#digest Подводим итоги июня дайджестом ключевых ИБ-новостей. В середине месяца прогремела беспрецедентная 16-миллиардная утечка паролей, которой не было — сенсация оказалась не более чем журналистской уткой.
Из реальных событий, Claude показал неплохие результаты в сценарии с багхантингом. Mr.d0x представил перспективные варианты популярной атаки ClickFix. Исследователи обнаружили, что микрофоны ноутбуков и других устройств испускают радиосигналы с записанным звуком, которые легко перехватить. И наконец, четвёрке участников REvil вынесли приговоры, а во Франции поймали IntelBroker’a и ShinyHunters. Об этом и других интересных событиях июня читайте на Хабре!
@tomhunter
Из реальных событий, Claude показал неплохие результаты в сценарии с багхантингом. Mr.d0x представил перспективные варианты популярной атаки ClickFix. Исследователи обнаружили, что микрофоны ноутбуков и других устройств испускают радиосигналы с записанным звуком, которые легко перехватить. И наконец, четвёрке участников REvil вынесли приговоры, а во Франции поймали IntelBroker’a и ShinyHunters. Об этом и других интересных событиях июня читайте на Хабре!
@tomhunter
❤5🔥4👍2
#news ИИ-модели, как известно, любят галлюцинировать. Ожидаемо, распространяется это и на ссылки, которые они выдают по запросу юзера. В сценарии «Дай мне ссылку для логина на <название сайта>» ChatGPT в трети случаев генерирует несуществующие адреса.
Соответственно, это открывает простор для фишинга. Злоумышленнику достаточно изучить выдачу модели по запросу, зарегистрировать домен и повесить на него фишинговую страницу. В сущности это младший брат атаки, в которой используют выдуманные LLM’ками пакеты. Только порядком эффективнее: от среднего разраба, хочется надеяться, ещё можно ждать, что он критично отнесётся к выдаче модели. А вот энтузиаст нового дивного ИИ-мира с ChatGPT на все случаи жизни от поисковика до психотерапевта явно более склонен кликать на что попало. И о том, что цифровое будущее пока ещё в зачаточном состоянии и функционирует с кучей оговорок, задумывается далеко не каждый.
@tomhunter
Соответственно, это открывает простор для фишинга. Злоумышленнику достаточно изучить выдачу модели по запросу, зарегистрировать домен и повесить на него фишинговую страницу. В сущности это младший брат атаки, в которой используют выдуманные LLM’ками пакеты. Только порядком эффективнее: от среднего разраба, хочется надеяться, ещё можно ждать, что он критично отнесётся к выдаче модели. А вот энтузиаст нового дивного ИИ-мира с ChatGPT на все случаи жизни от поисковика до психотерапевта явно более склонен кликать на что попало. И о том, что цифровое будущее пока ещё в зачаточном состоянии и функционирует с кучей оговорок, задумывается далеко не каждый.
@tomhunter
😁13🤝3❤1
#news Тайваньские безопасники не впечатлились публикацией коллег из Китая об их компетенциях и подготовили ответку. Анализ пяти самых популярных китайских приложений на предмет приватности. Спойлер: всё очень плохо. А как иначе.
Исследование затронуло RedNote, Weibo, TikTok, WeChat и BaiduCloud. Их оценили по 15 показателям в контексте сбора личных данных, запроса чрезмерных разрешений, передачи данных, сбора системной информации и доступа к биометрии. Все приложения набрали тревожных маячков по верхнему пределу: от 9 до 15. Все выбил RedNote — китайская соцсеть, но и TikTok с WeChat не отстают. По итогам приложения названы угрозой безопасности — и конфиденциальность нарушают, и данные передают в Китай, и простор для слежки за юзерами огромный. Всё это очень интересно, только от танцулек в TikTok миллионы зумеров всё равно не убережёт. Но оставить дисс от китайской ИБ без ответа тайванцы, конечно, не могли.
