток инцидентов с компрометацией данных заставляет вновь пересмотреть подходы к управлению паролями, даже для личных нужд. На мой взгляд, для закрытия этой потребности выделяются два основных кандидата, каждый со своими сильными сторонами:

Bitwarden (через Vaultwarden для селфхоста): Привлекает открытостью (исходники, аудиты) и возможностью полного контроля над данными при самостоятельном развертывании. Docker-контейнер Vaultwarden действительно упрощает жизнь. Альтернатива в виде облачного Bitwarden тоже жизнеспособна, особенно при использовании аппаратных ключей для защиты мастер-пароля (с бэкапом ключа в надёжном месте).

KeePassXC (или классический KeePass): Если принципиально избегать облачных историй даже в формате self-host. Полностью офлайновое решение с локальным шифрованием базы KDBX. Защита мастер-паролем + ключевым файлом – серьезный аргумент. Синхронизация зашифрованного файла базы через любое удобное хранилище с последующей локальной расшифровкой на целевом устройстве – рабочий и проверенный сценарий. Открытый код и доверие сообщества также в плюсе.

Оба решения имеют свои плюсы и минусы в контексте безопасности, удобства администрирования (для self-host) и кроссплатформенной синхронизации.

🤔 Интересно ваше мнение, на чем остановились вы для личного использования и почему? Опыт эксплуатации, грабли?

Типичный 🥸 Сисадмин

Пользователь удивлялся почему его компьютер так сильно нагревается и выключается во время игр 🔥

Типичный 🥸 Сисадмин

Не смотрите в опту оставшимися глазами.

Последний пинг перед вечной тьмой.

Типичный 👀 Сисадмин

Залипательное видео демонстрирует укладку кабелей в серверной стойке с использованием специальных цветных фиксаторов в патч-панелях.

👍 — Красиво, но непрактично, делает тот, кто не будет потом это обслуживать.
🌚 — Везде бы так.
❤️ — Нужен баланс между эстетикой, удобством обслуживания и масштабируемостью.

Типичный 🥸 Сисадмин

Разработчики MATLAB пострадали от атаки шифровальщика — часть сервисов не работает больше недели 🚫

Компания MathWorks официально подтвердила, что взлом и сбой работы онлайн-сервисов был вызван атакой вымогателя (ransomware). Инцидент начался ещё 18 мая, но до сих пор полностью не устранён.

Многие компании и университеты используют онлайн-лицензирование и облачные возможности, а без доступа к ним проекты «встают».

MathWorks — частная американская компания с 6500+ сотрудниками, обслуживающая 5+ миллионов пользователей. Инциденты такого уровня редки в научном ПО, что подчёркивает высокий уровень угроз даже для «узкоспециализированных» компаний.

Типичный 🥸 Сисадмин

Та самая услада для админских глаз – это когда все юниты в стойке заняты и лампочки мигают правильно 💚

Типичный 🥸 Сисадмин

Мудрости сисадмина со стажем: чему не учат на старте в IT 😎

Один из коллег с 10-летним опытом в IT поделился выстраданными уроками, которые он хотел бы знать в начале своей карьеры. Советы оказались до боли знакомы.

Эти советы были рождены опытом работы в не самых лучших условиях, с неэффективным менеджментом или в токсичной атмосфере, что, к сожалению, не редкость. В здоровой рабочей среде с адекватным руководством некоторые из этих правил могут показаться излишне циничными. Однако, знать о таких граблях и быть к ним готовым – полезно, особенно в начале IT-карьеры и в наших переменчивых реалиях.

🥇Золотые правила выживания и роста:
🟢Не перерабатывай без нужды – на премию это не повлияет, а здоровье не казенное. Премии или тринадцатая зарплата часто зависят от общего бюджета компании, а не от личных подвигов. Кто везет, на том и едут.
🟢Больше работы = еще больше работы. Не пытайся угодить всем начальникам и старшим коллегам, иначе рискуешь стать универсальным исполнителем всех авралов.
🟢Прежде чем озвучить гениальное предложение на совещании, подумай трижды. Велика вероятность, что реализация ляжет на твои плечи, без дополнительных ресурсов и иногда даже без "спасибо".
🟢Коллеги – не всегда друзья, а офис – не семья. Хотя душевные коллективы и настоящая дружба случаются, помни: при смене работы или сокращении многие близкие контакты быстро испарятся. Особенно аккуратно стоит быть с личной информацией – она может быть использована против тебя.
🟢"У меня сегодня мало работы" – опасная фраза. Это прямой вызов судьбе и сигнал начальству (если долетит), что тебя можно загрузить еще.

