24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
Резко набирающий тренд повсеместного внедрения агентного ИИ-помощника OpenClaw также оседлали в киберподполье, представители которого уже успели разработать инфостилер, нацеленный на эту платформу для кражи ключей API, токенов аутентификации и другие секретов.
OpenClaw (ранее ClawdBot и MoltBot) - это локально работающая платформа для ИИ-агентов с поддержкой постоянной конфигурации и среды памяти на компьютере пользователя.
Инструмент способен получать доступ к локальным файлам, входить в почтовые и коммуникационные приложения на хосте, а также взаимодействовать с онлайн-сервисами.
С момента своего выпуска OpenClaw получил широкое распространение по всему миру: пользователи стали активно полагаться на него для решения повседневных задач и в качестве ИИ-помощника.
Однако вслед за стремительной популярностью фреймворка возросли и связанные с ним риски, прежде всего по части потенциальной уязвимости для атак, нацеленных на конфигурационные файлы с секретными ключами аутентификации для доступа к облачным сервисам и платформам ИИ.
В свою очередь, Hudson Rock удалось задокументировать первый в реальных условиях инцидент с кражей файлов, связанных конфигурационной средой OpenClaw, с целью извлечения содержащихся в них секретов.
Таким образом, индустрия инфокрадов реализует переориентирование: с краж учетных данных браузера на персональные агенты ИИ.
Причем в HudsonRock предсказывали это еще в конце прошлого месяца, называя OpenClaw «новой более привлекательной целью для инфостилеров», в виду крайне конфиденциальных данных, с которыми работают агенты, и их относительно слабой защиты.
Как полагают в Hudson Rock, по всей видимости, в поле зрения исследователей попал одна из модификации Vidar.
При этом вредоносная ПО не нацелена конкретно на OpenClaw, а вместо этого выполняет обширную процедуру кражи файлов, сканируя их на наличие конфиденциальных файлов и каталогов, содержащих ключевые слова, такие как «токен» и «закрытый ключ».
Поскольку файлы в конфигурационном каталоге openclaw содержали и эти, и другие ключевые слова, вредоносная ПО их отработала. Среди них оказались следующие:
- openclaw.json (раскрыт адрес электронной почты жертвы, путь к рабочему пространству и токен аутентификации шлюза, что может позволить удаленное подключение к локальному экземпляру OpenClaw или выдачу себя за другого клиента в аутентифицированных запросах).
- device.json (содержал как publicKeyPem, так и privateKeyPem, используемые для сопряжения и подписи, которые позволяют обходить проверки «безопасного устройства» и получать доступ к зашифрованным журналам или облачным сервисам).
- soul.md, AGENTS.md, MEMORY.md (определяют поведение агента и хранят постоянные контекстные данные, включая журналы ежедневной активности, личные сообщения и события календаря).
Проанализировав все данные, в HudsonRock пришли к выводу, что украденных данных оказалось достаточно для потенциальной полной компрометации цифровой личности жертвы.
Исследователи прогнозируют, что злоумышленники будут и дальше фокусироваться на OpenClaw по мере того, как этот инструмент будет все глубже интегрироваться в профессиональные рабочие процессы и получать новый функционал.
• В 70-е годы XX века компания IBM ориентировалась в основном на корпоративный рынок, считая, что ограниченный спрос на ПК не позволит построить серьезный бизнес. Однако бурный рост популярности персоналок Altair 8800, Commodore PET, Sinclair Mk14 и Atari 400/800, которым на пятки наступала Apple со своей продукцией, заставил крупные корпорации шевелиться. В 1980 году IBM начало разработку собственного настольного ПК, и 12 августа 1981 года IBM PC 5150 был представлен публике. Это изделие стало первым компьютером в сверхпопулярной линейке IBM PC. Наступила эпоха тотальной компьютеризации человечества, флагманом которой стали машины на базе архитектуры х86.
• Основной целью, которую руководство IBM поставило перед своими инженерами, было создание компактной и универсальной персоналки, быстродействие и производительность которой позволили бы использовать такую машину как на крупных предприятиях, так и в мелком бизнесе, а при желании и наличии достаточных средств — даже дома. И эта задача была решена. Сердцем IBM PC 5150 стал процессор Intel 8088, работавший на частоте 4,77 Мгц, при этом машина была оборудована оперативной памятью объемом от 16 до 64 Кбайт, которую можно было увеличить путем установки дополнительной платы расширения до 256 Кбайт.
• Подходящего по габаритам для компактного корпуса компьютера жесткого диска у IBM не нашлось, да и питания для него не хватало, потому в качестве накопителя машина использовала два 5-дюймовых дисковода.
• Первая модель IBM PC комплектовалась монохромным дисплеем IBM 5151, однако позже в производственную линейку добавился цветной монитор IBM 5153, при этом компьютер поддерживал одновременно два стандарта видео: MDA и CGA. Первый обеспечивал вывод монохромного текста с высоким разрешением, но не мог отображать больше ничего, а второй выводил цветную графику и текст со средним и низким разрешением.
• В качестве операционной системы персоналка использовала PC DOS 1.0 и CP/M-86. Однако в этот же день, 12 августа 1981 года, состоялось еще одно знаковое событие, впоследствии буквально перевернувшее компьютерную индустрию с ног на голову. А именно, никому не известная компания Microsoft выпустила на рынок операционную систему MS-DOS, которую стали массово устанавливать на IBM-совместимые ПК. При этом сама MS-DOS 1.0 представляла собой по большому счету переименованную 86-DOS, которую Билл Гейтс купил за 75 000 долларов у разработчика Тима Патерсона из Seattle Computer Products. А та, в свою очередь, являлась портированной для процессоров Intel усовершенствованной версией CP/M от Digital Research.
• Компьютер был очень благожелательно встречен публикой. Еще до его официального выхода компьютерные издания хором восхищались заявленными характеристиками ПК, а после поступления машины в продажу появилось множество хвалебных обзоров, авторы которых буквально восхищались инженерными решениями, производительностью и возможностями IBM PC. Уже в первый год было продано более 130 000 экземпляров этого компьютера, а поскольку он был разработан на базе открытой платформы, вскоре появились многочисленные клоны, выпуск которых наладили Compaq, Eagle Computer, Handwell Corporation и другие компании. Фактически, из главных конкурентов IBM PC среди несовместимых платформ на рынке 80-х осталась только линейка Apple Macintosh.
