#news ИИ модели покорили все индустрии, кроме одной: согласно опросу ИБ-специалистов, лишь 30% используют LLM’ки в своих рабочих процессах. 42% в раздумьях, и 10% нео-неолуддитов доверять искусственному болванчику не планируют вовсе.
Среди причин медленной интеграции называют опасения насчёт приватности, недочёты в разработке и непредусмотренные риски. Более того, треть руководителей забанили часть моделей в своих организациях, тот же DeepSeek. Здесь без неожиданностей: любой безопасник понимает, что ИИ — это огромная и неизученная поверхность атаки. Впрочем, 70% принявших своего нового ИИ-повелителя рапортуют о положительных результатах, так что рано или поздно все там будем. Ну и за бедных джунов замолвите слово: больше половины ИБшников уверены, что ИИ-долгоносик пожрет их рабочие места, но треть предполагают, что LLM’ки создадут для джунов новые возможности и переориентируют скиллсеты (на обслуживание кремниевого господина). Подробнее о результатах опроса в отчёте.
@tomhunter
Среди причин медленной интеграции называют опасения насчёт приватности, недочёты в разработке и непредусмотренные риски. Более того, треть руководителей забанили часть моделей в своих организациях, тот же DeepSeek. Здесь без неожиданностей: любой безопасник понимает, что ИИ — это огромная и неизученная поверхность атаки. Впрочем, 70% принявших своего нового ИИ-повелителя рапортуют о положительных результатах, так что рано или поздно все там будем. Ну и за бедных джунов замолвите слово: больше половины ИБшников уверены, что ИИ-долгоносик пожрет их рабочие места, но треть предполагают, что LLM’ки создадут для джунов новые возможности и переориентируют скиллсеты (на обслуживание кремниевого господина). Подробнее о результатах опроса в отчёте.
@tomhunter
💯6😁5🔥4🤡1
#news Британия снова впереди планеты всей по экспериментам с ИБ-законами: госструктурам и критической инфраструктуре запретят выплату выкупов после взломов. Вообще. Вы ждали этого, вы годами говорили об этом, и британцы доставляют.
Предполагается, что запрет нарушит бизнес-модель рансомварь-группировок — нет надежды на выкуп, нет и мотивации для атак по секторам, получившим бан. Для частников послабления: им в принудительном порядке уведомлять о выплатах и сверяться с санкционными списками на случай, если вскрывший их системы бренд уже попал в списки счастья от NCA и коллег. Бонусом разрабатывают систему отчётности для жертв вымогателей — она должна повысить координацию между ведомствами. Эффективность мер у многих вызывает сомнения, да и у апэтэшечек бизнес-модель совсем иная. Но у британского loicense-самурая нет цели, есть только путь. И на этом пути он примет по драконовскому закону на каждого члена Палаты общин, а о последствиях будет думать позже.
@tomhunter
Предполагается, что запрет нарушит бизнес-модель рансомварь-группировок — нет надежды на выкуп, нет и мотивации для атак по секторам, получившим бан. Для частников послабления: им в принудительном порядке уведомлять о выплатах и сверяться с санкционными списками на случай, если вскрывший их системы бренд уже попал в списки счастья от NCA и коллег. Бонусом разрабатывают систему отчётности для жертв вымогателей — она должна повысить координацию между ведомствами. Эффективность мер у многих вызывает сомнения, да и у апэтэшечек бизнес-модель совсем иная. Но у британского loicense-самурая нет цели, есть только путь. И на этом пути он примет по драконовскому закону на каждого члена Палаты общин, а о последствиях будет думать позже.
@tomhunter
😁12👍4❤2
#news Горячие новости из наших широт: арестован админ XSS. Его приняли вчера, 22 июля. И не абы где, а на Украине, прямиком в Киеве. Европол утверждает, что взял ключевого персонажа, ответственного за форум. А заодно перехвачен и домен. Ушла эпоха.
XSS — площадка долгоиграющая, активная с далёкого 2013-го. Это вам не разные итерации Breached, уходящие офлайн раньше, чем о них узнает широкая публика, а порядочный русскоязычный киберпреступный форум. Подробностей расследования пока нет, известно лишь, что французы вели его с 2021-го, а в сентябре 2024-го выдвинулись на оперативно-розыскные. Арестованный также обозначен как оператор мессенджера thesecure[.]biz. Какие перспективы у XSS после ареста? Одним словом туманные. Европол также вскользь упоминает сотрудничество по маппингу инфраструктуры и выявлению связей админа с коллегами по бизнесу. Так что тикайте с городу, хлопцы, если можете. Иначе и за вами придут.