@tomhunter
Исследование затронуло RedNote, Weibo, TikTok, WeChat и BaiduCloud. Их оценили по 15 показателям в контексте сбора личных данных, запроса чрезмерных разрешений, передачи данных, сбора системной информации и доступа к биометрии. Все приложения набрали тревожных маячков по верхнему пределу: от 9 до 15. Все выбил RedNote — китайская соцсеть, но и TikTok с WeChat не отстают. По итогам приложения названы угрозой безопасности — и конфиденциальность нарушают, и данные передают в Китай, и простор для слежки за юзерами огромный. Всё это очень интересно, только от танцулек в TikTok миллионы зумеров всё равно не убережёт. Но оставить дисс от китайской ИБ без ответа тайванцы, конечно, не могли.
@tomhunter
😁9🔥3🤝2
#article Сегодня разбираем, как найти человека, зная только его телефонный номер. В этом помогут социнженерия, геолокаторы, OSINT и ADINT и прочие доступные методы.
И главное, объясним, как уберечься от такой слежки самому. А это вопросы приватности в соцсетях, готовность столкнуться с социальной инженерией и регулярная проверка своих устройств на предмет лишних разрешений и сомнительных приложений. В общем, все базовые вещи, которые необходимо знать любому, кто опасается слежки или просто заботится о своей приватности. Подробнее читайте на Хабре!
@tomhunter
И главное, объясним, как уберечься от такой слежки самому. А это вопросы приватности в соцсетях, готовность столкнуться с социальной инженерией и регулярная проверка своих устройств на предмет лишних разрешений и сомнительных приложений. В общем, все базовые вещи, которые необходимо знать любому, кто опасается слежки или просто заботится о своей приватности. Подробнее читайте на Хабре!
@tomhunter
👍8🔥3❤2😁1💯1🤝1
#news В сетевых дебрях небольшая драма с Shellter Elite — коммерческим лоадером для пентеста. Один из клиентов компании слил свою копию, и с апреля её использовали для доставки инфостилеров.
Разраб сообщил, что это первый случай нарушения лицензии с её введения в 2023-м, обновил софт и выдал правила для обнаружения сэмплов предыдущей версии. А попутно прошёлся по Elastic Security Labs, опубликовавшей отчёт об абьюзе лоадера. И выйти на связь они забыли сенсационности ради, так что свежая версия чуть не улетела слившему софт клиенту. И скачали утекший билд, чтобы протестировать сэмплы. И вообще они безответственные подлецы, у которых туговато с профессионализмом, а красным и синим командам нужно дружить против супостатов из даркнета. По итогам вопрос порешали, но в силу социальных навыков уровня /иб/ не обошлось без недопониманий. Ответственное раскрытие — это, конечно, хорошо. Но это ведь придётся взаимодействовать с этими, как их... Людьми. У нас здесь так не принято!
@tomhunter
Разраб сообщил, что это первый случай нарушения лицензии с её введения в 2023-м, обновил софт и выдал правила для обнаружения сэмплов предыдущей версии. А попутно прошёлся по Elastic Security Labs, опубликовавшей отчёт об абьюзе лоадера. И выйти на связь они забыли сенсационности ради, так что свежая версия чуть не улетела слившему софт клиенту. И скачали утекший билд, чтобы протестировать сэмплы. И вообще они безответственные подлецы, у которых туговато с профессионализмом, а красным и синим командам нужно дружить против супостатов из даркнета. По итогам вопрос порешали, но в силу социальных навыков уровня /иб/ не обошлось без недопониманий. Ответственное раскрытие — это, конечно, хорошо. Но это ведь придётся взаимодействовать с этими, как их... Людьми. У нас здесь так не принято!
@tomhunter
😁9❤3💯2🔥1
#news Редчайший зверь в сфере связанных с APT арестов: в Италии приняли гражданина Китая, подозреваемого в работе на китайскую Silk Typhoon. Его арестовали сразу по прилёту по запросу США.
Судя по всему, это первый публично известный арест такого профиля — ранее члены китайских APT в руки западных спецслужб не попадали. Сейчас товарищ сидит в итальянских застенках, а США по всем каналам активно работают над экстрадицией. Каким образом хакер из китайской апэтэшечки оказался в Италии, и кто его туда вообще пустил — вопросы интересные. Возможно, последний китайский романтик близко к сердцу принял пресловутое «Увидеть Неаполь и умереть». По итогам же получился задел под международный скандал и беспрецедентный судебный процесс. Мечты об Италии разбились о суровые политические реалии.