• Персональный компьютер IBM PC (5150) стал одним из самых популярных ПК в мире, а IBM PC — превратился в стандарт. Большинство современных персональных компьютеров являются дальними потомками и прямыми наследниками этой уникальной машины. Так то...
#Разное
🧠 Социальная Инженерия. Методики спецслужб.
• Весьма интересная книга, автором которой является бывший специальный агент ФБР, профессор психологии и консультант — Джек Шафер. Более пятнадцати лет занимался контртеррористическими исследованиями и анализом, обучал специальных агентов техникам влияния и убеждения.
• Эта литература — практическое пособие по обучению тому, как общаться с людьми и влиять на них. Материал будет полезен всем, кто интересуется профайлингом и социальной инженерией.
☁️ Руководство можно скачать бесплатно в нашем облаке.
S.E. ▪️ infosec.work ▪️ VT
• А вы знали, что в период с 1931 по 1933 год в Чехословакии была создана самая большая вертикальная картотека? Давайте расскажу, как было устроено хранение документов и что помогало сотрудникам ориентироваться в гигантском хранилище (площадь 370 кв. м., а высота шкафов - 3 метра).
• Ну, для начала, посмотрите фото выше, их там очень много. Как вы все прекрасно знаете, компьютеров в 30-х гг. XX века не было, так что сотрудникам института приходилось работать с бумажными документами. Стремясь облегчить жизнь чиновников, чехословацкие инженеры совершили настоящий трудовой подвиг: спроектировали и построили самую большую в мире картотеку для долгосрочного хранения документов и быстрого доступа к ним.
• Картотека была вертикальной — такая конструкция позволяла эффективно использовать трехметровую высоту помещения. В те годы это была самая большая архивная система такого рода в мире: стеллажи тянулись от пола до потолка и вмещали более 3 000 ящиков с документами. Причем сама система занимала не такую уж и большую площадь — 370 м2. Но как сотрудники добирались до средних и высоких ярусов? Все просто и сложно одновременно.
• Чехословацкие инженеры проявили недюжинную смекалку. Одной из главных инноваций картотеки были электрические подъемные столы. С их помощью сотрудники без труда получали доступ к любому ящику на любой высоте.
• Как все это работало:
➡Подъемные столы могли двигаться вверх, вниз и в стороны. Так что сотрудники могли перемещаться к нужным ящикам, не тратя время на лазанье по лестницам. Сидишь себе на рабочем месте, а оно тебя катает по всем направлениям.
➡Панель управления с кнопками позволяла точно настраивать положение столешницы перед выбранным ящиком. Оператор мог полностью контролировать процесс и останавливаться на нужном уровне.
➡Конструкция столов обеспечивала безопасность сотрудников при работе на любом уровне.
• Нововведение с подъемными столами и электрическим управлением снизило трудозатраты: работа, которая раньше требовала усилий 400 человек, теперь могла выполняться всего 20 сотрудниками архива.
• А вот вам еще немного подробностей. У системы были:
➡Электрические запоры. Сотрудники могли открывать и закрывать ящики нажатием одной кнопки. Ничего не нужно было переносить в руках. Каждый ящик весил немало — ручное открытие повышало бы риск травм на рабочем месте, особенно на высоте. После просмотра документа сотрудник одним нажатием кнопки закрывал замок. Это позволяло избежать случаев, когда ящики оставались открытыми и документы оказывались в свободном доступе.
➡Надежное хранение. Поддерживался постоянный порядок в хранении документов, так как каждый ящик открывался только по необходимости, и система фиксировала само открытие ящика. Это исключало вероятность неавторизованного доступа к информации.
• Документы были тщательно структурированы и организованы по категориям, а это упрощало поиск нужных данных. Кстати, был даже внутренний контроль доступа к ящикам. Например, при каждом открытии автоматически фиксировался код сотрудника и время просмотра документов. Это давало возможность мониторить действия конкретного сотрудника. Такая вот информационная безопасность начала XX века.
• Архивная система была уникальной для своего времени. Ее достоинства оценили и другие государства, так что подобные комплексы появились в США, Германии, Франции и Японии.
• Кстати, с увеличением объема документов возникла необходимость в более эффективных методах их обработки и хранения. Сегодня вся информация оцифрована, а картотека используется как архив старых документов.
#Разное
• Go — популярный языка программирования, который высоко ценится этичными хакерами за его простоту, эффективность и надежность. Если у Вас есть потребность в изучении данного языка, то держите бесплатный курс для начинающих.
• Данный материал поможет вам научиться писать простые сервисы и использовать этот язык в некоторых рабочих задачах. Кстати, там еще есть большая подборка материала для погружения в тему. Содержание следующее:
➡Полезные ресурсы для погружения в Go. Часть 1;
➡Полезные ресурсы для погружения в Go. Часть 2;
➡Fuzzing-тесты в Go после v1.18: знакомство и практика;
➡Как написать свой REST API на Go? Разрабатываем сокращатель ссылок;
➡Как разработать gRPC-сервис на Go;
➡Подключение Go к Apache Kafka;
➡Как тестировать Kubernetes с помощью Go.
➡️ https://selectel.ru/blog/courses/practical-go
• В качестве дополнения рекомендую рассмотреть еще один бесплатный курс на платформе stepik. Этот материал подойдет для тех, кто не имеет опыта в программировании. В курс входят 42 урока, 110 тестов и 45 интерактивных задач: https://stepik.org/course/100208
#Курс #Go
Способы обмена данными между приложением и драйвером. Бесплатный вебинар — 19 февраля в OTUS
Обмен данными между пользовательским приложением и драйвером — ключевая тема как для разработки, так и для реверс-инжиниринга драйверов Windows. Без понимания этих механизмов невозможно корректно анализировать поведение низкоуровневого ПО.
— На открытом уроке разберём основные способы взаимодействия user-mode и kernel-mode.
— Поговорим про IRP-пакеты, IOCTL и различные типы ввода-вывода — буферизованный, прямой и небуферизованный.
— На практике покажем, как реализовать обмен данными между приложением и драйвером разными способами.
Урок подойдёт системным программистам и вирусным аналитикам, работающим с драйверами и внутренним устройством Windows.
👉 Записаться: https://otus.pw/V1MF/
Этот вебинар проходит в формате открытого урока в прямом эфире курса «Reverse Engineering».
Реклама. ООО «Отус онлайн‑образование», ОГРН 1177746618576
Вебинар. Настоящий детектив: расследуем инциденты‑2025
❗️ Забудьте про скучные инструкции. Мы разберём реальные ИБ-инциденты 2025: от мемов в соцсетях до статей Уголовного кодекса.