@tomhunter
XSS — площадка долгоиграющая, активная с далёкого 2013-го. Это вам не разные итерации Breached, уходящие офлайн раньше, чем о них узнает широкая публика, а порядочный русскоязычный киберпреступный форум. Подробностей расследования пока нет, известно лишь, что французы вели его с 2021-го, а в сентябре 2024-го выдвинулись на оперативно-розыскные. Арестованный также обозначен как оператор мессенджера thesecure[.]biz. Какие перспективы у XSS после ареста? Одним словом туманные. Европол также вскользь упоминает сотрудничество по маппингу инфраструктуры и выявлению связей админа с коллегами по бизнесу. Так что тикайте с городу, хлопцы, если можете. Иначе и за вами придут.
@tomhunter
😁7😢6🤡6🔥4❤1👍1
#article В сегодняшней статье мы рассмотрим три неочевидных инструмента слежки и прослушки, в роли которых могут выступать повседневные устройства.
Первым у нас идёт ностальгический взгляд в прошлое: как всего 15-20 лет назад обычные кирпичи от Nokia и Siemens умельцы превращали в неприметный жучок? Также рассмотрим эволюцию перепрофилирования привычных гаджетов: как обычные детские GPS-часы становятся средством слежки. И бонусом расскажем о том, как любые Bluetooth-наушники в паре со смартфоном можно превратить в импровизированное прослушивающее устройство. За подробностями добро пожаловать на Хабр!
@tomhunter
Первым у нас идёт ностальгический взгляд в прошлое: как всего 15-20 лет назад обычные кирпичи от Nokia и Siemens умельцы превращали в неприметный жучок? Также рассмотрим эволюцию перепрофилирования привычных гаджетов: как обычные детские GPS-часы становятся средством слежки. И бонусом расскажем о том, как любые Bluetooth-наушники в паре со смартфоном можно превратить в импровизированное прослушивающее устройство. За подробностями добро пожаловать на Хабр!
@tomhunter
❤8🔥3🤝2
#news Учёные представили новый вариант технологии, позволяющей определять человека по изменению сигнала Wi-Fi. Метод распознаёт одного и того же человека с точностью до 95,5% — ранее удавалось добиться точности лишь в 75%.
Метод сводится к анализу изменения сигнала при прохождении через пространство. Тело человека влияет на его параметры, создавая уникальные искажения, и с помощью нейросети эти искажения можно превратить в уникальные отпечатки. Технология может найти применение в системах безопасности и вылиться в уникальный метод сбора биометрии. Если нейросетка способна точно распознать твоё грациозно плывующее в пространстве туловище по одним только искажениям сигнала, возможные последствия для приватности получатся, мягко говоря, интересными. Ни умных камер, ни смартфона-шпиона в кармане — прошёл мимо роутера и идентифицирован. Спасибо, киберпанковское будущее, очень круто. Подробнее здесь.
@tomhunter
Метод сводится к анализу изменения сигнала при прохождении через пространство. Тело человека влияет на его параметры, создавая уникальные искажения, и с помощью нейросети эти искажения можно превратить в уникальные отпечатки. Технология может найти применение в системах безопасности и вылиться в уникальный метод сбора биометрии. Если нейросетка способна точно распознать твоё грациозно плывующее в пространстве туловище по одним только искажениям сигнала, возможные последствия для приватности получатся, мягко говоря, интересными. Ни умных камер, ни смартфона-шпиона в кармане — прошёл мимо роутера и идентифицирован. Спасибо, киберпанковское будущее, очень круто. Подробнее здесь.
@tomhunter
🔥19😱5❤3🤬2
#news Оригинальный кейс взаимодействия человека и LLM’ки. ChatGPT нагаллюцинировал фичу в софте для скана и редактуры нот Soundslice и активно продвигал её пользователям. Те приходили на сайт и сталкивались с тем, что фича не работает. Разработчики заметили это в логах. И добавили фичу.
Речь про скан ASCII табов для гитары. Судя по логам ошибок, юзеры генерировали табы с помощью ChatGPT, и тот отправлял их на Soundslice, чтобы отсканировать их. Фичу ИИ-модель выдумала. Разрабы же посовещались и решили, что у них есть три варианта: забить на это и оставить юзеров с их галлюцинирующим другом, повесить плашку на сайт «У нас нет этой выдуманной ChatGPT фичи» или просто её накодить. Последнее было делом пары часов, так что выбор был очевиден. По итогам у нас, похоже, первый случай воплощения галлюцинаций LLM’ки в реальность, не считая slopsquat-атак. Добро пожаловать в новую эпоху ИИ-инфлюенсеров! Лично я приветствую наших новых кремниевых повелителей.