🥇Что действительно важно для карьеры и жизни:
🟠Новый оффер на руках? Увольняйся спокойно. Длинные обсуждения с текущим руководством редко приводят к существенному улучшению условий. Если ты ценен – сделают контрпредложение сразу. Если нет – услышишь стандартное "очень жаль, но мы вас понимаем".
🟠Не увольняйся "в никуда", особенно в текущей экономической ситуации. Наличие оффера или финансовой подушки – залог спокойствия.
🟠Инвестируй в себя: быстро делай рутинную работу и каждый день старайся узнать что-то новое. Не прожигай выходные бездумно – посвяти часть времени обучению, но не забывай и об отдыхе. Баланс – наше все.
🟠Здоровье – главный актив. Купи хорошее кресло с поддержкой шеи и спины – проблемы с позвоночником от сидячей работы очень распространены. Гуляй ежедневно хотя бы 45 минут. Удаление мусорных приложений, пожирающих время и мыслительные ресурсы, тоже пойдет на пользу.

🔥 Еще из наболевшего:
Фраза "Если всё срочно, значит, ничего не срочного" – это про многие наши конторы. Начальство, требующее, чтобы все 12 проектов были "приоритетом №1" — это просто убивает мотивацию и здравый смысл. Разумно забить на всё.

И, конечно, вечное: семья помнит твои переработки, а работа – нет. Как сказал один разумный человек (Доминик Торетто 🚘): "Ни твой начальник, ни коллеги и даже ты сам не запомните все дни и часы, которые ты переработал. Единственные, кто это запомнит, – это твоя семья". Особенно актуально, когда речь идет о неоплачиваемых переработках "за идею" или "потому что надо".

Береги себя. Твоё здоровье и благополучие важнее любых KPI и горящих дедлайнов. Ты – это всё, что у тебя есть по-настоящему 💚

Типичный 🥸 Сисадмин

Когда ты либо слишком неопытен, чтобы видеть проблемы, либо слишком опытен, чтобы они тебя волновали. Главное, не посередине, там душно от размышлений 😬

Типичный 🥸 Сисадмин

Критическая уязвимость в vBulletin: RCE без аутентификации для тысяч форумов 🚨

Плохие новости для владельцев форумов на популярной платформе vBulletin: обнаружена критическая уязвимость, позволяющая злоумышленникам удаленно выполнять код (RCE) без аутентификации. Проблема затрагивает версии vBulletin 5.x и 6.x, работающие на PHP 8.1 или более поздних версиях, и может привести к полной компрометации системы.

💔 В основе уязвимости лежит то, как vBulletin использует PHP Reflection API для своего кастомного MVC-фреймворка и API-системы. Платформа использует динамическую маршрутизацию, где эндпоинты API сопоставляются с методами контроллеров на основе входящих HTTP-запросов (например, AJAX-вызов /ajax/api/user/fetchProfileInfo направляется на метод vB_Api_User::fetchProfileInfo()).

Критическая проблема возникает из-за изменений в поведении функций ReflectionMethod::invoke() и ReflectionMethod::invokeArgs() в PHP 8.1. Начиная с этой версии, данные функции позволяют вызывать `protected` и `private` методы без необходимости предварительно выставлять `setAccessible(true)`, в отличие от предыдущих версий PHP.

Это, казалось бы, незначительное изменение означает, что методы, которые разработчики vBulletin задумывали как внутренние, вспомогательные и никогда не предназначенные для публичного вызова, теперь могут быть вызваны напрямую удаленными пользователями, если само приложение не реализует явные проверки видимости на своем уровне.

Простой пример уязвимого паттерна:
Если бы в коде было что-то вроде (new ReflectionMethod($controller, $_GET['method']))->invoke($controllerObject);, то запрос /api.php?method=protectedMethod напрямую вызвал бы защищенный метод на PHP 8.1+, обходя предполагаемые контроли доступа.

Сама по себе возможность вызывать защищенные методы опасна, но реальная угроза возникает, когда один из таких методов может быть использован для выполнения кода. В vBulletin таким методом оказался vB_Api_Ad::replaceAdTemplate(). Это защищенная функция, предназначенная для вставки или обновления шаблонов рекламы.

Злоумышленники обнаружили, что могут внедрить произвольный код шаблона в систему, вызвав этот метод через специально сформированный HTTP POST-запрос.