@tomhunter
Судя по всему, это первый публично известный арест такого профиля — ранее члены китайских APT в руки западных спецслужб не попадали. Сейчас товарищ сидит в итальянских застенках, а США по всем каналам активно работают над экстрадицией. Каким образом хакер из китайской апэтэшечки оказался в Италии, и кто его туда вообще пустил — вопросы интересные. Возможно, последний китайский романтик близко к сердцу принял пресловутое «Увидеть Неаполь и умереть». По итогам же получился задел под международный скандал и беспрецедентный судебный процесс. Мечты об Италии разбились о суровые политические реалии.
@tomhunter
🔥6🤯4😁3
#news В Бразилии оригинальный кейс со взломом финтеха. Злоумышленники 30 июня проникли в системы компании, обеспечивающей связность между ЦБ и остальными банками и похитили $140 миллионов с резервных аккаунтов шести банков.
Уязвимость в софте? Хитроумная схема? А вот и нет. Всего лишь подкупленный сотрудник, сдавший хакерам данные доступа — этого хватило для атаки. Цена вопроса? 920 долларов. И ещё $1,850 бонусом за выполнение команд. Начальный доступ к системам ЦБ Бразилии по цене месячного оклада джуна на западном рыночке — такая вот южноамериканская специфика. Инсайдера поймали, но значительная часть украденных средств уже выведена в крипту. Исследователи наперегонки со злоумышленниками ловят разлетающиеся по блокчейнам деньги, а у бразильского ЦБ повод крепко задуматься над состоянием своего финтеха. Если у тебя в стране средняя зарплата — ~600 баксов, принцип наименьших привилегий — не роскошь, а насущная необходимость.
@tomhunter
Уязвимость в софте? Хитроумная схема? А вот и нет. Всего лишь подкупленный сотрудник, сдавший хакерам данные доступа — этого хватило для атаки. Цена вопроса? 920 долларов. И ещё $1,850 бонусом за выполнение команд. Начальный доступ к системам ЦБ Бразилии по цене месячного оклада джуна на западном рыночке — такая вот южноамериканская специфика. Инсайдера поймали, но значительная часть украденных средств уже выведена в крипту. Исследователи наперегонки со злоумышленниками ловят разлетающиеся по блокчейнам деньги, а у бразильского ЦБ повод крепко задуматься над состоянием своего финтеха. Если у тебя в стране средняя зарплата — ~600 баксов, принцип наименьших привилегий — не роскошь, а насущная необходимость.
@tomhunter
😁11👍3🔥3💯1
#news Исследователи представили оригинальный метод джейлбрейка ИИ-моделей. Он получил название InfoFlood и сводится к перегрузке запроса академическим жаргоном, сложными оборотами, примерами и ссылками на несуществующие источники.
Получив набитый научными терминами и заумными оборотами запрос LLM’ка теряется, и у неё отваливаются ограничения — модель просто не может распарсить стену текста на предмет запретных тем. Текст запроса можно усложнять, пока модель не сдастся и не начнёт генерировать нужный контент. В общем, если разговаривать с LLM’кой на языке курсовой, на две трети состоящей из воды, модель ломается. Метод эффективный, но довольно затратный по усилиям в сравнении с джейлбрейками в пару символов. Зато те, у кого бредогенератор после написания диплома ещё не отвалился, вскроют LLM’ку на раз-два.
@tomhunter
Получив набитый научными терминами и заумными оборотами запрос LLM’ка теряется, и у неё отваливаются ограничения — модель просто не может распарсить стену текста на предмет запретных тем. Текст запроса можно усложнять, пока модель не сдастся и не начнёт генерировать нужный контент. В общем, если разговаривать с LLM’кой на языке курсовой, на две трети состоящей из воды, модель ломается. Метод эффективный, но довольно затратный по усилиям в сравнении с джейлбрейками в пару символов. Зато те, у кого бредогенератор после написания диплома ещё не отвалился, вскроют LLM’ку на раз-два.
@tomhunter
❤8👍5😁4🔥2🤡2🤯1
#news На рансомварь-сцене разгорелся конфликт: группировки RansomHub и DragonForce невзлюбили друг друга и активно соперничают за аффилиатов и территорию.