@tomhunter
Речь про скан ASCII табов для гитары. Судя по логам ошибок, юзеры генерировали табы с помощью ChatGPT, и тот отправлял их на Soundslice, чтобы отсканировать их. Фичу ИИ-модель выдумала. Разрабы же посовещались и решили, что у них есть три варианта: забить на это и оставить юзеров с их галлюцинирующим другом, повесить плашку на сайт «У нас нет этой выдуманной ChatGPT фичи» или просто её накодить. Последнее было делом пары часов, так что выбор был очевиден. По итогам у нас, похоже, первый случай воплощения галлюцинаций LLM’ки в реальность, не считая slopsquat-атак. Добро пожаловать в новую эпоху ИИ-инфлюенсеров! Лично я приветствую наших новых кремниевых повелителей.
@tomhunter
😁18🔥2🤝2
#news Европол и компания вчера перехватили сайт рансомварь-группировки BlackSuit — за этим брендом скрывалась часть прежнего состава Conti. Работали не по RaaS-схеме, а узким кругом любителей рансомвари для своих.
BlackSuit была активна с апреля 2023-го, группировка успела отметиться взломом штатовской Octapharma — сети клиник по сбору плазмы, что привело к остановке 200 отделений компании. На август 2024-го BlackSuit успела потребовать с жертв больше $500 миллионов, запросы доходили до $60 миллионов со взлома. Что занятно, пока Европол разбирает инфраструктуру, часть BlackSuit уже работает под брендом Chaos — свежий отчёт о старых лицах под новым именем здесь. С одноимённым билдером не связаны — либо создают путаницу, либо просто фантазия закончилась. Так что порочный круг из перехватов и ребрендинга продолжается. Выгорают ли безопасники в погонах, занимаясь этим сизифовым трудом? Скорее да, чем нет.
@tomhunter
BlackSuit была активна с апреля 2023-го, группировка успела отметиться взломом штатовской Octapharma — сети клиник по сбору плазмы, что привело к остановке 200 отделений компании. На август 2024-го BlackSuit успела потребовать с жертв больше $500 миллионов, запросы доходили до $60 миллионов со взлома. Что занятно, пока Европол разбирает инфраструктуру, часть BlackSuit уже работает под брендом Chaos — свежий отчёт о старых лицах под новым именем здесь. С одноимённым билдером не связаны — либо создают путаницу, либо просто фантазия закончилась. Так что порочный круг из перехватов и ребрендинга продолжается. Выгорают ли безопасники в погонах, занимаясь этим сизифовым трудом? Скорее да, чем нет.
@tomhunter
🔥6❤4😁3💯2🫡1
#news Пятничные новости инфобеза. В США Чапман приговорили к 8,5 годам тюрьмы. Но уже другую: Кристину Мари Чапман, ответственную за ферму ноутбуков, с которых северокорейцы работали в штатовских компаниях.
Чапман предъявили обвинения в прошлом году вместе с коллегой по бизнесу, украинцем Александром Диденко. Чапман держала ноутбуки у себя дома на протяжение трёх лет, она также занималась финансами трудолюбивых IT-солдат, проводя их платёжки через свои счета. Схема принесла больше 17$ миллионов, пока её не накрыли октябре 2023-го. На фото домашняя ферма трудолюбивых северокорейских пчёлок — такие вот невзрачные сетапы годами пополняют бюджет КНДР. Их продолжают накрывать, но сколько ещё таких стоит по углам уютных домиков в Штатах — вопрос на десятки миллионов долларов выплаченных зарплат. Партия сказала — надо, IT-солдат ответил — есть. И пошёл во все тяжкие по всем этапам собеседований.
@tomhunter
Чапман предъявили обвинения в прошлом году вместе с коллегой по бизнесу, украинцем Александром Диденко. Чапман держала ноутбуки у себя дома на протяжение трёх лет, она также занималась финансами трудолюбивых IT-солдат, проводя их платёжки через свои счета. Схема принесла больше 17$ миллионов, пока её не накрыли октябре 2023-го. На фото домашняя ферма трудолюбивых северокорейских пчёлок — такие вот невзрачные сетапы годами пополняют бюджет КНДР. Их продолжают накрывать, но сколько ещё таких стоит по углам уютных домиков в Штатах — вопрос на десятки миллионов долларов выплаченных зарплат. Партия сказала — надо, IT-солдат ответил — есть. И пошёл во все тяжкие по всем этапам собеседований.