Узнайте, как $500 в даркнете и новые законы меняют правила игры для всех — от технаря до гендира. Это будет живой диалог экспертов, где шутки резко сменяются разбором реальных угроз.
Ключевые темы:
▪️Разбор инцидентов 2025: Атаки через мемы и соцсети.
▪️Серьёзное ужесточение законов: Статьи УК РФ на практике.
▪️Личная ответственность руководителя и специалиста.
▪️Алгоритм действий на завтра.
Спикеры мероприятия:
✅ Ольга Попова, главный юрист продуктовой группы Контур.Эгида
✅Станислав Юдинских, руководитель проектного офиса Staffcop
Регистрируйтесь сейчас
Участие бесплатное.
Реклама. 16+. АО «ПФ «СКБ Контур», ОГРН 1026605606620. 620144, Екатеринбург, ул. Народной Воли, 19А. Erid:2SDnjcyxsqi
• Недавно обратил внимание на забавное исследование, в котором указано, что некоторые учёные начали оставлять в своих научных статьях скрытые промты для ChatGPT, чтобы нейросеть хвалила их работу.
• При проверке различного материала в сервисе arXiv (это электронный архив для изучения научных статей по различным направлениям) уже нашлись 17 работ от 14 ведущих вузов мира — в каждой статье были скрытые промпты, которые просили ИИ хвалить её и не подсвечивать минусы. Учёные в научных статьях прячут нужный промпт для ИИ в белом тексте минимального размера, а на выходе получают похвалы и восхищение их трудом от «прочитавших» статью ИИ-сервисов.
• Схема, если честно, не новая. Поэтому всегда проверяйте результат анализа \ ответа и внимательно читайте первоисточники, если пользуетесь ИИ.
➡️ https://asia.nikkei.com/business/hide-ai-prompts
#Al
🎮 Хорошо забытое старое.
• Сервисы, предоставляющие пользователям игры по подписке, — вроде бы новая идея. Но на самом деле еще за 40 лет до появления сервиса Game Pass от Microsoft некоторые компании предлагали нечто похожее.
• Начало подписного бума положила компания Mattel. Она представила PlayCable — периферийное устройство для консоли Intellivision (на фото). Девайс подключал пользователей к постоянно обновляемому каталогу игр за $12,95 в месяц. Игр было много, среди них встречались очень популярные, вроде Utopia.
• Проект PlayCable не был локальной инициативой. В его реализации приняли участие 13 кабельных провайдеров США. Компания также платила за рекламу знаменитостям — все как сегодня. Например, компания заплатила известному бейсболисту того времени за участие в нескольких рекламных роликах, выходивших на экраны в 1982 году.
• PlayCable был главным, но не единственным игроком рынка игровых сервисов того времени. Не обошлось и без конкурентов, один из которых, GameLine, стал партнером Atari в 1983 году. Сервис был совместим с Atari 2600, причем подключение к нему обходилось лишь в $60 за периферийное устройство, Master Module, плюс $15 за активацию сервиса. Подписки не было, вместо этого геймеры платили повременно — $1 в час за игру.
• В том же 1983 году появилось еще одно решение от The Games Network. Компания не подключала консоли геймеров к сети. Вместо этого она предлагала собственное игровое устройство, которое представляло собой нечто похожее на ПК. Можно даже сказать, что в некотором смысле она предлагала пользователям тонкий клиент. Сам по себе он ничего почти не умел и был полностью завязан на сетевые функции. Компания тоже не была маленькой — ее сервис предлагался жителям США, Канады, Великобритании и Германии.
• И это еще не все, у Канады была своя собственная стриминговая игровая сеть. Она называлась Nabu, а слоганом ее была фраза «Переключись на умный ТВ!».
• Но вернемся к PlayCable — это был объединенный проект компании General Instrument, разработавшей специализированные адаптеры для кабельных сетей. Систему от PlayCable подключали кабелем сначала к приставке Intellivision, а потом — к устройству поставщика услуг кабельного ТВ. После подключения данные передавались в FM-диапазоне.
• При включении системы на экране ТВ появлялось приветствие с подключением к «умному» телевидению. Сервис был быстрым, его основа — алфавитный каталог игр, загрузить которые можно было за считанные секунды. Понятно, что их размер был чрезвычайно мал, но все же.
• Было еще одно важное отличие от современных консолей — у приставок того времени не было внутренней памяти, все загружалось в оперативную. Так что игру нужно было скачивать и загружать при каждом запуске PlayCable.
• Что касается устройства от Games Network, то оно не подключалось к консолям и представляло собой полноценную игровую систему, к которой можно подключать дисководы, принтер, джойстики и другую периферию. Подключение к каталогу производилось через модем и телефонный кабель. Подключаться можно было и к другим компьютерным сетям.
• PlayCable, GameLine и The Games Network были очень современными сервисами. Они предлагали клиентам каталог сетевых игр более чем за десять лет до появления всемирной паутины. К сожалению, ни одна из этих компаний не пережила 1984 года.
• Одна из причин — технические сложности, ведь нужно было договариваться с операторами кабельной связи и платить им. Вторая причина — достаточно дорогая подписка. Третья причина — разногласие между партнерами Mattel и General Instrument. Проблема привела к тому, что оборудование для подключения к сети не обновлялось, инфраструктура не модернизировалась, так что пользователи не могли играть в более поздние игры.
• Ну а потом начался крах, начало которому положил 1982 год. Этот и последующие годы стали кошмарным временем для индустрии видеоигр. Компании выходили из проектов, подразделения продавались и покупались. Было уже не до игровых сетей. Вот так и зарождались сервисы по подписке...
#Разное
🌩 Приватность в облаках.
• Вы все прекрасно знаете, что «Защищенные облака» бывают только в сказках. Поэтому не ведитесь на «швейцарскую юрисдикцию» или «военный уровень шифрования». Это чистой воды маркетинг, чтобы завлечь доверчивого мамонта, которому есть что скрывать.
• Ну вот прикиньте ситуацию. Вы открыли свое облачное хранилище. Самое защищенное и самое приватное в мире. И, естественно, весь кибер-сброд стал покупать у вас хранение, потому что вы никогда и никого никому не выдадите. Пройдет год и у вас на дисках скопится куча прона крайне сомнительного содержания: украденные файлы, сэмплы вирусов, может быть, даже документы бородатых людей определенного рода деятельности. В общем, помойка будет лютая.
