49802
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
• Реклама компьютеров в 70-х годах. Всего лишь 6000 баксов и новенький ПК с жестким диском на 10 мб. полностью ваш...
• Кстати, $6000 - это примерно $50.000 на сегодняшний день. А вы говорите, что видеокарты дорогие...
#Разное
• 20 лет назад компания Sony BMG, занимающаяся распространением звукозаписывающих лейблов, оказалась в центре огромного скандала мирового масштаба. Компания решила снабдить свои диски не только музыкой, но и парочкой программ защиты от несанкционированного копирования. Но всё пошло по одному месту... это ПО, в последствии, принесло немало проблем как простым пользователям ПК, так и самой компании Sony BMG.
• Более 22 миллионов дисков, выпущенных в продажу Sony BMG, содержали в себе две программы: Extended Copy Protection (XCP) и MediaMax CD-3. А теперь подробнее о каждой:
• XCP: 31 октября 2005 года Марк Руссинович, сотрудник компании Microsoft, написал в своем блоге о необычном открытии, которое он сделал, вставив купленным им диск от Sony BMG в компьютер. Этим открытием был XCP. Марк, как и многих других, возмутил тот факт, что в лицензионном соглашении о данном ПО не было ни слова. Ну т.е. программа устанавливалась без ведома пользователя и всячески скрывала свое существование, что характеризует ее как руткит.
• С точки зрения правообладателей данное ПО было сделано с благими намерениями, но в то же время XCP создавал очень много проблем и уязвимостей:
➡XCP создавал дыры в безопасности, которые могли быть использованы (и были, по факту) другими вредоносными программами;
➡XCP работал в фоновом режиме постоянно, потребляя большую часть ресурсов системы, замедляя работу ПК;
➡Для запуска и отключения XCP использовал небезопасные процедуры, вызывающие падение системы;
➡У XCP не было деинсталлятора, а большинство попыток его удалить приводили к тому, что ОС не распознавала существующие драйвера.
• После заявления Руссиновича, многие злоумышленники воспользовались дырами в безопасности, созданными XCP, для распространения вирусов и червей.
• MediaMax CD-3: скандальной особенностью этого ПО была установка несмотря на лицензионное соглашение. То есть, перед фактическим использованием диска пользователь должен был согласится с пунктами лицензионного соглашения. Если отказаться, закрыть окно или даже «убить» процесс, то MediaMax все равно устанавливался на компьютер.
• Новость о вредоносном ПО на дисках от Sony BMG распространилась со скоростью звука. В итоге, компания была вынуждена объявить о возврате копий, которые неуспели продать. Однако несмотря на данное заявления, во многих городах продажа зараженных дисков велась и дальше.
• 21 ноября 2005 года генеральный прокурор штата Техас подал иск на компанию Sony BMG. Техас стал первым (но не последним) штатом, который решил засудить Sony BMG. Основной мыслью обвинения было то, что компания тайно установила на ПК пользователей вредное ПО, которое нарушало работу системы и бело к возникновению проблем с безопасностью. Естественно Sony BMG проиграла в суде и должна была выплаты 750 000 долларов судебных издержек, по 150 долларов за каждый поврежденный ПК, разместить подробное описание вредоносного ОП на своем сайте и указать о его существовании в своей рекламе в Google, Yahoo! и MSN.
• Далее последовало множество исков от пострадавших. Столь сильный общественный резонанс, финансовые потери и судебные разбирательства все же подтолкнули Sony BMG принять решение — более не использовать подобное ПО на своих дисках. Такая вот история...
#Разное
Какая уязвимость опаснее: та, что осталась незамеченной, или та, что неправильно закрыта?
Сегодня любой CISO и AppSec-инженер знает: безопасность приложений — это не абстракция, а реальные риски, простои и финансовые потери.
На открытом уроке мы разберём:
- типы уязвимостей и причины их появления;
- как встроить превентивные меры в процесс разработки;
- практики реагирования и закрытия уязвимостей, чтобы не тратить недели на последствия.
Урок будет полезен CISO, руководителям ИБ, тимлидам разработки и инженерам AppSec.
После занятия вы будете понимать, как минимизировать риски и выстраивать систему реагирования. Открытый урок пройдёт 22 октября в 20:00 МСК в преддверии старта курса «CISO / Директор по информационной безопасности».
Все участники получат скидку на обучение. Регистрация открыта: https://otus.pw/X8ysf/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
👩💻 Kubernetes Security Guide.
• С ростом популярности Kubernetes все больше компаний стремятся использовать его для облегчения управления контейнеризованными приложениями. Вместе с этой тенденцией наблюдается рост числа неправильно сконфигурированных кластеров, что создает большие риски в части обеспечения безопасности.
• В этом руководстве вы найдете информацию по безопасной настройке кластера k8s. Материал вышел очень объемным и включает в себя практические примеры. Содержание следующее:
• Prerequisites;
• Test Environment – your own cluster in minutes using a ready-made script;
• Kubernetes Architecture;
• STRIDE for Kubernetes;
• Node Security – Start with the Basics:
➡Attack Surface;
➡Identifying Vulnerabilities;
➡Reducing the Attack Surface (Firewall);
➡Looking Inside – Whitebox Audit.