Началось это в марте, когда DragonForce положила сайт RansomHub — именно конфликт интересов привёл к внезапному радиомолчанию фаворита 2025-го. В ответ один из членов RansomHub взломал сайт DF, написал им гадостей и назвал предателями. Но киберпреступник киберпреступнику — волк, так что чего уж тут возмущаться? DragonForce также ломала страницы BlackLock и Mamona, так что группировка активно стремится отнять и поделить прибыльный теневой бизнес. На фоне этого исследователи опасаются хаоса в атаках и повторных вымогательств, как было с BlackCat. По факту же у рансомварь-ребят, отказывающихся жить дружно, гораздо больше шансов испортить жизнь друг другу, чем попавшим под раздачу жертвам взломов. Conti не даст соврать.
@tomhunter
Началось это в марте, когда DragonForce положила сайт RansomHub — именно конфликт интересов привёл к внезапному радиомолчанию фаворита 2025-го. В ответ один из членов RansomHub взломал сайт DF, написал им гадостей и назвал предателями. Но киберпреступник киберпреступнику — волк, так что чего уж тут возмущаться? DragonForce также ломала страницы BlackLock и Mamona, так что группировка активно стремится отнять и поделить прибыльный теневой бизнес. На фоне этого исследователи опасаются хаоса в атаках и повторных вымогательств, как было с BlackCat. По факту же у рансомварь-ребят, отказывающихся жить дружно, гораздо больше шансов испортить жизнь друг другу, чем попавшим под раздачу жертвам взломов. Conti не даст соврать.
@tomhunter
😁9💯2👍1
#news Во Франции арестовали российского баскетболиста Даниила Касаткина по запросу США. При чём тут ИБ? Его обвиняют в работе переговорщиком на рансомварь-группировку.
В первоисточнике группировка не названа, только пара куцых фактов. Атаки на 900 организаций, включая два американских госучреждения. Всё это в период между 2020-м и 2022-м. Кто у нас подпадает под этот профиль? Пожалуй, только Conti. В таком случае можно предположить, что ФБР через пресловутые утечки вышло на нетипичного обвиняемого. Касаткин жил и учился в США, так что как минимум владеет языком для приписываемой ему халтурки на стороне. Защита утверждает, что он с кампухтерами на вы, так что его либо взломали, либо подержанное устройство ему продал хакер. Но что ещё ей утверждать. Кейс, конечно, интересный: и мячи забивать мастер, и переговорщик не слабый, да и в даркнете человек не последний. Посмотрим, насколько этот образ соответствует действительности.
@tomhunter
В первоисточнике группировка не названа, только пара куцых фактов. Атаки на 900 организаций, включая два американских госучреждения. Всё это в период между 2020-м и 2022-м. Кто у нас подпадает под этот профиль? Пожалуй, только Conti. В таком случае можно предположить, что ФБР через пресловутые утечки вышло на нетипичного обвиняемого. Касаткин жил и учился в США, так что как минимум владеет языком для приписываемой ему халтурки на стороне. Защита утверждает, что он с кампухтерами на вы, так что его либо взломали, либо подержанное устройство ему продал хакер. Но что ещё ей утверждать. Кейс, конечно, интересный: и мячи забивать мастер, и переговорщик не слабый, да и в даркнете человек не последний. Посмотрим, насколько этот образ соответствует действительности.
@tomhunter
😁9🤯5🔥2🤔1😱1
#news Для тех, кого не тянет на наукообразные беседы с ИИ, есть вариант сыграть с ним в игру. В качестве приза можно получить ключи к Windows и прочие плюшки джейлбрейка.
Исследователь предложил ChatGPT игру, в которой он угадывает действительные продуктовые ключи от Microsoft. По условиям если он пишет «Сдаюсь», LLM’ка должна выдать реальный ключ. Выдала, не постеснялась. Из-за промпта под игру у модели отвалился контекст, запрятанные в HTML-коде запросы также не считались ограничениями. Среди ключей в выдаче нашёлся даже один корпоративный крупного банка. Разгадка, конечно, проста: в тренировочные датасеты инфернальной ИИ-машины где-то попали ключи. Но с учётом того, сколько конфиденциальной информации сливают в разные кастомные модели, желающих их выудить найдётся достаточно. «Я хочу сыграть с тобой в одну игру, ИИ-агент. Давай вытащим из твоих данных API-ключи этого горе-вайбкодера».