@tomhunter
😁17🤝4🔥1💯1
#news Хактивисты из Silent Crow взяли на себя ответственность за сбой в работе систем Аэрофлота. Это произошло на фоне отмены десятков рейсов авиаперевозчика с утра. Ранее они заявляли о взломе Ростелекома и сотни крупных компаний. Ключевое слово — заявляли.
Группировка и здесь отметилась россыпью громких заявлений: и год находились в инфраструктуре, имея максимальный доступ, и скомпрометировали все критические системы, и стянули 22 ТБ данных, включая весь массив о перелётах. А наигравшись, уничтожили аж всю инфраструктуру компании, насчитывающую 7000 физических и виртуальных серверов. Их послушать, так настоящий авиа-апокалипсис, спасайте свои акции и путёвки. На деле же бравада удалых взломщиков, скорее всего, сильно расходится с реальностью того, что они там напартизанили. Так что дальше обеденного инфоповода дело не факт что пойдёт. Это импортозамещённый Anonymous, проще говоря. Изрядная доля скептицизма приветствуется.
@tomhunter
Группировка и здесь отметилась россыпью громких заявлений: и год находились в инфраструктуре, имея максимальный доступ, и скомпрометировали все критические системы, и стянули 22 ТБ данных, включая весь массив о перелётах. А наигравшись, уничтожили аж всю инфраструктуру компании, насчитывающую 7000 физических и виртуальных серверов. Их послушать, так настоящий авиа-апокалипсис, спасайте свои акции и путёвки. На деле же бравада удалых взломщиков, скорее всего, сильно расходится с реальностью того, что они там напартизанили. Так что дальше обеденного инфоповода дело не факт что пойдёт. Это импортозамещённый Anonymous, проще говоря. Изрядная доля скептицизма приветствуется.
@tomhunter
🤡23😁15💯9👍5👎5
#news Telegram обзавёлся ботом для верификации возраста по скану лица. Но фича (пока) эксклюзивно для британцев — 25 июля в стране вступил закон о проверке возраста для доступа к контенту для взрослых.
Как обычно, всё это под соусом заботы о детях — им должен быть закрыт доступ к порно, а также информации о способах роскомнадзора, РПП, экстремизме и прочих повседневных ужасах взрослой жизни. Игнор требований грозит штрафом до £18 миллионов или 10% годового дохода. Так что по всем крупным платформам можно заметить разные хрипы и всхлипы разрабов в попытках удовлетворить фантазии законодателей. Внезапно это затронуло и российских юзеров: если вы пользовались сервисами, которые нельзя называть, для регистрации аккаунтов с британских айпи, рискуете обнаружить, что в контексте нового закона вы теперь виртуальный британский подданный со всем из этого вытекающим. Такие вот чудные коллизии жизни в глобальной деревне.
@tomhunter
Как обычно, всё это под соусом заботы о детях — им должен быть закрыт доступ к порно, а также информации о способах роскомнадзора, РПП, экстремизме и прочих повседневных ужасах взрослой жизни. Игнор требований грозит штрафом до £18 миллионов или 10% годового дохода. Так что по всем крупным платформам можно заметить разные хрипы и всхлипы разрабов в попытках удовлетворить фантазии законодателей. Внезапно это затронуло и российских юзеров: если вы пользовались сервисами, которые нельзя называть, для регистрации аккаунтов с британских айпи, рискуете обнаружить, что в контексте нового закона вы теперь виртуальный британский подданный со всем из этого вытекающим. Такие вот чудные коллизии жизни в глобальной деревне.
@tomhunter
😁15🤬8🫡3❤1🔥1🤡1
#news В США мини-скандальчик вокруг приложения для женских сплетен Tea. Сначала на 4Chan (куда же ещё) слили содержимое открытой базы на Firebase — 72 тысячи фото, включая 13 тысяч селфи и водительских прав. Следом нашлась вторая уязвимая база, с 1,1 миллиона личных сообщений за пару лет.
Tea — модное приложение на ~1,6 миллиона юзер_ниц. Формально сейфспейс для женщин, где можно обсудить проклятых мужиков. Как это выглядит на деле можно оценить по одному недавно прогремевшему канальчику в Telegram. В сухом остатке новость про очередное приложение с ИБ уровня /b/, на котором разоблачают этих их женщин. Но огоньку, конечно, добавляет чувствительная тематика. Если вы думали, что истории из мира животных от, кхм, нехороших людей русской эмиграции и их спутниц — это что-то новенькое, в США это уже давно поставлено на поток и монетизировано. Только в процессе разработки очередного мобильного бэнгера, как обычно, весь бюджет ушёл на промо и дизайн, а кодили его два индуса в сеньорском пальто.