• Cluster Components Security:
➡Update of key components;
➡Anonymous Access;
➡Users, Authentication and Authorization;
➡Emergency Access (Break-Glass);
➡Verification of Granted Access;
➡Authorization;
➡Authorization – Automating the Permission Verification Process;
➡Other Authentication and Authorization Methods (static tokens, Node, ABAC, and Webhook);
➡etcd Security;
➡Secrets;
➡Namespaces;
➡Network Policies;
➡Metrics API and Avoiding Shortcuts;
➡Automated Tools.
• Security of Images, Containers, and Pods:
➡Minimal Images – The Fewer Dependencies, the Better;
➡Specifying a Specific Image Version;
➡Vulnerability Scanners;
➡Learning About Admission Controllers – Automating the Vulnerability Scanning Process;
➡Own Registry;
➡OPA Gatekeeper - Registry Under Control;
➡Security Context - Additional Hardening;
➡AppArmor;
➡Other Capabilities;
➡Pod Security Standards;
➡gVisor;
➡Resource Quotas;
➡Auditing;
➡Falco - Detection and Analysis of Suspicious Activities.
• Debugging - Essentials for Troubleshooting;
• Additional Resources.
#DevOps #Kubernetes
• Сегодня, 14 октября 2025 года, Microsoft официально прекратила поддержку всех редакций Windows 10 (Home, Pro, Enterprise и Education), кроме LTSC. Также в этот день заканчивается поддержка MS Office 2016 и MS Office 2019 на всех операционных системах.
• Microsoft Windows 10 вышла 29 июля 2015 года. Дата окончания поддержки Windows 10 стала известна ещё в июне 2021 года. Последней версией Windows 10 стала версия 22H2, выпущенная в сентябре 2022 года.
• Ушла эпоха... 🫡
#Windows #Разное
• Кстати, Motorola DynaTAC 8000X был далеко не первым мобильным телефоном в истории, хотя многие почему-то считают его таковым. Самый первый переносной телефонный аппарат был изобретен еще в 1947 году исследовательской фирмой Bell Laboratories. А знаете сколько он весил? Целых 40 кг, и «мобильным» назывался лишь потому, что его можно было перевозить в автомобиле, для установки в котором он, собственно, и предназначался. Аппарат подключался к телефонной сети общего пользования через радиоканал с помощью установленного в лаборатории мощного приемника, соединенного с АТС через коммутатор, а в автомобиле был смонтирован ламповый передатчик.
• В 1950-х мобильные телефоны начали понемногу «худеть» и уже в 1970-х стали весить около 14 кг, но питались они по-прежнему от автомобильных аккумуляторов. Новые по-настоящему портативные устройства придумал Мартин Купер из компании Motorola. В 1967 его отдел уже разработал первые портативные рации для чикагской полиции. И вот, спустя почти 20 лет, Мартин понял, что в силах построить относительно компактный сотовый телефон.
• Для функционирования сотовой связи требовалось получить свободные частоты, и переговоры с Федеральной Комиссией по коммуникациям на этот счет шли довольно долго. Наконец стороны достигли компромисса – Motorola должна была на деле доказать возможность бесперебойной работы подобных сетей.
• Так, 3 апреля 1973 года на крыше небоскреба Alliance Capital Building в Нью-Йорке была установлена первая базовая станция и состоялись полевые испытания. Станция могла обслужить не более 30 абонентов и использовала соединение с городской телефонной сетью через коммутатор. Запуск прошел удачно: стоя на углу улицы Манхэттен Стрит, Мартин Купер совершил свой исторический звонок, что и позволило спустя десятилетие запустить первую в США и в мире сотовую сеть связи в коммерческую эксплуатацию, о которой написано в предыдущем посте. Уже через год количество абонентов оператора Ameritech Mobile увеличилось до 12 тысяч.
• К слову, в 1991 году появилась первая коммерческая сотовая сеть в России, ее представила компания «Дельта Телеком». Но телефоны тогда были очень дорогими, и популярностью эта услуга не пользовалась: в 1997 году в стране было зарегистрировано всего лишь около 300 тысяч абонентов. И лишь после 1999 года, когда на рынке появилось множество бюджетных устройств, работающих по стандарту GSM, сотовая связь начала свою экспансию на рынок, вытеснив более дешевое средство связи — пейджеры. Такие вот дела...
#Разное
• Ровно 42 года назад, 13 октября 1983 года, в Чикаго произошло довольно любопытное событие: исполнительный директор компании Ameritech Mobile Communications Боб Барнетт, сидя в своем «Крайслере» возле стадиона Солджер Филд, набрал номер внука изобретателя телефонной связи Александра Белла, который находился в тот момент в Германии. Именно с того момента была запущена первая в мире сеть сотовой связи и появилась на свет технология, без которой сегодня мы буквально не можем обойтись.
• Тот исторический звонок был совершен с мобильного телефона Motorola DynaTAC 8000X (на фото), который по нынешним временам трудно назвать по-настоящему «мобильным». Трубка весила 0,8 килограмма, а ее внушительные габариты больше напоминали кирпич. Полная зарядка устройства занимала 10 часов, маленький светодиодный дисплей показывал только набираемый номер, а память аппарата позволяла сохранить до 30 телефонных номеров. В режиме ожидания такой телефон мог проработать до 8 часов, а разговаривать по нему можно было не более получаса.