@tomhunter
Исследователь предложил ChatGPT игру, в которой он угадывает действительные продуктовые ключи от Microsoft. По условиям если он пишет «Сдаюсь», LLM’ка должна выдать реальный ключ. Выдала, не постеснялась. Из-за промпта под игру у модели отвалился контекст, запрятанные в HTML-коде запросы также не считались ограничениями. Среди ключей в выдаче нашёлся даже один корпоративный крупного банка. Разгадка, конечно, проста: в тренировочные датасеты инфернальной ИИ-машины где-то попали ключи. Но с учётом того, сколько конфиденциальной информации сливают в разные кастомные модели, желающих их выудить найдётся достаточно. «Я хочу сыграть с тобой в одну игру, ИИ-агент. Давай вытащим из твоих данных API-ключи этого горе-вайбкодера».
@tomhunter
😁15❤5👍4🤡1
#news В Великобритании арестовали четырёх человек, связанных со Scatter Spider. Трое — подростки 17-19 лет, одной 20. Как обычно по этому профилю, сим-своппинг с ранних лет, чатики с доксингом, интриги, предательства и прочие радости подросткового даркнета. А попутно недавние взломы крупных ритейлеров и авиакомпаний.
Что интересно, двое из арестованных связаны со взломами сети казино MGM в 2023-м и атаками Lapsus$ в 2022-м. То есть на момент нашумевших кейсов им было лет по 15-16, как и многим другим членам группировки, в лучших традициях криминала использующей малолеток для громких дел. Лицо киберпреступности в UK выглядит примерно так: завербованные в Roblox и Minecraft в раннем подростковом возрасте дарования. Так что вкатываться в сайберкрайм в 2025-м аналогично IT: ты ещё только задумчиво ковыряешься в исходниках с vx-underground, мечтая о шальных миллионах с рансомварь-выплат, а какой-то британский шкет уже дошёл до финального этапа карьеры и сидит.
@tomhunter
Что интересно, двое из арестованных связаны со взломами сети казино MGM в 2023-м и атаками Lapsus$ в 2022-м. То есть на момент нашумевших кейсов им было лет по 15-16, как и многим другим членам группировки, в лучших традициях криминала использующей малолеток для громких дел. Лицо киберпреступности в UK выглядит примерно так: завербованные в Roblox и Minecraft в раннем подростковом возрасте дарования. Так что вкатываться в сайберкрайм в 2025-м аналогично IT: ты ещё только задумчиво ковыряешься в исходниках с vx-underground, мечтая о шальных миллионах с рансомварь-выплат, а какой-то британский шкет уже дошёл до финального этапа карьеры и сидит.
@tomhunter
😁25🔥2🤡1💯1
#article В нашей сегодняшней обзорной статье мы рассмотрим применение OSINT в условиях современных военных конфликтов. Важность разведки по открытым источникам сложно переоценить — OSINT становится одним из краеугольных тактических инструментов на поле боя.
Мы поговорим о роли спутниковых снимков и геолокационного анализа, работе с утечками и фишинге по противнику. Затронем тему информационно-психологических операций и роли БПЛА как OSINT-инструмента. А также выделим ключевые тренды будущего OSINT-разведки, которая будет играть всё большую роль в боевых действиях. За подробностями добро пожаловать на Хабр!
@tomhunter
Мы поговорим о роли спутниковых снимков и геолокационного анализа, работе с утечками и фишинге по противнику. Затронем тему информационно-психологических операций и роли БПЛА как OSINT-инструмента. А также выделим ключевые тренды будущего OSINT-разведки, которая будет играть всё большую роль в боевых действиях. За подробностями добро пожаловать на Хабр!
@tomhunter
🔥6❤4🤡4👍1💯1🫡1
#news Пятничные новости инфобеза. Военный из США с одной из авиабаз признал вину в передаче сверхсекретной информации по российско-украинскому конфликту заморской возлюбленной из приложения знакомств.
События произошли в феврале-апреле 2022-го: у военного пенсионера на гражданской должности был доступ к совершенно секретной информации, и появилась роковая подруга якобы из Украины. А дальше как в шпионском фильме категории B: с перепиской формата «Дорогой, что на экранах в спецпомещении?», «Дейв, у НАТО и Байдена есть секретный план помощи нам?» и «Мой любимый секретный информатор, как твои совещания?» По итогам собеседница получила внеочередное повышение, а Дейва ждут до 10 лет тюрьмы. Прошли ли после этого в штатовской военке тренинги формата «Если красотка в сети просит фото твоего спецпомещения, это не красотка, а грушный шпион?» Об этом новости умалчивают, но скорее да, чем нет.