@tomhunter
Tea — модное приложение на ~1,6 миллиона юзер_ниц. Формально сейфспейс для женщин, где можно обсудить проклятых мужиков. Как это выглядит на деле можно оценить по одному недавно прогремевшему канальчику в Telegram. В сухом остатке новость про очередное приложение с ИБ уровня /b/, на котором разоблачают этих их женщин. Но огоньку, конечно, добавляет чувствительная тематика. Если вы думали, что истории из мира животных от, кхм, нехороших людей русской эмиграции и их спутниц — это что-то новенькое, в США это уже давно поставлено на поток и монетизировано. Только в процессе разработки очередного мобильного бэнгера, как обычно, весь бюджет ушёл на промо и дизайн, а кодили его два индуса в сеньорском пальто.
@tomhunter
😁11🤔4❤2🔥2🤡1
#news По следам закона о верификации возраста в Великобритании наметились интересные тенденции. Юзеры не горят желанием грузить свои паспорта и прочие ID на сайты. За пару дней у Proton, предоставляющего известно какие услуги, скакнуло число регистраций. На 1,800 процентов.
При этом использование сервисов, также известных в наших краях как порталы в ад, в UK попало в серую зону: инструкции по обходу верификации публиковать не положено. Но наличие порталов сильно размывает эффективность мер — ещё чуть-чуть унижений от трёхбуквенных приложений, и британский законодательный гений надумает их воспрещать. Веру в здравый смысл людей в высоких кабинетах шатают и правовые коллизии: так, Википедия подпадает под закон — значит, должна верифицировать и удалять крамольное. Сейчас с Wiki-ресурсами идут судебные тяжбы, и их работа в стране под угрозой. Министры очень важных дел при этом не сдаются — защита детей компромиссам не подлежит. Бывает в мире и такое, в общем. Любые совпадения, как водится, случайны.
@tomhunter
При этом использование сервисов, также известных в наших краях как порталы в ад, в UK попало в серую зону: инструкции по обходу верификации публиковать не положено. Но наличие порталов сильно размывает эффективность мер — ещё чуть-чуть унижений от трёхбуквенных приложений, и британский законодательный гений надумает их воспрещать. Веру в здравый смысл людей в высоких кабинетах шатают и правовые коллизии: так, Википедия подпадает под закон — значит, должна верифицировать и удалять крамольное. Сейчас с Wiki-ресурсами идут судебные тяжбы, и их работа в стране под угрозой. Министры очень важных дел при этом не сдаются — защита детей компромиссам не подлежит. Бывает в мире и такое, в общем. Любые совпадения, как водится, случайны.
@tomhunter
😁20🤡6🔥4😢3💯3👍2❤1🤝1
#news Новости в духе времени из Кремниевой Долины: известные экстремисты из Meta готовят новый формат приёма на работу. Кандидатам разрешат пользоваться ИИ-моделями в процессе прохождения всех кругов ада, также известных как этапы собеседования.
Продвинутый андроид с кодовым именем Цукерберг, чувствуя родство с LLM’ками, сообщает, что не просто хочет, чтобы разрабы сблизились со своим кремниевым господином, но готовит будущее, в котором человеку будет отведена роль обслуги ИИ-агентов. Формат сейчас обкатывают на добровольцах, а вскоре можно ожидать подобного и во многих других компаниях. Так что за шуточками про вайбкодеров остаётся не упустить момент, когда умение задобрить Дух Машины удачным промптом войдёт в список обязательных навыков каждого уверенного пользователя ПК и не только. Время людей закончилось, товарищи кожаные мешки. Готовьте свои промпты к осмотру и осваивайтесь на новом месте в иерархии сущностей.
@tomhunter
Продвинутый андроид с кодовым именем Цукерберг, чувствуя родство с LLM’ками, сообщает, что не просто хочет, чтобы разрабы сблизились со своим кремниевым господином, но готовит будущее, в котором человеку будет отведена роль обслуги ИИ-агентов. Формат сейчас обкатывают на добровольцах, а вскоре можно ожидать подобного и во многих других компаниях. Так что за шуточками про вайбкодеров остаётся не упустить момент, когда умение задобрить Дух Машины удачным промптом войдёт в список обязательных навыков каждого уверенного пользователя ПК и не только. Время людей закончилось, товарищи кожаные мешки. Готовьте свои промпты к осмотру и осваивайтесь на новом месте в иерархии сущностей.