• Поэтому после очередной «ситуации» специалисты «откуда надо» узнают, что все бармалеи мира хранят данные у вас. Что будет дальше? К вам придут с требованием начать сотрудничество. Или вы станете соучастником. И тут вы начинаете думать о сделке с совестью. Либо вы идейный товарищ, борцун за анонимность и никого не сдадите – тогда вам не поздоровится. Причем за чужие грехи. Либо вы всех сдаете, но после этого ни о какой «приватности» на вашем сервисе речи больше быть не может.
• Примерно такой сюжет происходит с каждым владельцем облаков. Либо вы сканируете файлы своих клиентов на предмет запрещенки, либо у вас скоро не будет никакого бизнеса. Так что приватность – это большая ложь. Приватности быть не может. Это я уже доказал на простом примере. Но что делать, если приватность нужна, а к удобствам пользованием облаком вы уже привыкли?
• Все просто. Вам нужен Cryptomator. С его помощью вы прямо внутри облака можете делать защищенный контейнер, в котором файлы шифруются на лету. Проще говоря, это облако, которое шифруете вы сами. И работать с ним удобно. Взяли самое дешевое (или даже бесплатное, sic!) облако (хоть Google Drive, хоть богомерзкий OneDrive или Dropbox) и сделали на нем контейнер. И все, пользуйтесь! Плюс Cryptomator бесплатный. Чего еще пожелать?
➡️ https://cryptomator.org
#Cloud #Tools #Security
• Несколько месяцев назад я делился с вами очень крутым материалом, где подробно описан опыт автора по ручному развертыванию Kubernetes без использования автоматизированных инструментов. Так вот, есть еще одна статья, не менее интересная и полезная. На этот раз автор описывает настройки аудита в Kubernetes, его возможности и примеры конфигураций, которые помогут вам сформировать эффективную политику аудита для вашего кластера.
➡Что такое аудит;
➡Политика аудита;
➡Параметры фильтрации;
➡Уровни логирования;
➡Стадии omitStages;
➡Подавление системного шума;
➡Фильтрация по пользователям;
➡Защита чувствительных данных;
➡Детализация для важных API;
➡Настройка API-сервера;
➡Заключение.
#Kubernetes
🪟 Кнопка «Пуск».
• А вы знали, что до появления Windows 95 работа с компьютером для большинства сводилась к набору команд в командной строке MS-DOS? А то, что кнопка "Пуск" впервые появилась в Windows 95?
• Дело в том, что Windows 3.11, предшественница 95-й версии, хоть и предлагала графический интерфейс, все равно опиралась на MS-DOS как на базовую операционную систему, требуя загрузки DOS перед запуском Windows.
• Windows 95 же стала первой операционной системой Microsoft, предлагавшей полностью графический интерфейс. Она объединила MS-DOS и Windows в одну операционную систему, упрощая процесс установки и использования.
• Кнопка «Пуск», ставшая символом Windows 95, также сыграла ключевую роль в успехе ОС. Она помогла легко находить программы и управлять задачами. Меню «Пуск» стало настолько привычным, что его отсутствие в Windows 8 вызвало бурю недовольства среди пользователей.
• Панель задач, расположенная вдоль нижней части экрана, стала ключевым инструментом для управления открытыми окнами. Она позволяла быстро переключаться между приложениями и обеспечивала наглядность работы. В Windows 95 пользователи получили удобный способ контроля над своими задачами, которого не было ни в Windows 3.x, ни в Macintosh того времени. Для сравнения, в Mac OS диспетчер задач, напоминающий функциональность панели задач, появился только в OS X Beta в 2000 году. На фото выше можно посмотреть, как выглядел интерфейс Win95 и кнопка "Пуск" того времени...
#Разное
500 млн ₽ — сумма выкупа, которую в 2025 году запросили у одной российской компании
Это один из десятков кейсов, разобранных в ежегодном отчёте F6 по киберугрозам в России и Беларуси.
Что ещё в данных за год:
— 27 APT-групп работают по целям в РФ и СНГ
— 760+ млн строк данных уже опубликованы в утечках
— Рост ресурсов с Android-троянами — в 6 раз на один бренд
— Фишинг уступает место скаму, угону Telegram и многоэтапным схемам
В отчёте — реальные сценарии атак, где компании теряют контроль, прогнозы на 2026 и практические рекомендации от экспертов F6.
👉 Получить полный отчёт по ссылке
#реклама
О рекламодателе
• Знаете, почему, придя на новое место, никто не любит разбираться с наследием предыдущего владельца, а предпочитает снести всё и начать заново?
Так вот именно поэтому!
#Юмор
• Смотрите какая удобная тулза для работы с логами: logmerger. Иногда бывает нужно осуществить сортировку данных из нескольких лог-файлов по времени и сравнить их между собой, так вот эта софтина как раз и предназначена для этого. Само собой logmerger имеет открытый исходный код. Детальное описание есть тут: https://github.com/ptmcg/logmerger
• Кстати, в качестве альтернативы есть еще https://lnav.org, тут найдете удобную фильтрацию, подсветку синтаксиса и другие полезные фичи.
#Разное #Tools
• Нашел хорошую заметку с всевозможными ресурсами (курсами, CTF, карьерными треками, документацией и всего прочего) для старта карьеры в ИБ.
• Заметка будет крайне полезна не только студентам, но и уже практикующим специалистам. Забирайте по ссылке ниже и добавляйте в закладки:
➡️ https://www.notion.so/ib
#ИБ
• Есть старое правило: если можно сделать быстро и удобно, кто‑то обязательно сделает это в ущерб безопасности. В инфраструктурных командах это особенно заметно. Сетевики часто решают задачи «с лёту», и это прекрасно. Пока речь не заходит про пароли. Один из таких случаев стал для автора данного материала хорошим уроком...
• В этой статье описана ситуация, когда сотрудники сопровождения передавали пароль по SSH. В открытом виде.
• Почему это проблема:
➡Передача пароля в аргументах — это классический антипаттерн.
➡Аргументы команд видны в ps, /proc/[PID]/cmdline, Task Manager.
➡Они могут попасть в логи CI/CD.
➡Мониторинг и аудит тоже их подхватят.
➡Многие утилиты (sshpass, plink, WinSCP CLI, rsync, mysql, curl, mRemoteNG) позволяют так передавать пароль — и это соблазн для быстрого «костыля».
• В итоге получить пароль можно даже не трогая сам SSH, что может привести к утечке. Подробности по ссылке ниже:
➡️ Читать статью [3 min].