• Разработка Motorola DynaTAC 8000X началась еще задолго до его коммерческой эксплуатации — в 1973 году, а 3 апреля того же года этот телефон совершил свой первый экспериментальный звонок. Сделал его инженер, физик и фактический изобретатель аппарата — Мартин Купер, позвонивший начальнику исследовательского отдела Bell Laboratories Джоэлю Энгелю. Это был первый в истории телефонный звонок по сотовому телефону, причем прототип мобильного аппарата тогда даже не имел дисплея — только клавиши для набора номера и обрезиненную антенну. На отладку технологии, доработку оборудования и устранение возникавших в процессе проблем ушли долгие 10 лет, прежде чем в 1983 году в Чикаго была запущена первая коммерческая сеть сотовой связи.
• В 1984 году компания Motorola запустила телефон в массовое производство. Стоил аппарат $3 995 (что в наше время эквивалентно $12 220), однако столь высокая цена не помешала людям выстраиваться в километровые очереди, чтобы заполучить этот уникальный продукт технического прогресса. Абонентскую плату тоже нельзя было назвать низкой – месяц пользования сетью стоил 50 долларов, а минута разговоров в «часы пик» оценивалась в 40 центов. Motorola DynaTAC 8000X стал поистине легендарным аппаратом, и «засветился» в таких известных кинокартинах, как «Уолл-Стрит» и «Американский психопат» (на фото).
• А первая сотовая сеть использовала стандарт AMPS (Advanced Mobile Phone Service) и относилась к сетям первого поколения (1G). Она работала по принципу обычной радиосвязи – частотного разделения каналов, где для каждого соединения выделялась своя частота в 30 кГц. Каждая вышка сотовой связи тогда могла обслуживать около 300 абонентов. Качество связи было далеко не идеальным – диапазон 800 МГц был восприимчив к фоновому шуму и помехам от находящихся поблизости электронных устройств.
#Разное
⚡️Filestone MFT 2.5: обновление российской системы обмена файлами для ИБ
80 улучшений для специалистов ИБ и сисадминов в обновлении отечественного корпоративного файлообменника. А на сладкое — интерактивное демо.
Главное в апдейте:
💬 Поддержка филиалов
💬 Подписание ЭП
💬 Добавление доменов в адресную книгу
💬 Настройка формы обмена файлами
💬 Настройка сопроводительных реестров
💬 Формирование сводного реестра
💬 Сортировка и редактирование полей в отчётах
💬 Новая документация на сайте
🔜 Ожидаются новости по интеграциям
Filestone MFT не хранит файлы, а полностью удаляет после передач. Нет облаков, нет ошибок доступа, клиент не нужно ставить на все машины. Много настроек прав и содержимого. На выбор бессрочная лицензия и годовая подписка.
Продукт в Реестре российского ПО, разработан в России на открытом коде.
🔑 Посетить демо-стенд
Секретный уровень: код на три месяца тестирования всем, кто пройдёт опрос
#реклама
О рекламодателе
• Пост выходного дня: ничего необычного, просто швейцарская стиральная машина, которая управляется перфокартами. Всякие ручки, сенсоры и мобильные приложения - это для маглов.
• Блок управления на такой машинке имеет специальный рычаг, который размыкает и замыкает контакты переключателей соответственно отверстиям на перфокарте. Т.е. отверстия и прорези управляют переключателями, которые активируют различные функции и режимы стиральной машины. К слову, такие стиралки придумали в 1949 году (76 лет назад).
#Разное #Оффтоп
• Расскажу вам историю, которая произошла в 2008 году. Тогда интернет заполнила информация о кибератаке на Министерство обороны США.
• Началось все с обычной флешки, которая была заражена червем agent.btz и была вставлена в ноутбук на военной базе США в Среднем Востоке. Этот ноутбук был подключен к центральному командованию вооружённых сил США, из-за чего червь смог распространится по всем системам, включая секретные. Он делал это путем создания файла AUTORUN.INF в руте каждого из дисков. Также вирус мог сканировать компьютер на наличие бэкдоров, которые использовал для дальнейшего распространения.
• Еще в зараженной системе червь создавал файл с именем thumb.dd на всех подключаемых флешках. И в виде CAB-файла он сохранял там следующие файлы: winview.ocx, wmcache.nld и mswmpdat.tlb. В них содержалась информация о зараженной системе и логи активности червя. Если разобраться, то thumb.dd представляла собой контейнер с данными, которые сохранялись на флешку при отсутствии возможности прямой передачи через интернет на командный сервер.
• Кроме того Agent.btz постоянно мутировал. Таким образом он менял «подпись», избегая обнаружения. И пока удалялись старые версии, в сети появлялись новые, более сложные.
• В общем и целом, Пентагон потратил около 14 месяцев на то, чтобы очистить свои системы от червя. Они даже запретили использовать флешки или другие переносные носители информации. А еще им пришлось переформатировать сотни машин и конфисковать тысячи зараженных флешек. Такие вот дела...