@tomhunter
😁10🤬3🫡3🤡2❤1🔥1
#news Создатель ex-Твиттера Джек Дорси залетел в мир меш-сетей со своим мессенджером Bitchat. Функциональность стандартная, интерфейс минималистичный, к безопасности и криптографии есть большие вопросы.
В частности, один исследователь отметил, что аутентификация в Bitchat декоративная, и на защищённый мессенджер явно не тянет — он открыт MitM-атакам. А разгадка проста: Дорси навайбкодил его за выходные. И продвигает как приватный, при этом признавая, что аудита не было. Проблему усугубляет звёздное авторство: для далёких от IT людей мир полон магии. Поэтому юзеры, прознавшие про мегадевайс от Дорси, по совету проверенного камрада качают его в Google Play. Например, от Chandorkar Technologies (официального релиза в магазине нет). И хлопают в ладоши децентрализованному чуду из чудес. Остальным советую поберечься — там навайбкожено. Бонусом на скрине задачка для самых маленьких безопасников: помогите юзеру понять, почему у неё заработали оба. К чату GPT вопросов нет (оф.релиз на Гитхабе).
@tomhunter
В частности, один исследователь отметил, что аутентификация в Bitchat декоративная, и на защищённый мессенджер явно не тянет — он открыт MitM-атакам. А разгадка проста: Дорси навайбкодил его за выходные. И продвигает как приватный, при этом признавая, что аудита не было. Проблему усугубляет звёздное авторство: для далёких от IT людей мир полон магии. Поэтому юзеры, прознавшие про мегадевайс от Дорси, по совету проверенного камрада качают его в Google Play. Например, от Chandorkar Technologies (официального релиза в магазине нет). И хлопают в ладоши децентрализованному чуду из чудес. Остальным советую поберечься — там навайбкожено. Бонусом на скрине задачка для самых маленьких безопасников: помогите юзеру понять, почему у неё заработали оба. К чату GPT вопросов нет (оф.релиз на Гитхабе).
@tomhunter
😁11❤4👍2🤡1
#news Исследователи просчитали корреляцию между всплесками вредоносной активности и грядущим раскрытием CVE: в 80% случаев они предшествовали раскрытию в течение 6 недель.
Более того, из 216 изученных случаев рост числа целевых сканов, попыток брутфорса и прочего сопутствующего в 50% за ними шло раскрытие в течение 3 недель. По части продуктов — вроде Fortinet и Palo Alto — корреляция выше, где-то пониже. Проще говоря, всплески активности как предшественник нулевого дня чётко бьются со статистическими данными. Так что теперь вооружённые отчётом ИБшники могут убедительней доказывать руководству, что вжжж в сети неспроста, показав пиджакам в высоких кабинетах красивые цветные графики. А также уделить время харденингу и внимательнее мониторить логи, превентивно загеоблочить айпишники, подготовиться к патчам и заняться прочим сетеспасительным. Сплошные плюсы! Скачать отчёт можно здесь.
@tomhunter
Более того, из 216 изученных случаев рост числа целевых сканов, попыток брутфорса и прочего сопутствующего в 50% за ними шло раскрытие в течение 3 недель. По части продуктов — вроде Fortinet и Palo Alto — корреляция выше, где-то пониже. Проще говоря, всплески активности как предшественник нулевого дня чётко бьются со статистическими данными. Так что теперь вооружённые отчётом ИБшники могут убедительней доказывать руководству, что вжжж в сети неспроста, показав пиджакам в высоких кабинетах красивые цветные графики. А также уделить время харденингу и внимательнее мониторить логи, превентивно загеоблочить айпишники, подготовиться к патчам и заняться прочим сетеспасительным. Сплошные плюсы! Скачать отчёт можно здесь.
@tomhunter
👍6🔥2👎1🤡1
#news В ряде моделей камер Dahua выявили уязвимости на переполнение буфера. А там и RCE без аутентификации при определённых условиях.
Больше всего не повезло доступным в интернете девайсам с проброшенными портами или UPnP — на них root-доступ с нулевой интеракцией от юзера. А так как эксплойт обходит проверку целостности прошивки, у злоумышленников бонусы в виде неподписанных нагрузок и кастомных демонов. Патчи доступны, но вот много ли желающих их накатывать? Здесь остаётся только вспомнить кейс с рансомварью, зашедшей в системы как раз с камеры. Пройдут года, сменятся ИБ-отделы в виде единичного, давно выгоревшего специалиста на аутсорсе, а одинокая непатченная камера от Dahua ещё залетит в новости формата «Очередной бренд рансомвари зашифровал очередную крупную корпорацию». Как говорится, запомните этот пост.