Далее в дело вступает еще одна уязвимость: движок шаблонов vBulletin поддерживает условную логику с помощью тегов <vb:if>. Из-за недостатков в том, как парсер шаблонов фильтрует входные данные, атакующие могут обойти ограничения и внедрить PHP-код, используя вызовы переменных функций. Например, такой шаблон:

```html
<vb:if condition="isset($_POST['c'])">
<vb:eval code="echo $cmd;" />
</vb:if>

Типичный 🎹 Сисадмин

Мой внутренний Корбен Даллас, когда кто-то спрашивает, как я решаю проблемы с маршрутизацией и доступностью.

Типичный 🎹 Сисадмин

Кулстори гласит, что это для того, чтобы приглушить шум 🏥

Типичный 🔥 Сисадмин

Мы с младшим админом после выкатки нового функционала в прод 😶

Типичный 🌚 Сисадмин

😳 В Телеграм появится нейронка Grok от Маска — ИИ будет не просто ботом, его ВСТРОЯТ в сам мессенджер!

— ИИ будет проверять посты на фейки;
— Grok сможет расписать любой текст или сделать его выжимку;
— ИИ можно назначить модератором и он будет чистить ботов;
— Вопросы ИИ можно будет задавать прямо в поиске Телеграм.

Партнёрство рассчитано на год, Telegram получит за это $300 млн и долю в выручке от подписок.

🥸 godnoTECH - Новости IT

🎹 GitHub открывает приватные репозитории через уязвимость в ИИ-интеграции

Исследователи обнаружили критическую уязвимость в GitHub: с её помощью можно получить доступ к файлам из приватных репозиториев без ведома владельцев. Проблема связана с протоколом GitHub MCP Server, который используется для подключения ИИ к репозиториям.

⚙️ Сценарий атаки довольно прост: злоумышленник публикует issue в публичном репозитории, связанном с аккаунтом, у которого есть и приватные репозитории. Если в настройках включена автоматизация через ИИ, он может сгенерировать pull request с предложением исправить проблему — и «случайно» включить в него приватную информацию.

Как утверждают эксперты, уязвимость лежит не столько в коде, сколько в логике архитектуры, где ИИ-агенты действуют без чёткого контроля. В результате приватные данные легко утекут в публичное пространство.

Типичный 🥸 Сисадмин

Помните те времена, когда интернет оживал только после того, как хорошенько пинганёшь провайдера – не только ICMP-пакетами, но и веским словом в рамках приличия 👹

Типичный 😬 Сисадмин

Куда приводят мечты Linux-админа?

Народ, тут на днях наткнулся на вечный вопрос: а куда, собственно, дальше плыть простому Linux-админу, если DevOps – это не совсем то, о чем по ночам мечтается (или уже пройдено)? Тема оказалась животрепещущей...

Сразу скажу, топ-ответ, который кочует из дискуссий и обсуждений уже стал почти официальным планом Б для многих из нас – это условное фермерство с козами! 🐐. Видимо, после N-лет борьбы с systemd, сбоящими RAID-массивами и пользователями, которые опять "ничего не трогали", перспектива мирно пасти блеющих на фоне заката выглядит особенно привлекательно. Как метко заметил один товарищ:

"Устал использовать мозг. Хочу использовать тело в расслабленной, безстрессовой манере".

Но если отбросить фантазии (хотя кто знает, может, это и есть истинный DevOps – управление жизненным циклом козы?), то куда еще ведут нас тернистые пути IT? Вариантов, на самом деле, масса. Многие логично двигаются в сторону SRE (Site Reliability Engineering) или Cloud Infrastructure Engineering. Тут наши навыки работы с "железом" (пусть и виртуальным), сетями, автоматизацией и обеспечением отказоустойчивости раскрываются во всей красе. Нередко это означает углубление в Python, Go или Rust, и вот ты уже не просто админ, а почти разработчик инфраструктурных инструментов, проводящий больше времени в IDE, чем в консоли. Platform Engineering – тоже горячая тема, где без крепких знаний Linux никуда.

Есть и те, кто находит себя в кибербезопасности. И это логично: кто, как не мы, знает все потаенные уголки системы и как их можно (или нельзя) защитить? Отсюда прямая дорога в архитекторы ИБ или аудиторы. Некоторые идут в IT-архитекторы более широкого профиля, проектируя сложные облачные и гибридные решения. А если душа совсем уж просит творчества и контроля – то и в менеджмент (от тимлида до CTO/CISO) или даже в преподавание/консалтинг. Делиться мудростью, накопленной за годы отладки iptables – бесценно! Ну или почти 😉

Для многих "эндшпиль" – это не какая-то конкретная должность, а состояние души. "Чтобы оставили в покое" – вот желание многих опытных админов. Достичь дзена, когда все автоматизировано, работает как часы и можно спокойно попивать кофеек, изредка поглядывая на дашборды. Удаленка, комфортная жизнь, возможность заниматься хобби – вот что действительно ценно. И, конечно, ранний выход на пенсию, чтобы наконец-то собрать тот самый идеальный домашний сервер... или все-таки купить тех самых коз 👨‍🦳

Главное – не забывать делать apt update && apt upgrade -y своим знаниям и интересам.

А какой у вас "эндшпиль", куда двигаетесь? И есть ли уже у кого КОЗЫ?

Типичный 🥸 Сисадмин