➡️ https://securelist.com/agent-btz
#Разное
• Использование скрытых промтов для ИИ дошли до GitHub Copilot. Исследователи из Legit Security выкатили статью, в которой разобрали атаку на GitHub Copilot, позволяющую извлечь содержимое из приватных репозиториев при использовании чат-ботов для анализа присылаемых pull-запросов.
• Атака основывается на возможности GitHub Copilot загружать внешние изображения в зависимости от обрабатываемого содержимого и возможности подставлять в pull-запросы скрытые комментарии, которые невидно в интерфейсе GitHub, но не для чат-ботов.
• Для реализации данной схемы атакующий на своём сервере создаёт набор однопиксельных прозрачных изображений, каждое из которых соответствуют специальному символу, цифре или букве алфавита. Далее жертве отправляется pull-запрос, в котором помимо предлагаемого изменения указывается скрытый комментарий с инструкцией для чат-бота.
• В комментарии боту предлагается найти во всех репозиториях пользователя, включая приватные, строки с кодом, содержащим значение "AWS_KEY". Найденные строки предписывается вывести не обычным текстом, а используя визуализацию на основе изображений - каждый символ из текста следует отобразить в виде картинки. В примечании указано, что при выполнении задания не нужно показывать рассуждения и информацию кроме картинок.
• При использовании мэйнтейнером GitHub Copilot для разбора предложенного pull-запроса, чат-бот выполнит скрытое задание и покажет результат в форме картинок. Так как картинки прозрачные мэйнтейнер не заметит аномалий, а атакующий сможет воссоздать содержимое найденных строк с ключами AWS путём анализа последовательности загрузки картинок в логе web-сервера.
• Для обхода защиты CSP (Content Security Policy), допускающей загрузку в GitHub Copilot картинок только с серверов GitHub, в качестве прокси задействован сервис GitHub Camo. Данный прокси используется в GitHub как промежуточное звено для загрузки внешних изображений, например, встраиваемых на страницу README. Отмечено, что GitHub уже блокировала описанный метод атаки через запрет отрисовки изображений в чате с Copilot...
➡ Исследование и техническая реализация.
➡ Источник.
#Новости #Исследование
• А вы знали, что компания Nokia была основана еще в 1865 году и в течение почти пятидесяти лет занималась различными сферами деятельности, начиная от производства бумаги и резины и заканчивая строительством электростанций? Все началось с Фредерика Идестама, который основал в городке Нокиа бумажную фабрику. Только шесть лет спустя, в 1871 году фабрика получила название Nokia Ab (произошло от названия реки Nokianvirta, протекающей поблизости), и узнаваемый «рыбный» логотип, размещаемый на всей её продукции (на фото выше).
• Только в 1963 году под руководством главы отдела электроники Nokia Курта Викстедта инженеры компании создали первый радиотелефон, а двумя годами позднее — радиомодем, служащий для передачи данных. Именно этот момент и определил тот факт, что основным направлением развития компании стал телекоммуникационный бизнес. В середине 1980-х годов Nokia совместно с другими европейскими компаниями начала работу над разработкой единого стандарта цифровой мобильной связи.
• Благодаря усилиям финских компаний Tampere Telephone Company и Helsinki Telephone был разработан стандарт GSM. Примерно в это же время, в 1987 году, Nokia выпустила «компактный» мобильный телефон Mobira Cityman, который стоил примерно как крыло от самолета (около 5000 евро в текущем эквиваленте) и весил 760 граммов.
• В 1991 году премьер-министр Финляндии впервые в истории позвонил через сеть GSM — это было сделано по телефону Nokia.
• В 1992 году Nokia обозначила следующую веху своей истории, выпустив первый цифровой мобильный телефон Nokia 1011, батарея которого выдерживала 90 минут разговора, а в телефонной книжке можно было хранить 90 номеров. Телефоны Nokia были самыми популярными в 1990-х и 2000-х и славились своей прочностью.
• Культовой моделью стал телефон Nokia 3310. Он не просто принимал звонки и сообщения, в аппарат были встроены будильник, таймер, калькулятор, игры. При этом он держал заряд батареи до 260 часов. Телефон стал хитом продаж и разошелся тиражом 126 млн. После этого было выпущено еще множество популярных моделей разных конфигураций, но именно 3310 будет у многих ассоциироваться с Nokia. А абсолютным лидером стала Nokia 1100, разработанная в 2002 году, — было продано 250 млн единиц.
• Nokia была лидером на рынке по производству мобильных телефонов с начала 2000-х. Но в конце 2000-х на смену кнопочным телефонам пришли сенсорные. Apple выпустили первую модель iPhone в 2007 году. С этого момента Nokia, специализировавшаяся на кнопочных моделях, начала терять лидерство на рынке. В 2007 году доля мобильных телефонов Nokia на рынке составляла 51%, и это число стало постепенно уменьшаться. Их сенсорные аппараты были не такими популярными, как телефоны конкурентов.
• В 2008 году на рынке появилась новинка — операционная система Android от Google, которая стремительно начала набирать популярность, но Nokia продолжила выпускать телефоны на собственной платформе Symbian. В 2011 году Nokia начала сотрудничать с Microsoft, чтобы сделать в своих аппаратах операционной системой последнюю Windows Phone.