@tomhunter
События произошли в феврале-апреле 2022-го: у военного пенсионера на гражданской должности был доступ к совершенно секретной информации, и появилась роковая подруга якобы из Украины. А дальше как в шпионском фильме категории B: с перепиской формата «Дорогой, что на экранах в спецпомещении?», «Дейв, у НАТО и Байдена есть секретный план помощи нам?» и «Мой любимый секретный информатор, как твои совещания?» По итогам собеседница получила внеочередное повышение, а Дейва ждут до 10 лет тюрьмы. Прошли ли после этого в штатовской военке тренинги формата «Если красотка в сети просит фото твоего спецпомещения, это не красотка, а грушный шпион?» Об этом новости умалчивают, но скорее да, чем нет.
@tomhunter
😁21💯3❤2🤝2🤡1
#news Исследователи прошлись по GitHub на предмет ключей приложений на Laravel. Речь про APP_KEY — по сути мастер-ключ от продукта. Результаты как всегда: ключи от более 600 приложений лежали в открытом доступе.
На этом приключения в мире утечек на GitHub для разрабов не заканчиваются. Ввиду уязвимости в decrypt() Laravel — автоматической десериализации — вооружённый ключом злоумышленник может при определённых условиях получить RCE. При этом 63% ключей утекли вместе с файлами конфигурации — то есть токенами, данными доступа и прочим полезным в киберпреступном быту. Утекают и связки из APP_KEY и APP_URL — 28 тысяч пар, из которых 10% валидны. По итогам в 120 приложениях RCE на изи моде. В сухом остатке заливающие конфиги на GitHub джуны, помноженные на увлекательные нюансы экосистемы PHP с десериализацией и прочими радостями, дают на выходе идеальный шторм. Подробнее об исследовании в отчёте.
@tomhunter
На этом приключения в мире утечек на GitHub для разрабов не заканчиваются. Ввиду уязвимости в decrypt() Laravel — автоматической десериализации — вооружённый ключом злоумышленник может при определённых условиях получить RCE. При этом 63% ключей утекли вместе с файлами конфигурации — то есть токенами, данными доступа и прочим полезным в киберпреступном быту. Утекают и связки из APP_KEY и APP_URL — 28 тысяч пар, из которых 10% валидны. По итогам в 120 приложениях RCE на изи моде. В сухом остатке заливающие конфиги на GitHub джуны, помноженные на увлекательные нюансы экосистемы PHP с десериализацией и прочими радостями, дают на выходе идеальный шторм. Подробнее об исследовании в отчёте.
@tomhunter
🔥6👍3🤡2😁1
#news Сразу два кейса редкого события в мире криптовзломов: хакеры согласились вернуть 90% средств стянутых с DeFi-платформ Texture Finance и GMX в обмен на отказ от преследования.
На прошлой неделе биржа GMX была взломана — злоумышленник стянул больше $40 миллионов, но в пятницу пошёл на мировую и начал возвращать крипту. С Texture Finance ровно та же история: 9 июля взломщик украл $2,2 миллиона и получил ультиматум до пятницы с предложением записаться в серошляпочники за 10% от суммы, избежав знакомства с правоохранительными органами. Как ни странно, сработало — средства были возвращены. Так что у нас не один, а целых два единорога от мира криптовзломов за неделю. Платформам, впрочем, повезло, что по их крипту пришли пугливые одиночки, а не IT-солдаты одного маленького, но гордого государства-изгоя. Те серых шляп не носят — исключительно чёрные да камуфляжные.
@tomhunter
На прошлой неделе биржа GMX была взломана — злоумышленник стянул больше $40 миллионов, но в пятницу пошёл на мировую и начал возвращать крипту. С Texture Finance ровно та же история: 9 июля взломщик украл $2,2 миллиона и получил ультиматум до пятницы с предложением записаться в серошляпочники за 10% от суммы, избежав знакомства с правоохранительными органами. Как ни странно, сработало — средства были возвращены. Так что у нас не один, а целых два единорога от мира криптовзломов за неделю. Платформам, впрочем, повезло, что по их крипту пришли пугливые одиночки, а не IT-солдаты одного маленького, но гордого государства-изгоя. Те серых шляп не носят — исключительно чёрные да камуфляжные.