• P.S. Рекомендую обратить внимание на комментарии, там можно найти полезные советы и рекомендации.
#ИБ #SSH
• Весьма любопытный tui тренажёр для обучения основам работы в терминале. Содержит около 70 заданий, которые вам предстоит решить. Проходить увлекательно и полезно, так что рекомендую для самообразования и получения необходимого опыта.
➡️ https://github.com/learnbyexample/TUI-apps
• Кстати, у автора есть ещё несколько tui программ, с помощью которых можно потренироваться в работе с awk, grep, sed и регулярками...
#CLI #Linux
Microsoft устранила RCE-уязвимость в Блокноте Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по ссылкам Markdown без отображения каких-либо предупреждений безопасности.
Блокнот появился с выходом еще Windows 1.0 и представлял собой простой и удобный текстовый редактор, который с годами стал популярен для быстрого создания заметок, чтения текстовых файлов, составления списков дел или в качестве редактора кода.
Позже Microsoft предложила пользователям Windows Write с поддержкой различных шрифтов, размеров и инструментов форматирования, а затем и WordPad. Однако с выходом Windows 11 компания решила прекратить поддержку WordPad и удалить его из Windows.
Вместо этого Microsoft переписала Блокнот, объединив в нем функционал простого текстового редактора и редактора RTF, а также добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.
Поддержка Markdown позволяет Блокноту открывать, редактировать и сохранять файлы Markdown (.md), которые представляют собой традиционные текстовые файлы с простыми символами для форматирования текста, списками или ссылками.
В рамках февральского PatchTuesday Microsoft исправила серьезную уязвимость удаленного выполнения кода в Notepad, которая отслеживается как CVE-2026-20841.
Как отмечено в бюллетене, некорректная нейтрализация специальных элементов, используемых в команде («внедрение команд») в приложении Блокнот Windows позволяет неавторизованному злоумышленнику выполнять код по сети.
Microsoft приписала обнаружение уязвимости Кристиану Папе, Аласдеру Горняку и Чену.
Потенциальный злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке внутри файла Markdown, открытого в Блокноте, что приведет к запуску приложением непроверенных протоколов, которые загружают и выполняют удаленные файлы.
Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же права доступа, что и этому пользователю.
Уязвимость вызвала широкий резонанс в социальных медиа после того, как исследователи выяснили, насколько легко ее использовать.
Все, что нужно было сделать, это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.
При открытии этого файла Markdown в Блокноте Windows 11 версии 11.2510 и более ранних версиях и просмотре в режиме Markdown, приведенный выше текст отобразится как кликабельная ссылка.
При нажатии на ссылку с помощью Ctrl+Click файл будет автоматически запущен без предупреждения со стороны Windows, а что в Microsoft рассматривают как уязвимость удаленного выполнения кода.
Ведь это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных SMB-ресурсах, которые затем будут выполняться без предупреждения.
После исправления уязвимости в Блокноте Windows 11 при нажатии на ссылку отображаются предупреждения, если она не использует протокол http:// или https://. Это также касается таких типов ссылок URI, как file, ms-settings, ms-appinstaller, mailto и ms-search.
Правда непонятно, почему Microsoft просто не заблокировала нестандартные ссылки, оставляя возможность для применения методов социнженерии, чтобы заставить пользователей одобрить соответствующие запросы.
В киберподполье активно продвигается новая коммерческая платформа для слежки за мобильными устройствами ZeroDayRAT, которая позиционируется как инструмент, обеспечивающий полный удаленный контроль над скомпрометированными устройствами Android и iOS.
Вредоносная ПО предоставляет покупателям полнофункциональную панель для управления зараженными устройствами, которая, как сообщается, поддерживает Android с 5 по 16 и iOS до версии 26 включительно.
Препарировали новинку исследователи iVerify, которые полалагют, что ZeroDayRAT не только крадет данные, но и позволяет осуществлять слежку в режиме реального времени и совершать финансовые кражи.
Согласно данным iVerify, панель управления отображает перечень скомпрометированных устройств, а также информацию о модели, версии ОС, состоянии батареи, данных SIM-карты, стране и состоянии блокировки.
Вредоносная ПО может регистрировать использование приложений, хронологию активности, обмен SMS и предоставлять оператору общий обзор.
На других вкладках панели отображаются все полученные уведомления, а также представленные на зараженном устройстве учетные записи, включая адреса электронной почты и идентификатора пользователя, что потенциально открывает возможности для брута и угона аккаунтов.
В случае наличия разрешений на доступ к GPS вредоносная ПО также позволяет отслеживать жертву в режиме реального времени и отображать ее текущее местоположение на Google Maps с полной историей перемещений.
Помимо пассивной регистрации данных ZeroDayRAT также поддерживает активные операции, включая активацию камер (фронтальной и тыловой) и микрофона для получения доступа к видеопотоку в реальном времени, или же запись экрана жертвы для раскрытия других секретов.
Более того, если права доступа к SMS защищены, вредоносная ПО может перехватывать входящие одноразовые пароли (OTP), что позволит обойти 2Fa, а также отправлять SMS с устройства жертвы.
Разработчик вредоносного ПО также включил в программу кейлоггер, способный считывать ввод пользователя, например, пароли, жесты или графические ключи разблокировки экрана.
Помимо этого ZeroDayRAT содержит модуль для кражи криптовалюты, который активирует сканер приложений-кошельков для поиска MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы и балансы кошельков, а также реализует подмену адресов из буфера обмена.
Кроме того, ZeroDayRAT позволяет нацеливаться на банковские приложения, платформы UPI, такие как Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Кража учетных данных происходит путем наложения поддельных экранов.
В iVerify не уточнили конкретные способы распространения вредоносного ПО, но отметили, что ZeroDayRAT поддерживает полноценный набор инструментов для компрометации различных мобильных устройств.
• На хабре есть очень хороший лонгрид по Docker, в котором описаны механизмы контейнеризации + примеры, эксперименты и реализация. Подойдет новичкам, кто хотел погрузиться в данную тему.
• Краткое содержание:
➡Chroot как первый популярный механизм, с помощью которого можно изолировать процесс в контексте файловой системы;
➡Namespaces как механизм, представляющий собой прослойку между желанием процесса получить ресурс и самим ресурсом;
➡Cgroups как ещё один механизм изоляции процессов, но только уже в контексте физических ресурсов системы;
➡OverlayFS как способ экономить место за счёт хитрой работы с файловыми системами контейнеров. Самое главное, поняли почему Docker слоёный пирог :);
➡Стандарт OCI как вещь, на которой держится вся современная контейнерная инфраструктура и утилиту runC, являющуюся эталонной реализацией OCI.