@tomhunter
Больше всего не повезло доступным в интернете девайсам с проброшенными портами или UPnP — на них root-доступ с нулевой интеракцией от юзера. А так как эксплойт обходит проверку целостности прошивки, у злоумышленников бонусы в виде неподписанных нагрузок и кастомных демонов. Патчи доступны, но вот много ли желающих их накатывать? Здесь остаётся только вспомнить кейс с рансомварью, зашедшей в системы как раз с камеры. Пройдут года, сменятся ИБ-отделы в виде единичного, давно выгоревшего специалиста на аутсорсе, а одинокая непатченная камера от Dahua ещё залетит в новости формата «Очередной бренд рансомвари зашифровал очередную крупную корпорацию». Как говорится, запомните этот пост.
@tomhunter
😁9👍4💯3❤1
#news Расшаренные чаты с ChatGPT индексируются Google и прочими поисковиками. И находятся элементарным образом: достаточно отфильтровать запросы по ссылкам, как с любым другим сайтом.
Под индексацию попали чаты, которые юзеры сами расшаривают и создают под них ссылки — именно по ним содержимое чатов и залетает в поисковики. Многие ли из них задумывались, что их чатики станут достоянием общественности? OpenAI уже сообщила, что это был такой кратковременный эксперимент, и юзеры сами соглашались на шару, так что и они здесь не при чём, и Google не виноват — поисковики за то, что они индексируют, не отвечают. И фичу уже отключили — поэкспериментировали и хватит. Здесь остаётся лишь напомнить, что всё, что вы пишите LLM’кам, может быть и будет использовано против вас. Так что поднимайте локальные модели, если хочется обсудить с ними что-нибудь этакое.
@tomhunter
Под индексацию попали чаты, которые юзеры сами расшаривают и создают под них ссылки — именно по ним содержимое чатов и залетает в поисковики. Многие ли из них задумывались, что их чатики станут достоянием общественности? OpenAI уже сообщила, что это был такой кратковременный эксперимент, и юзеры сами соглашались на шару, так что и они здесь не при чём, и Google не виноват — поисковики за то, что они индексируют, не отвечают. И фичу уже отключили — поэкспериментировали и хватит. Здесь остаётся лишь напомнить, что всё, что вы пишите LLM’кам, может быть и будет использовано против вас. Так что поднимайте локальные модели, если хочется обсудить с ними что-нибудь этакое.
@tomhunter
🔥7👍4❤2🤡2
#news Оригинальный кейс цензуры через баг в поисковике Google. Журналист обнаружил, что две его статьи пропали из выдачи. Это произошло из-за абьюза Инструмента обновления устаревшего контента.
Эксплойт элементарный: злоумышленник скармливал инструменту нужную ссылку, в которой часть букв изменяли на заглавные. При попытке индексации Google получал 404, и через несколько циклов убирал из индексации все версии ссылки, включая живые и валидные. У журналиста так пропали статьи об одном СEO в бигтехе, который неоднократно с ним судился и пытался их удалить — так что здесь понятно, откуда уши торчат. И желающих эксплойтнуть такое в мире достаточно. Что интересно, Google на запросы о масштабах эксплойта бага отвечать отказался, только выкатил фикс. Доверительно сообщают, что затронута была лишь крошечная часть от всех веб-страниц. И ведь не врут мастера связей с общественностью — в масштабах сети любая часть в сущности будет крошечной.
@tomhunter
Эксплойт элементарный: злоумышленник скармливал инструменту нужную ссылку, в которой часть букв изменяли на заглавные. При попытке индексации Google получал 404, и через несколько циклов убирал из индексации все версии ссылки, включая живые и валидные. У журналиста так пропали статьи об одном СEO в бигтехе, который неоднократно с ним судился и пытался их удалить — так что здесь понятно, откуда уши торчат. И желающих эксплойтнуть такое в мире достаточно. Что интересно, Google на запросы о масштабах эксплойта бага отвечать отказался, только выкатил фикс. Доверительно сообщают, что затронута была лишь крошечная часть от всех веб-страниц. И ведь не врут мастера связей с общественностью — в масштабах сети любая часть в сущности будет крошечной.
@tomhunter
😁8🔥4❤3🤬2🤡1
#news Взлом Bybit на $1,4 миллиарда не прошёл незамеченным. А вот взлом китайского майнингового пула LuBian на $3,5 миллиарда в битках ещё в 2020-м вскрылся только сейчас. О неизвестном рекорде от мира криптокраж заявила Arkham Intelligence.