• Но доля рынка уже сильно падала: для покупателей оказались более привлекательными телефоны от Apple и на платформе Android.
• В конце 2011 года на рынке появились смартфоны Lumia 800 и Lumia 710, но их продажи шли очень плохо и уже в 2012 году Nokia уступила первое место на рынке конкуренту Samsung.
• В 2013 году Microsoft выкупила бизнес у компании Nokia по очень низкой цене: производство вместе с патентами было продано всего за $7 млрд. Бренд Nokia включили в состав Microsoft и переименовали в Microsoft Mobile. Но в мае 2016 года в Microsoft продали сегмент бизнеса по производству кнопочных телефонов и бренда Nokia только что созданной финской компании HMD Global, которая сейчас продает телефоны под маркой Nokia.
• Сама компания Nokia не имеет отношения к мобильным телефонам, она выпускает телекоммуникационное оборудование и программное обеспечение для услуг связи...
#Разное
🦈 Wireshark 4.6.0.
• Об этой программе знает каждый, кто хотя бы раз сталкивался с задачей анализа трафика. Популярность Wireshark вполне оправдана: во-первых, данный продукт является бесплатным, во-вторых, его функционала хватает для решения самых сложных вопросов, касающихся перехвата и анализа передаваемых по сети данных.
• Вчера был опубликован новый релиз сетевого анализатора Wireshark 4.6.0. Разработчики добавили много разных фишек, исправили некоторые баги и реализовали поддержку новых протоколов.
➡ Сборки Wireshark 4.6.0 доступны для Windows, macOS и Linux! А полный changelog можете найти по этой ссылке.
• В качестве дополнения напоминаю, что в канале есть много полезного материала для изучения данного инструмента:
➡Полный курс по WireShark [1], [2], [3];
➡Лабораторные работы для получения практического опыта работы с Wireshark.
➡Бесплатный курс: Компьютерные сети 2025;
➡Руководство: Анализ трафика сети посредством Wireshark;
➡Полный список фильтров Wireshark.
➡Статья: Wireshark. Лайфхаки на каждый день;
➡Статья: Практические приёмы работы в Wireshark;
➡Mindmap: Wireshark.
#Wireshark
• Опубликован интересный отчет от экспертов компании Usenix, которые смогли обнаружить 128 уязвимостей в Bluetooth-системах автомобилей с помощью открытого фреймворка BlueToolkit, представленного в 2025 году.
• BlueToolkit предназначен для автоматизированного аудита безопасности Bluetooth Classic. Фреймворк работает через беспроводное соединение Over The Air, что позволяет проводить проверку IVI-систем (In-Vehicle Infotainment) без необходимости доступа к внутренним данным устройства. Ну и еще поддерживает широкий спектр оборудования, включая ESP32 и Nexus 5...
• Исследователи протестировали 22 автомобиля от 14 ведущих производителей, выпущенные в период с 2015 по 2023 год, и нашли 128 уязвимостей.
• В отчете описаны четыре типа атак, самой серьёзной считается User Account Takeover. С её помощью атакующие могут осуществлять MiTM атаки для перехвата SMS сообщений, обходить 2FA и захватывать аккаунты пользователей.
• Среди протестированных марок меньше всего уязвимостей нашлось у Skoda (модель Enyaq 2023 года показала нулевой результат по 30 тестам). Tesla Model Y 2023 года выпуска продемонстрировала две уязвимости, в Audi A5 и e-tron 2020 года нашлось по 4 и 6 ошибок соответственно.
• Больше всего уязвимостей нашлось у Renault Megane 2021 года (13), BMW X2 (10) и Toyota Corolla (9). Полная версия исследования доступна по ссылке ниже:
➡️ https://www.usenix.org/Bluetooth_Security_Testing
#Auto #Bluetooth #Отчет
Где узнать о передовых технологиях в сфере ИБ?
На III ежегодной конференции по защите данных «Гарда: Сохранить всё. Безопасность информации»!
👓 Эксперты в области ИБ и IT, права, CISO и CIO крупнейших компаний, представители Минцифры и ФСТЭК встретятся, чтобы обсудить текущие вызовы в сфере кибербезопасности.
В этом году в фокусе внимания — защита персональных данных и искусственный интеллект.🤖
На конференции
✔️ Более 2000 участников
✔️ 30+ экспертов
✔️ 3 трека: про технологии, стратегию и практику
🔔 Мероприятие подводится при поддержке ФСТЭК России и Минцифры.
Ждем вас 16 октября в московском конгресс-центре Soluxe. Участие бесплатное по предварительной регистрации.
🟣 Присоединяйтесь!
#реклама
О рекламодателе
• В Румынии раскрыт киберинцидент - заключённый, ранее осуждённый за киберпреступления, взломал тюремную IT-систему и изменил сроки заключения для себя и ещё 14 человек.
• История началась в июле 2025 года, когда заключённого временно перевели в тюремную больницу, где он получил доступ к учётным данным сотрудника тюрьмы с правами администратора системы ANP (система Национального управления пенитенциарных учреждений Румынии). Этого оказалось достаточно, чтобы организовать дальнейший взлом.