➡ Читать статью [33 min].
#Docker
Исследователи Palo Alto Networks сообщают об обнаружении новой APT, действующей из Азии, которая за последний год взломала сети как минимум 70 правительственных организаций и объектов КИИ в 37 странах.
Причем в период с ноября по декабрь 2025 года группа проводила активную разведку правительственной инфраструктуры более 155 стран.
Среди организаций, которые были взломаны, - пять национальных правоохранительных органов и пограничных служб, три министерства финансов и другие правительственные учреждения и ведомства, связанные с экономикой, торговлей, природными ресурсами и дипслужбой.
Деятельность этой группы отслеживается компанией как TGR-STA-1030. Имеющиеся данные свидетельствуют о том, что она активная как минимум с января 2024 года.
Хотя страна происхождения хакеров остается неясной, предполагается, что они азиатского происхождения, учитывая использование региональных инструментов и сервисов, предпочтения в выборе языка, целевую аудиторию, соответствующую событиям и разведывательным данным, представляющим интерес для региона, а также часы работы по Гринвичу (GMT+8).
Как отмечают в Palo Alto Networks, злоумышленник успешно получил доступ к почтовым серверам жертв и похитил оттуда конфиденциальные данные, которые среди прочего включали финансовую переписку, данные по контрактам, банковские и учетные данные, а также важные оперативные сводки, касающиеся военных операций.
Цепочка заражения начинается с фишингового письма, посредством которого получателей побуждают перейти по ссылке на новозеландский файловый хостинг MEGA, где размещается ZIP-архив с исполняемым файлом Diaoyu Loader, а также файл pic1.png размером в 0 байт.
Вредоносная ПО использует двухступенчатую систему защиты от автоматического анализа в песочнице. Помимо аппаратных требований к горизонтальному разрешению экрана, равному или превышающему 1440, образец выполняет проверку зависимостей среды для конкретного файла (pic1.png) в каталоге выполнения.
Изображение в формате PNG служит для проверки целостности файла, что приводит к завершению работы вредоносной ПО перед началом ее активности в случае, если оно отсутствует в том же месте.
Только после выполнения этого условия вредоносная ПО проверяет наличие определенных защитных решений от Avira (SentryEye.exe), Bitdefender (EPSecurityService.exe), Kaspersky (Avp.exe), Sentinel One (SentinelUI.exe) и Symantec (NortonSecurity.exe). При этом непонятно, почему только эти.
Конечная цель загрузчика - доставка трех изображений (admin-bar-sprite.png, Linux.jpg и Windows.jpg) из репозитория GitHub под названием WordPress, которые служат каналом для развертывания полезной нагрузки Cobalt Strike.
Кроме того, TGR-STA-1030 пыталась использовать различные 0-day, затрагивающие большое количество программных решений Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault и Eyou Email System, чтобы получить первоначальный доступ к целевым сетям. Однако доказательств разработки или задействования каких-либо эксплойтов не получено.
Среди инструментария злоумышленников: C2-фреймворки (Cobalt Strike. VShell, Havoc, Sliver, SparkRAT), веб-оболочки (Behinder, neo-reGeorg, Godzilla), средства тунелирования (GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) и IOX).
Стоит отметить, что использование упомянутых веб-оболочек часто связывают с китайскими хакерскими группами.
Еще один примечательный инструмент - руткит ядра Linux под кодовым названием ShadowGuard, который использует Extended Berkeley Packet Filter (eBPF) для перехвата критически важных системных вызовов с целью скрытия определенных процессов от инструментов анализа, таких как ps, а также для сокрытия каталогов и файлов с именем swsecret.
Группа регулярно арендует и настраивает свои серверы С2 на инфраструктуре, принадлежащей различным легитимным и широко известным провайдерам VPS. Для подключения к С2 арендует дополнительную инфраструктуру VPS, которую использует для ретрансляции трафика.
Технические подробности и IOCs - в отчете.
🪟 Windows Home Server.
• 2007 год! Глава Microsoft Билл Гейтс представляет новинку. Она слишком необычная, чтобы сходу дать ей определение. Это серверная операционная система для домашних пользователей. И первый же вопрос, который возникал у любого потенциального покупателя, — зачем она нужна?
• Тут стоит заострить внимание на время. В 2007 году компьютеры, конечно, уже начинали становиться массовым явлением, но чтобы дома держать серверы… Конечно, такое встречалось, но не часто, в основном у энтузиастов. В целом, у подавляющего большинства пользователей попросту не было столько данных, чтобы выделять под них отдельный сервер. Все хранилось на флешках и внешних жестких дисках.
• Правда, была одна категория пользователей, кому нужно много файлового пространства. В основном это касалось любителей качественной музыки. Если до середины 2000-х оцифровка в популярные lossy-форматы вроде MP3 или WMA была вполне приемлемым решением, то с выходом на арену lossless к ним стали проявлять все больше интереса. Внезапно оказалось, что можно сохранять свою коллекцию музыки во FLAC и наслаждаться таким же качеством, как и при воспроизведении с оригинального носителя. Но это же означало и то, что теперь музыкальные коллекции стали занимать сотни гигабайт, которые нужно было где-то хранить.
• Не отставало и видео. Чем лучше качество, тем больше требовалось пространства на диске. Решение казалось очевидным — технологии хранения массивов данных уже давно прекрасно работали на серверном оборудовании. Но вот как добиться того, чтобы обычный пользователь смог разобраться в настройке? Windows Home Server (WHS) стал решением этой задачи.
• Несмотря на то, что WHS полностью обособленная серверная система, у нее есть отдельный «клиент» под названием Windows Home Server Connector. После того как Connector установлен, в меню появляется отдельный пункт, позволяющий открыть консоль управления сервером. Таким образом можно управлять домашним сервером с любого устройства из локальной сети.
• Еще был Drive Extender - это утилита для обьединения в пулы дисков под Microsoft Windows. Поддерживаются файловые системы NTFS и ReFS, кроме того в пул можно добавлять даже сетевые диски. Диски добавляются "на лету" обязательное форматирование не требуется. Идея проста и гениальна. Обычному пользователю не нужно думать над тем, как грамотно организовать управление физическими дисками. Всю головную боль на себя берет DE, распределяя файлы по накопителям.