Исследователи утверждают, что обнаружили кражу, ковыряясь в блокчейне — ни от самого пула, ни от злоумышленника заявлений за почти 5 лет не было. Возможная причина — брутфорс слабого алгоритма генерации ключей. В один промозглый декабрьский день 2020-го с кошельков пула исчезли 90% активов — 127,426 BTC. При этом с июня 2024-го активы так и лежат на хакерских адресах; а это $14,5 миллиардов. Между прочим 13-й крупнейший держатель битка в мире. В общем, загадочный единорог от мира криптокраж. Скромный пул теряет скромные 130к битков, а 5 лет спустя это ненароком выясняют заморские криптоаутисты и дивятся на скромного хакера с $14,5 миллиардов. Типично китайская история.
@tomhunter
Исследователи утверждают, что обнаружили кражу, ковыряясь в блокчейне — ни от самого пула, ни от злоумышленника заявлений за почти 5 лет не было. Возможная причина — брутфорс слабого алгоритма генерации ключей. В один промозглый декабрьский день 2020-го с кошельков пула исчезли 90% активов — 127,426 BTC. При этом с июня 2024-го активы так и лежат на хакерских адресах; а это $14,5 миллиардов. Между прочим 13-й крупнейший держатель битка в мире. В общем, загадочный единорог от мира криптокраж. Скромный пул теряет скромные 130к битков, а 5 лет спустя это ненароком выясняют заморские криптоаутисты и дивятся на скромного хакера с $14,5 миллиардов. Типично китайская история.
@tomhunter
🔥9🤯6😁5💯3❤1😱1
#cve Разбираем ключевые уязвимости июля. В прошлом месяце тон задала контора замечательных людей Cisco: компания отметилась очередным забытым тестовым аккаунтом в Unified CM и SME, а также дырявым API в ISE и ISE-PIC под RCE — обе CVE на 10 из 10.
Десяточку под RCE без авторизации также выбил Wing FTP Server, проверка концепции в наличии. Цепочку уязвимостей под удалённое выполнение кода исправили в Microsoft SharePoint Server. Mcp-remote отметился критической CVE под произвольные команды, в CrushFTP критическая уязвимость на доступ к серверу с правами админа, а в FortiWeb — на внедрение SQL-кода. Об этом и других главных уязвимостях июля читайте на Хабре!
@tomhunter
Десяточку под RCE без авторизации также выбил Wing FTP Server, проверка концепции в наличии. Цепочку уязвимостей под удалённое выполнение кода исправили в Microsoft SharePoint Server. Mcp-remote отметился критической CVE под произвольные команды, в CrushFTP критическая уязвимость на доступ к серверу с правами админа, а в FortiWeb — на внедрение SQL-кода. Об этом и других главных уязвимостях июля читайте на Хабре!
@tomhunter
🔥7👍4❤2
#news Великобритания бодро рапортует об успехах своего Акта о безопасности в сети: каждый день проходят по 5 миллионов проверок возраста. Миллионы британцев ежедневно грузят свои паспорта и прочие ID на тысячи сайтов и сервисов.
Сабреддит про пиво? Покажите паспорт. Песня на музыкальном сервисе с текстом сомнительного содержания? Расчехляйте документы. Картина «Сатурн, пожирающий своего сына»? Ну вы поняли. Десятки тысяч сайтов и платформ каждый день получают миллионы фото и документов несчастных бритбонгов, вынужденных обзаводиться лицензией на свой вечерний досуг как в лучших шутеечках гринтекстом. Сервисам дан строгий наказ ничего не собирать и не хранить — проблему грядущих утечек из очередного навайбкоженного поделия это, конечно, решит (нет). В общем, пока вы иронизировали про интернет по паспорту, в UK он стал реальностью. Можно в прямом эфире наблюдать за экспериментами в островном формикарии и делать выводы.
@tomhunter
Сабреддит про пиво? Покажите паспорт. Песня на музыкальном сервисе с текстом сомнительного содержания? Расчехляйте документы. Картина «Сатурн, пожирающий своего сына»? Ну вы поняли. Десятки тысяч сайтов и платформ каждый день получают миллионы фото и документов несчастных бритбонгов, вынужденных обзаводиться лицензией на свой вечерний досуг как в лучших шутеечках гринтекстом. Сервисам дан строгий наказ ничего не собирать и не хранить — проблему грядущих утечек из очередного навайбкоженного поделия это, конечно, решит (нет). В общем, пока вы иронизировали про интернет по паспорту, в UK он стал реальностью. Можно в прямом эфире наблюдать за экспериментами в островном формикарии и делать выводы.
@tomhunter
😁17🤯13👎4❤3🤡2🤬1