• Вернувшись в обратно в тюрьму, заключённый воспользовался физическим доступом к инфокиоскам, которые были подключены к внутренней сети и снабжены клавиатурами. Используя учётные данные администратора, хакер проник в IMSweb - внутреннюю платформу управления информацией о заключённых. Там он, а позже и другие заключённые, провели более 300 часов активности в течение трёх месяцев.
• Среди задокументированных действий: изменение сроков заключения путём подстановки «заработанных дней», перевод денежных средств между тюремными счетами и даже редактирование условий содержания.
• Аномалии стали заметны лишь спустя 3 месяца, когда сотрудник финансового отдела обнаружил расхождения между покупками заключённых и состоянием их счетов. Вскоре выяснилось, что один из осуждённых совершил онлайн-покупки на сумму почти 600 баксов, используя виртуальные средства, полученные обманным путём.
• По результатам проверки выяснилось, что 15 заключённых получили прямую выгоду от хакерского вмешательства. Более того, злоумышленники получили доступ к изображениям с камер, внутренней документации и даже имели план клонирования всей IT-системы для дальнейшей продажи на чёрном рынке...
➡️ https://dinpolitica.ro/
#Новости
• Очень объемная и актуальная диаграмма, в которой представлены различные аспекты безопасности Kubernetes в визуальном формате. В хорошем качестве можно изучить по ссылке ниже:
➡ https://kubesec-diagram.github.io
• Дополнительно: напомню, что вчера я опубликовал очень полезное руководство, где можно найти информацию по безопасной настройке кластера k8s. Материал вышел очень объемным и включает в себя практические примеры.
#Kubernetes
• Произошла классика: служба поддержки PlayStation Network (PSN) передала злоумышленнику доступ к учетной записи одного из пользователей.
• Такая ситуация случилась с dav1d_123, который заработал значительное количество ачивок в PSN. Злоумышленники берут во внимание такие аккаунты, так как их можно продать по хорошей цене в даркнете.
• dav1d_123 потерял доступ к своей учётной записи PSN 7 октября 2025 года. Кстати, наличие 2FA не помогло предотвратить взлом. После чего dav1d_123 обратился к своему другу GGmuksInc, который написал на украденный аккаунт. Спустя некоторое время они получили ответ от злоумышленника, который объяснил, что убедил службу поддержки предоставить доступ к аккаунту только по имени пользователя.
• По мнению злоумышленника, сотрудники поддержки PSN работают в странах с низким уровнем жизни за минимальную зарплату. Кроме того, они не проходят должное обучение по информационной безопасности.
• Службу поддержки Sony также обвиняют во взяточничестве и продаже аккаунтов PSN. Геймеры вновь призвали Sony отреагировать на эти обвинения. Критики отмечают, что компания неоднократно проявляла недостаточную прозрачность при ответах на предыдущие утечки данных.
• Какой сервис, такая и безопасность...
➡ https://www.notebookcheck.net/PSN-security
#Новости #Разное
• Исследователи из четырёх американских университетов опубликовали исследование, в котором описали технику атаки Pixnapping (CVE-2025-48561), позволяющую определить информацию выводимую на экран различными приложениями, включая Google Authenticator, Gmail, Signal, Venmo и Google Maps.
• Для определения содержимого экрана задействован метод попиксельного анализа, реализованный в 2023 году той же командой исследователей в атаке по сторонним каналам GPU.zip и впервые описанный ещё в 2013 году. Суть метода в том, что из-за присутствующих в GPU оптимизаций, отрисовка пикселя с цветом, повторяющим уже выведенный на экран цвет, выполняется быстрее, чем пикселя с иным цветом. Оценивая разницу во времени при отрисовке пикселей можно воссоздать уже имеющееся на экране содержимое и сформировать подобие скриншота.
• Атака Pixnapping сводится к вызову целевого приложения, выводу поверх него своего окна и попиксельному перебору содержимого с анализом времени выполнения графических операций над каждым пикселем. Подобный перебор позволяет с высокой вероятностью определить, какие пиксели имеют белый цвет фона, а какие участвуют в отображении символов. Для скрытия манипуляций с пикселями от пользователя производится наложение слоёв с масками - во время атаки визуально на экране продолжает показываться содержимое окна приложения, из которого производится атака.
• Метод был опробован на смартфонах Pixel 6, 7, 8 и 9 с версиям Android 13-16 для определения ста шестизначных кодов двухфакторной аутентификации, сгенерированных в Google Authenticator. Точность определения кодов на отмеченных смартфонах составила 73%, 53%, 29% и 53%, а время определения - 14.3, 25.8, 24.9 и 25.3 секунд, соответственно.
• Компания Google в сентябрьских патчах уязвимостей добавила в Android начальную защиту от атаки, основанную на запрете применения операции размытия к большому числу слоёв. В ответ исследователи нашли возможность обойти данное ограничение, поэтому Google планирует реализовать более полную защиту в декабрьском обновлении Android.
➡️ Исследование.
➡️ Источник.