• Не менее важной была возможность создавать бэкапы компьютеров и хранить их централизованно. В составе коннектора был агент резервного копирования, который управляется удаленно. Иными словами, можно запустить архив каждого ПК прямо из консоли WHS.
• Еще одной полезной функцией WHS является медиасервер. Три щелчка мышью — и у вас есть готовый сервер потокового вещания, позволяющий без проблем слушать музыку, смотреть видео и фотографии напрямую с сервера. Никаких сложных настроек — все работает «из коробки».
• Если посмотреть на WHS, то идеи, заложенные в нем, значительно опередили свое время. Несмотря на все усилия маркетологов, домашняя серверная ОС была попросту не нужна рядовому потребителю. Стоимость в 100 $ не особенно вдохновляла на покупку, да и профит на тот момент казался сомнительным.
• Вместе с этим на рынке начали появляться NAS-серверы, которые «из коробки» предоставляли удобный интерфейс для быстрого создания дискового хранилища. Ну а распространение широкополосного доступа к интернету и развитие облачных сервисов вроде Dropbox сделали WHS бесполезным для большинства пользователей. Да, объемы данных стали расти, но теперь они не хранились локально, а размещались на удаленных серверах.
• Финал истории был предсказуем. Релиз WHS 2011 состоялся 6 апреля 2011, а спустя всего 5 лет, 12 апреля 2016, поддержка была прекращена. На этом история Windows Home Server подошла к концу.
#Разное
• Нашел бесплатный курс по SQL с множеством объемных уроков, которые включают в себя необходимую теорию, практические занятия в редакторе Mode от полных новичков до продвинутых спецов SQL, включая всю базу (SELECT, WHERE, ORDER BY, LIMIT и логические операторы), а также продвинутые темы (агрегирующие функции, GROUP BY, HAVING, соединение таблиц). В проекте доступен симулятор на реальных данных, A/B тестирование и инсайты продукта.
➡️ https://mode.com/sql-tutorial
#SQL
Исследователи из Лаборатории Касперского сообщают о детектировании активности группировки Stan Ghouls (Bloody Wolf), нацеленной на Узбекистан и Россию с использованием NetSupport RAT.
Группа действует как минимум с 2023 года на российском, киргизском, казахском и узбекском направлениях, фокусирует на финансовых, производственных и IT компаниях, атаки готовит тщательно, адаптируясь под конкретных жертв, включая инфраструктуру, и задействуя семейство специальных вредоносных загрузчиков на Java.
В общей сложности на счету Stan Ghouls в рамках новой наблюдаемой кампании примерно 50 жертв в Узбекистане, 10 - в России, а также еще несколько в Казахстане, Турции, Сербии и Беларуси (вероятно, что заражения в последних трех странах носили случайный характер).
Stan Ghouls использует в качестве первоначального вектора фишинговые электронные письма, содержащие вредоносные PDF-вложения. Это подтверждают и результаты исследований коллег ЛК (1, 2, 3).
Почти все фишинговые письма и файлы-приманки содержат текст на узбекском, что согласуется с их прошлыми атаками, где также применялись языки стран-целей.
Большинство жертв относятся к промышленному производству, сфере финансов и IT.
Кроме того, фиксировались попытки заражений устройств в госорганизациях, логистических компаниях, учебных и медицинских учреждениях.
Примечательно, что более 60 жертв - это довольно много для одной таргетированной кампании, включающей атаки с существенным участием операторов. Это указывает на готовность инвестировать значительные ресурсы в свою деятельность.
Поскольку Stan Ghouls активно атакует финансовые организации, мы полагаем, что основная мотивация этой группы финансовая.
При этом стоит отметить, что злоумышленники используют RAT-ники, что может также указывать на кибершпионаж.
Ранее основным инструментом злоумышленников выступал STRRAT, также известный как Strigoi Master, однако с прошлого года они начали использовать легитимное ПО NetSupport в качестве средства управления зараженной машиной.
Как показали новые наблюдения, Stan Ghouls продолжает использовать прежний набор инструментов, включая легитимную утилиту удаленного управления NetSupport, а также уникальный вредоносный загрузчик, написанный на Java.
Злоумышленники активно обновляют только инфраструктуру.
В частности, для этой вредоносной кампании они использовали два новых домена для размещения своего вредоносного загрузчика и один новый домен для хостинга файлов NetSupport RAT.
Любопытной находкой стали файлы Mirai на одном из доменов, фигурировавших в прошлых кампаниях группы, что может указывать на то, что операторы этой группы начали использовать вредоносное ПО для IoT-систем. Однако достоверно это утверждать пока сложно.
Подробный технический разбор и IOCs - в отчете.
В ЛК также отмечают, что дополнительные индикаторы и правило YARA для детектирования активности Stan Ghouls доступны клиентам сервиса Threat Intelligence.
РОЗЫГРЫШ VICTORINOX SWISS TOOL PLUS + ЗНАНИЯ В ПОДАРОК
В "Инженерном сообществе" проходит розыгрыш мультитула Victorinox SwissTool Plus
Почему стоит зайти и подписаться?
Это площадка “для своих” — инженеров, которые любят свою работу и ценят настоящую компетенцию.
Это не корпоративный блог, не медиа, не реклама — это точка притяжения для профессионалов, где можно увидеть реальную инженерную жизнь: проекты, объекты, шутки, наблюдения, фото “из полей”
Как участвовать в розыгрыше:
1. Подписаться на канал @engineers_com
2. Нажать кнопку «Участвую» в конкурсном посте
Розыгрыш — 23 февраля.
Заходите, подписывайтесь, участвуйте: @engineers_com
Реклама. ООО "УРАЛЭНЕРГОТЕЛ". ИНН 6670171718. erid: 2W5zFH4ruSp
• Нашел на GitHub преднамеренно уязвимое банковское веб-приложение, которое содержит множество дыр в безопасности. Такие проекты помогают получить бесценный опыт ИБ специалистам, пентестерам, DevSecOps и программистам, в части поиска уязвимостей и безопасной разработки. На текущий момент веб-приложение содержит более 40 уязвимостей (на скриншоте выше), которые вам придется найти. Если не справляетесь или недостаточно опыта, то у автора есть подробный гайд по прохождению:
➡️ GitHub;
➡️ cyberpreacher_/hacking-vulnerable-bank-api-extensive-d2a0d3bb209e">Руководство [VPN].
• Кстати, там еще есть уязвимое мобильное приложение. На сколько оно дырявое не указано, да и подробного гайда нет, но если вам интересно, то забирайте по этой ссылке.