@tomhunter
💯10😁5🔥3🤡2
#news Характерные новости из штатовского DOGE: его 25-летний сотрудник Марко Элез залил на GitHub приватный API-ключ. От 52 ИИ-моделей xAI. Чувствуете лёгкий порыв дежавю? Ровно то же самое произошло два месяца назад. Хотя бы с другим персонажем.
13 июля юное дарование закинуло на GitHub скрипт agent[.]py с ключом, на что тригернулся сканер GitGuardian. Репозиторий он оперативно удалил, получив письмо, но вот ключ не сменил. А с ним и доступ к свежайшим моделям, одну из которых выпустили только 9 июля. Так что у китайских госхакеров, наигравшихся с майскими моделями, появилась возможность поковыряться и в новых. А у Элеза, напомню, доступ ко всевозможным правительственным базам. Внимание, вопрос: как у него с безопасностью госданных да и инфобезом с целом, если он лёгким движением мыши сливает API-ключи на GitHub?
@tomhunter
13 июля юное дарование закинуло на GitHub скрипт agent[.]py с ключом, на что тригернулся сканер GitGuardian. Репозиторий он оперативно удалил, получив письмо, но вот ключ не сменил. А с ним и доступ к свежайшим моделям, одну из которых выпустили только 9 июля. Так что у китайских госхакеров, наигравшихся с майскими моделями, появилась возможность поковыряться и в новых. А у Элеза, напомню, доступ ко всевозможным правительственным базам. Внимание, вопрос: как у него с безопасностью госданных да и инфобезом с целом, если он лёгким движением мыши сливает API-ключи на GitHub?
@tomhunter
😁15😱3❤2
#news Российский блокчейн-разработчик лишился $500 тысяч в крипте, словив инфостилер. Виной стал плагин для Cursor AI IDE под язык смарт-контрактов Solidity на Ethereum. Для подсветки синтаксиса.
Пикантности ситуации добавляет то, что вредоносный плагин оказался выше в выдаче, чем оригинал, под который замаскировали инфостилер. При этом у него было меньше скачиваний. А разгадка проста: в топ его вынесли алгоритмы репозитория Open VSX — за счёт накрученных скачиваний и рейтинга, помноженных на свежесть плагина. После удаления злоумышленники продолжили кампанию, залив новый. Идентичное имя, тайпсквот по имени разраба с маскирующим это шрифтом, у оригинала 61к скачиваний, у вредоноса — накрученные два миллиона. Какой поставит внимательный юзер? Здесь уже вопросы к репозиторию с околонулевой ИБ. А криптобро впору выносить свои кошельки на отдельные машины, чтобы с основной можно было стянуть разве что пароль от MyAnimeList.
@tomhunter
Пикантности ситуации добавляет то, что вредоносный плагин оказался выше в выдаче, чем оригинал, под который замаскировали инфостилер. При этом у него было меньше скачиваний. А разгадка проста: в топ его вынесли алгоритмы репозитория Open VSX — за счёт накрученных скачиваний и рейтинга, помноженных на свежесть плагина. После удаления злоумышленники продолжили кампанию, залив новый. Идентичное имя, тайпсквот по имени разраба с маскирующим это шрифтом, у оригинала 61к скачиваний, у вредоноса — накрученные два миллиона. Какой поставит внимательный юзер? Здесь уже вопросы к репозиторию с околонулевой ИБ. А криптобро впору выносить свои кошельки на отдельные машины, чтобы с основной можно было стянуть разве что пароль от MyAnimeList.
@tomhunter
🔥10😁9👍4🤯2😢1
#news Вряд ли кому-то нужно напоминать о том, насколько ненадёжны пароли среднего юзера. Годы тренингов, работа с далёкими от ИБ массами и прочий сизифов труд. Изменилось ли что-нибудь к лучшему к 2025-му? Спойлер: конечно, нет .