#Исследование #Android
• Принес вам очень объемную шпаргалку по инструментам направления DevOps. Вся информация представлена на русском языке и есть возможность скачать заметку в формате книги для дальнейшего изучения. Однозначно в избранное:
➡ https://github.com/Lifailon/DevOps.md
#DevOps #CheatSheet
• Ровно 42 года назад, 13 октября 1983 года, в Чикаго произошло довольно любопытное событие: исполнительный директор компании Ameritech Mobile Communications Боб Барнетт, сидя в своем «Крайслере» возле стадиона Солджер Филд, набрал номер внука изобретателя телефонной связи Александра Белла, который находился в тот момент в Германии. Именно с того момента была запущена первая в мире сеть сотовой связи и появилась на свет технология, без которой сегодня мы буквально не можем обойтись.
• Тот исторический звонок был совершен с мобильного телефона Motorola DynaTAC 8000X (на фото), который по нынешним временам трудно назвать по-настоящему «мобильным». Трубка весила 0,8 килограмма, а ее внушительные габариты больше напоминали кирпич. Полная зарядка устройства занимала 10 часов, маленький светодиодный дисплей показывал только набираемый номер, а память аппарата позволяла сохранить до 30 телефонных номеров. В режиме ожидания такой телефон мог проработать до 8 часов, а разговаривать по нему можно было не более получаса.
• Разработка Motorola DynaTAC 8000X началась еще задолго до его коммерческой эксплуатации — в 1973 году, а 3 апреля того же года этот телефон совершил свой первый экспериментальный звонок. Сделал его инженер, физик и фактический изобретатель аппарата — Мартин Купер, позвонивший начальнику исследовательского отдела Bell Laboratories Джоэлю Энгелю. Это был первый в истории телефонный звонок по сотовому телефону, причем прототип мобильного аппарата тогда даже не имел дисплея — только клавиши для набора номера и обрезиненную антенну. На отладку технологии, доработку оборудования и устранение возникавших в процессе проблем ушли долгие 10 лет, прежде чем в 1983 году в Чикаго была запущена первая коммерческая сеть сотовой связи.
• В 1984 году компания Motorola запустила телефон в массовое производство. Стоил аппарат $3 995 (что в наше время эквивалентно $12 220), однако столь высокая цена не помешала людям выстраиваться в километровые очереди, чтобы заполучить этот уникальный продукт технического прогресса. Абонентскую плату тоже нельзя было назвать низкой – месяц пользования сетью стоил 50 долларов, а минута разговоров в «часы пик» оценивалась в 40 центов. Motorola DynaTAC 8000X стал поистине легендарным аппаратом, и «засветился» в таких известных кинокартинах, как «Уолл-Стрит» и «Американский психопат» (на фото).
• А первая сотовая сеть использовала стандарт AMPS (Advanced Mobile Phone Service) и относилась к сетям первого поколения (1G). Она работала по принципу обычной радиосвязи – частотного разделения каналов, где для каждого соединения выделялась своя частота в 30 кГц. Каждая вышка сотовой связи тогда могла обслуживать около 300 абонентов. Качество связи было далеко не идеальным – диапазон 800 МГц был восприимчив к фоновому шуму и помехам от находящихся поблизости электронных устройств.
#Разное
💣 Zip-бомбы против агрессивных ИИ-краулеров.
• Основной объём трафика в вебе возникает из-за ботов. По большей части, эти боты используются для обнаружения нового контента. Это читалки RSS-фидов, поисковые движки, выполняющие краулинг вашего контента, а сегодня и боты ИИ, собирающие контент, чтобы скармливать его LLM. По информации аналитического отчёта Fastly, краулеры, скраперы и фетчеры иногда создают нагрузку на сайт до 39 тыс. запросов в минуту.
• Традиционно против ботов используется комбинация нескольких методов, включая ограничение на количество запросов и капчи — задачи, сложные для компьютеров, но тривиальные для людей, фильтрация по user-agent и т.д. но есть и более креативные решения...
• Автор этого материала описывает актуальный метод защиты от агрессивных ИИ-краулеров с помощью zip-бомб, которые истощают оперативную память в дата-центре краулера. Это может быть стандартный архив размером 10 МБ, который распаковывается в 10 ГБ... Пример такой реализации можно найти по ссылке ниже:
➡ Читать статью [5 min].
#ИБ #Web
• Интересная схема: Microsoft обнаружили группу хакеров, которые взламывали учетные записи сотрудников образовательных организаций (университетов, ВУЗов и т.д.) и вносили изменения в HR-систему зарплат, а когда наступал день Х, то деньги шли на счет хакеров, а не на счет сотрудников.
• Как обычно, атаки начинались с фишинга: хакеры направляли своим жертвам письма, которые вели на Google Docs, а потом перенаправляли жертву на фишинговый ресурс с формой авторизации. Таким образом хакеры перехватывали логины, пароли и 2FA-коды. После успешного входа хакеры получали доступ к корп. почте и учеткам в Workday (hr-система), где меняли банковские реквизиты для перечисления зарплаты...
• В общем и целом, с марта 2025 года, хакеры взломали более 11 учетных записей и разослали с них около 6 тыс. писем в другие университеты. Что касается Microsoft, то они уже уведомили организации и выпустили соответствующие рекомендации.