#AppSec #ИБ #Web #Пентест
• А вы знали, что Mercedes - это не только автомобили, но еще и пишущие машинки? В 1906 была такая компания Mercedes Büromaschinen GmbH, которую основал Густав Мец в Берлине. Первая печатная машинка под маркой Mercedes была выпущена в 1907 году. Это был механический аппарат, который отличался высокой точностью и надежностью. Машинка получила название Mercedes Typewriter, и она быстро завоевала популярность среди деловых людей и писателей того времени.
• Сразу после открытия предприятия по производству машинок концерн Daimler-Motoren-Gesellschaft (известный производитель автомобилей под торговой маркой Mercedes) подал иск против завода Густова Меца. Автогигант оспаривал право на использование испанского женского имени в качестве наименования продукции. Судебные разбирательства продолжались до 1913 года, пока стороны не достигли соглашения, согласно которому производитель печатных машинок, если решит расширить свой бизнес и начнёт производить транспортные средства, не сможет использовать марку Mercedes для обозначения автомобилей, аналогичные ограничения касались и истца.
• Печатные машинки от Mercedes имели ряд особенностей, которые делали их уникальными и привлекательными для пользователей. Одним из главных преимуществ печатных машинок Mercedes была их безупречная сборка. Эти устройства изготавливались с использованием высококачественных материалов и проходили строгий контроль качества. Это обеспечивало их долгую службу и надежность в эксплуатации. Некоторые модели печатных машинок Mercedes имели уникальные функции, такие как автоматическая подача бумаги, регулировка интервала между строками и возможность смены шрифта.
• Кстати, важным фактором успеха печатных машинок Mercedes была репутация самого бренда. Само имя Mercedes уже тогда ассоциировалось с качеством и престижем, что автоматически повышало доверие к продукции, независимо от сферы применения.
• Настоящий прорыв произошел ближе к 1930-м годам, когда компания выпустила первую электрическую печатную машинку Mercedes Elektrik. Этот аппарат стал настоящим хитом своего времени. Он был оснащен электромотором, который позволял печатать тексты значительно быстрее и удобнее.
• Электрическая печатная машинка Mercedes Elektrik стала символом прогресса и инноваций в мире офисной техники. Она использовалась в крупных корпорациях, государственных учреждениях и даже в армии. Благодаря своему качеству и надежности, эта модель оставалась популярной вплоть до середины XX века.
• Последняя пишущая машинка под брендом Mercedes была выпущена в 1961 году. Сегодня печатные машинки Mercedes являются редкостью и ценятся коллекционерами. Они напоминают о том времени, когда офисная техника была не просто средством работы, но и предметом искусства.
➡ К слову, на Ebay можно найти машинку в хорошем состоянии за 350 баксов: https://www.ebay.com/itm/186490909478
#Разное
Подкатило еще одно совместное исследование от SentinelOne, SentinelLABS и Censys, демонстрирующее масштаб угроз, связанных с внедрением ИИ с открытым исходным кодом.
Согласно результатам, «обширный неуправляемый и общедоступный уровень вычислительной инфраструктуры ИИ» охватывает 175 000 уникальных хостов Ollama в 130 странах.
Исследователи подчеркивают, что эти системы, как облачные, так и частные сети по всему миру, работают вне рамок защитных механизмов и систем мониторинга, которые поставщики платформ внедряют по умолчанию.
Подавляющее большинство уязвимостей сосредоточено в КНР, на его долю приходится чуть более 30%. К странам с наибольшей инфраструктурой относятся США, Германия, Франция, Южная Корея, Индия, Россия, Сингапур, Бразилия и Великобритания.
Почти половина наблюдаемых хостов настроена с возможностями вызова инструментов, позволяющими им выполнять код, получать доступ к API и взаимодействовать с внешними системами, что демонстрирует растущее внедрение LLM в более крупные системные процессы.
Ollama представляет собо фреймворк с открытым исходным кодом, позволяющий пользователям легко загружать, запускать и управлять большими языковыми моделями (LLM) локально в Windows, macOS и Linux.
По умолчанию сервис привязывается к адресу localhost 127.0.0[.]1:11434, но он может оказаться доступным из интернета с помощью простого изменения: настройки на привязку к 0.0.0[.]0 или публичному интерфейсу.
Ollama, как и недавно обозреваемый нами Moltbot (Clawdbot), размещается локально и работает за пределами периметра корпоративной безопасности, создавая таким образом новые вызовы по части безопасности, что, в свою очередь, требует новых подходов для защиты вычислительных ресурсов ИИ.
Среди наблюдаемых хостов более 48% рекламируют возможности вызова инструментов через свои API-интерфейсы, которые при запросе возвращают метаданные, описывающие поддерживаемые ими функции.
Вызов инструментов (или вызов функций) позволяет LLM взаимодействовать с внешними системами, API и базами данных, расширяя их возможности или получая данные в режиме реального времени.
Однако возможности вызова инструментов коренным образом меняют модель угроз. Конечная точка генерации текста может создавать вредоносный контент, а конечная точка с поддержкой инструментов - выполнять привилегированные операции.
В сочетании с недостаточной аутентификацией и уязвимостью сети - это создает, по оценке исследователей, самый высокий уровень риска в экосистеме.
Анализ также выявил хосты, поддерживающие различные режимы работы, выходящие за рамки текста, включая возможности логического мышления и визуального анализа, при этом 201 хост использовал шаблоны подсказок без цензуры и без защитных ограничений.
Открытость подвергает такие системы LLMjacking, когда ресурсы инфраструктуры LLM жертвы используются злоумышленниками в своих интересах, а жертва оплачивает все расходы.
Причем обозначенные риски теперь имею вполне практическую реализацию, если верить результатам упомянутого выше отчета Pillar Security в отношении Operation Bizarre Bazaar.
Уязвимость buffer overflow в ядре Windows 👇
Buffer overflow в kernel-mode — один из самых опасных классов уязвимостей. Их анализ требует понимания архитектуры драйверов, особенностей выполнения кода в ядре и типовых ошибок разработчиков.
📅 На открытом уроке 5 февраля разберём, как выглядят уязвимости buffer overflow в драйверах Windows, какие подходы применяются для их анализа и какие базовые техники используются при эксплуатации в kernel-mode. Отдельно обсудим паттерны, которые помогают находить похожие дефекты при реверсе и аудите кода.
Урок пройдёт будет полезен специалистам по информационной безопасности, реверс-инженерам, вирусным аналитикам и системным программистам Windows.