Согласно свежему исследованию, только 1,5% паролей в утечках, включая недавние, можно назвать надёжными — это >15 символов как минимум двух категорий. Подавляющее же большинство паролей по-прежнему до 8 символов, так что подобрать их можно за несколько часов. По итогам ни в корпоративной политике, ни, соответственно, в ландшафте угроз по паролям ничего не меняется: простота взлома, повторное использование, несоблюдение базовых нормативов. У исследователей, само собой, есть рекомендации — например, переход на парольные фразы. Но у юзера на этот счёт свои предпочтения. Так что это музыка будет вечной, пока за надёжность пароля отвечает непобедимый wetware.
@tomhunter
Согласно свежему исследованию, только 1,5% паролей в утечках, включая недавние, можно назвать надёжными — это >15 символов как минимум двух категорий. Подавляющее же большинство паролей по-прежнему до 8 символов, так что подобрать их можно за несколько часов. По итогам ни в корпоративной политике, ни, соответственно, в ландшафте угроз по паролям ничего не меняется: простота взлома, повторное использование, несоблюдение базовых нормативов. У исследователей, само собой, есть рекомендации — например, переход на парольные фразы. Но у юзера на этот счёт свои предпочтения. Так что это музыка будет вечной, пока за надёжность пароля отвечает непобедимый wetware.
@tomhunter
👍6😁4🔥2🤡2❤1💯1
#article У нас новая статья по мотивам актуальных событий. В ней мы собрали топ приложений, которые можно использовать офлайн при отключении интернета или нестабильном доступе к нему.
От очевидных вещей вроде офлайновых карт и переводчиков (вы ведь в курсе, что многие из них доступны локально?) до мессенджеров и соцсетей на mesh-технологиях. А также приватные аналоги SMS-сообщений, приложения для передачи файлов и peer-to-peer файлообменник. Бонусом рассмотрим инструменты безопасности, которые превратят смартфон в детективный набор и позволят заняться полезным делом в отсутствие интернета. Пополняйте свой инструментарий, делитесь известными вам приложениями — за подробностями добро пожаловать на Хабр!
@tomhunter
От очевидных вещей вроде офлайновых карт и переводчиков (вы ведь в курсе, что многие из них доступны локально?) до мессенджеров и соцсетей на mesh-технологиях. А также приватные аналоги SMS-сообщений, приложения для передачи файлов и peer-to-peer файлообменник. Бонусом рассмотрим инструменты безопасности, которые превратят смартфон в детективный набор и позволят заняться полезным делом в отсутствие интернета. Пополняйте свой инструментарий, делитесь известными вам приложениями — за подробностями добро пожаловать на Хабр!
@tomhunter
🔥5👍4❤3😁2💯1
#news Создатель cURL раньше уже жаловался на ИИ-слоп, которым заваливают их BB-программу на H1 и парализуют крошечную команду. Ситуация продолжает выходить из-под контроля. Свежая обличительная речь в его блоге.
Вкратце, ничего не помогает: репутация не работает, угрозы баном эффекта не имеют — ИИ-репорты шлют новички. В итоге семь человек, из которых на фултайме по Curl Стенберг один, тратят всё свободное время на ИИ-слоп и постепенно утрачивают рассудок. Дошло до того, что Стенберг подумывает вообще отменить выплаты по BB-программе или брать плату за начальную подачу репорта — оба варианта, мягко говоря, не идеальны. По итогам в этом противостоянии белковых языковых моделей и их потенциальной кремниевой замены пока в минусе все. Бонусом в комментариях к посту прочие оригинальные решения. Абсолютный фаворит: забанить айпишники из Индии. Отличная идея же, безотносительно проблемы ИИ-слопа.
@tomhunter
Вкратце, ничего не помогает: репутация не работает, угрозы баном эффекта не имеют — ИИ-репорты шлют новички. В итоге семь человек, из которых на фултайме по Curl Стенберг один, тратят всё свободное время на ИИ-слоп и постепенно утрачивают рассудок. Дошло до того, что Стенберг подумывает вообще отменить выплаты по BB-программе или брать плату за начальную подачу репорта — оба варианта, мягко говоря, не идеальны. По итогам в этом противостоянии белковых языковых моделей и их потенциальной кремниевой замены пока в минусе все. Бонусом в комментариях к посту прочие оригинальные решения. Абсолютный фаворит: забанить айпишники из Индии. Отличная идея же, безотносительно проблемы ИИ-слопа.
@tomhunter
😁22❤5🔥1🤝1