➡️ https://www.microsoft.com/en-us/security/blog/2025/10/09
#Новости
• Operation Zero опубликовали новую статью по эксплуатации Chrome. В ней описана архитектура браузера, его основные компоненты (движок рендеринга Blink, движок JavaScript V8, сетевой стек), а также упражнение, в котором читатели добавят свою функцию в API Blink.
• Благодаря этому материалу вы сможете изучить устройство подсистемы браузера, как обеспечивается их безопасность и как она нарушается с помощью уязвимостей, примитивов, обходов защит, эксплоитов и их цепочек. Материал является практическим, поэтому с самого начала авторы кратко анализируют несколько известных эксплоитов, компилируют их благодаря публичному репозиторию и пробивают Chrome 130-й версии для Windows.
➡ https://opzero.ru/press/101-chrome-exploitation-part-1-architecture
#security #devsecops
🔍 IDC опубликовала отчёт о рынке решений для управления уязвимостями и киберугрозами: в 2024 году объём достиг $2,63 млрд (+8,1% к 2023). В числе лидеров — Tenable, Qualys, Rapid7. В глобальный рейтинг вошел и Positive Technologies: доля рынка 2,4%, выручка $63,6 млн, рост 14,6% — выше среднерыночного темпа.
💡 Ключевой тренд: рынок уходит от простого “просканировал — залатал” к комплексному управлению киберугрозами. Современные VM*-решения должны качественно получать информацию обо всех активах в инфраструктуре, выявлять недостатки, которыми могут воспользоваться хакеры, уметь прогнозировать пути атакующих, выделять критичные уязвимости и управлять киберустойчивостью инфраструктуры на уровне всей компании. Иначе продукт превращается в морально устаревший сканер.
* VM — управление уязвимостями
• Когда решился сделать правила на фаерволе более жесткими.
#Юмор
👩💻 Ansible: история создания одного из самых популярных инструментов автоматизации.
• В 1966 году американская писательница‑фантаст Урсула Ле Гуин в одной из своих книг (Планета Роканнона) написала об устройстве под названием Ansible - в книге этот прибор позволял мгновенно передавать информацию на астрономические расстояния. Спустя десятилетия, слово Ansible вырвалось из области научной фантастики и стало названием технологии, которая изменила подход к автоматизации ИТ‑инфраструктур.
• Пока мир фантастики жил сам по себе, инженеры ИТ‑инфраструктур искали способы автоматизировать рутинные задачи. Первые шаги в сторону автоматизации начались ещё в 90-х. В 1993 году появился CFEngine - первая масштабируемая система управления конфигурацией. За ней, спустя долгое время, последовали Puppet (2005), Chef (2009) и SaltStack (2011). Системы предлагали свои архитектурные решения, но все имели одну общую черту - работали по pull‑модели, при которой на каждом управляемом сервере (узле) необходимо устанавливать агент, чтобы тот периодически забирал конфигурации с центрального узла.
• Именно это и не устроило Михаэля Дехана. В 2012 году он создает Ansible - инструмент, работающий по push‑модели. Михаэль добивался максимальной простоты и гибкости - работа без агентов по стандартному SSH и конфигурация, описанная в виде YAML‑файлов. И ему это удалось, достаточно быстро инструмент оказался очень популярным. Уже через год Михаэль основал Ansible Inc., а через два выпустил Ansible Tower - серверное приложение с расширенным функционалом и веб‑интерфейсом, упрощающее использование Ansible в больших командах и корпоративной среде. Сотни компаний по всему миру, включая компании из Fortune 50, стали использовать Ansible.
• Успех не остался незамеченным, и в 2015 году Red Hat приобрела Ansible Inc, сделав его частью своей экосистемы.
• В 2017 году Red Hat сделала следующий шаг, открыв исходный код Ansible Tower под проектом AWX, который стал upstream‑проектом, а Ansible Tower постепенно влился в новую платформу — Red Hat Ansible Automation Platform (2019 год). Такая вот история...
#Разное #Ansible
• Подробное руководство по тестированию на проникновение одной из самых приоритетных целей в корпоративной сети — Outlook Web Access (OWA). Автор разобрал все основные атаки и уязвимости OWA, собрал и структурировал самое полезное в одном месте:
➡ Читать статью [58 min].
‼ Материал предназначен для специалистов ИБ и представлен в ознакомительных целях.
#Пентест
• Неожиданно: Qualcomm купила Arduino. Компания продолжит выпускать уже существующие платы под брендом Arduino и будет разрабатывать решения на базе чипов Qualcomm. Первым совместным продуктом станет плата Uno Q.
• Arduino Uno Q - это одноплатник с микроконтроллером STM32U585 (MCU) и микропроцессором Qualcomm Dragonwing QRB2210 с поддержкой Linux Debian. Устройство будет иметь 2 ГБ оперативной памяти и 16 ГБ встроенной. Продажи начнутся 24 октября 2025 года. В Европе плату можно будет купить за 47 евро. В ближайшее время появится версия с 4 ГБ оперативной памяти. Вместе с платой Uno Q представили Arduino App Lab — новую IDE для разработки ПО для фирменных плат.
➡️ https://blog.arduino.cc/arduino-with-qualcomm
#Новости #Разное #Arduino
