68690
SecurityLab — ваш надежный проводник в мире кибербезопасности, технологий и науки. РКН: https://vk.cc/cFXCkO Наши каналы: https://t.me/addlist/G_0tnwZJOrA3MzEy Голосуйте за канал: https://t.me/SecLabNews?boost
📱Librephone: FSF возвращает свободу мобильным устройствам
Фонд свободного программного обеспечения (FSF) объявил о создании проекта Librephone, направленного на достижение полной программной независимости мобильных устройств. Организация, стоящая за движением GNU и идеей открытого кода, намерена устранить последние барьеры, мешающие пользователям телефонов получить тот же уровень свободы, который уже реализован на настольных системах.
Руководителем инициативы стал разработчик Роб Савой, участвовавший в проектах DejaGNU, Gnash и OpenStreetMap. На первом этапе команда займётся аудитом существующих мобильных сборок и выбором модели с минимальным числом проприетарных компонентов. Далее планируется реверс-инжиниринг и замена несвободных элементов открытыми решениями. Приоритет отдан LineageOS, как наиболее близкой к полностью свободной системе.
Librephone финансируется за счёт пожертвований, в том числе от члена совета FSF Джона Гилмора. Работа над проектом будет длительной, подчёркивает FSF, но организация намерена последовательно продвигаться к цели — вернуть пользователям контроль над устройствами, которыми они пользуются каждый день.
#FSF #Librephone #свободноеПО
@SecLabNews
📍📍📍
Разрозненность данных в ИБ создает «эффект слепого часового»: каждый инструмент кричит о своей угрозе, голоса SIEM, DLP и файрволов звучат на разных языках, но общую атаку, никто не видит. В итоге защита всегда на шаг позади, вечно догоняя ускользающую тень противника по осколкам разбитой информации.
Пора положить конец этой погоне. Мы знаем, как объединить голоса всех «часовых» в одну ясную команду.
Представляем SECURITM – инновационная система управления процессами ИБ, Super App, которая объединяет миллионы данных компании и СЗИ в едином окне, экономит деньги и время для компаний, упрощает процесс управления, система созданная трансформировать индустрию.
Почему SECURITM это новый этап в развитии ИБ:
✅ 11 модулей собравших в себя функционал - SGRC, VM, AM, SOAR, BI, управление защитными мерами, Service Desk - обеспечивают полную адаптивность под ваши задачи
✅ AI-ассистент для оценки уязвимостей – экономит время на принятие решений
✅ Более 30 готовых интеграций с внутренними решениями и СЗИ компании – объединит все данные в одном окне
✅ База из более чем 200 стандартов и нормативных документов с автоматической корреляции требований и устранением дублей – сокращает время на проведение аудита минимум в 3 раза
✅ Более 4000 профессионалов объеденных в Community, повышают свою экспертизу, через совместную работу по защите своих инфраструктур.
Хотите увидеть, как система работает изнутри?
Мы детально разберем возможности SECURITM 23 октября в 11.00.
➡️ Регистрируйся
Открой для себя окно возможностей – систему SECURITM.
😅Инженер Минэнерго США лишился допуска из-за нейропорно
В США сотрудник Министерства энергетики, работавший в программах, связанных с ядерным арсеналом, лишился допуска к секретной информации после того, как загрузил на служебный компьютер 187 000 порнографических изображений, включая созданные нейросетью сцены с участием роботов.
Согласно отчёту, мужчина на протяжении десятилетий собирал этот архив — начиная с конца 1990-х годов. Весной 2023 года он решил сделать резервную копию коллекции и использовать часть изображений как обучающий материал для генеративной модели. Но по ошибке сохранил файлы не на личный носитель, а в сетевое хранилище ведомства. Проверка выявила архив лишь спустя полгода.
На слушаниях он признал нарушение, но заявил, что не видел в этом угрозы безопасности и пожаловался на «инквизиционные методы» проверки. Минэнерго отказало в восстановлении допуска, сославшись на риск повторных эпизодов депрессии.
#США #Минэнерго #ИИ
@SecLabNews
«Инфосистемы Джет» выяснила, что 60% компаний не готовы рассказывать о киберинцидентах
Компания опубликовала результаты исследования по киберустойчивости.
Эксперты обнаружили, что более половины компаний возлагают ответственность за непрерывность бизнеса на ИТ-департамент, а реагирование на крупные инциденты происходит по ситуации, при этом лишь 40% компаний готовы публично о них рассказывать.
⏩ Собрали главное в карточках, а полную версию исследования можно найти здесь.
🧟Pixnapping: атака, которая «смотрит» в экран Android
Pixnapping — новый тип атаки на Android, который позволяет похищать пиксели с экрана и восстанавливать конфиденциальные данные из любых приложений. В отличие от старых браузерных методов, эта схема полностью обходит современные механизмы защиты и атакует даже офлайн-программы, не связанные с интернетом.
Атака работает через многоуровневое наложение полупрозрачных интерфейсов поверх целевого приложения. Вредоносный код измеряет время отрисовки и использует побочные эффекты GPU-сжатия для восстановления цвета каждого пикселя, что даёт доступ к содержимому защищённых программ вроде Signal и Google Authenticator.
Эксперименты на Google Pixel и Samsung Galaxy показали точность восстановления от 86 до 96% со скоростью до двух пикселей в секунду. Исследователи смогли извлекать информацию из Gmail, Google Maps, Venmo и мессенджеров, а из Google Authenticator перехватывали шестизначные коды 2FA меньше чем за 30 секунд — причём атака не требует разрешений и проходит невидимо для пользователя.
#Android #Pixnapping #Кибербезопасность #Уязвимость
@SecLabNews
Эльман Бейбутов, директор по развитию бизнеса UserGate выделил основные тренды, которые направляют системную трансформацию российского рынка информационной безопасности. В их числе:
▪️Сдвиг в сторону отечественных решений: курс на цифровую устойчивость стимулировал интерес к российским ИБ-продуктам.
▪️Ускоренное развитие технологий: вендоры активно масштабируют команды.
▪️Спрос на NGFW и WAF: современные межсетевые экраны — в фокусе ИБ-стратегий.
▪️Переход к экосистемному подходу: без единой архитектуры невозможна устойчивость.
▪️Рост требований к скорости реагирования: заказчики ждут минимального времени между атакой и ответом.
Подробнее — в новости на сайте.
@SecLabnews
🤗 Chrome автоматически отключит уведомления от сайтов, которые вы забросили
Google внедряет в Chrome функцию автоматического отзыва разрешений на уведомления от давно не посещаемых сайтов. Нововведение коснётся как десктопной версии браузера, так и мобильного приложения на Android.
Внутренние исследования показали, что большинство уведомлений от забытых сайтов просто игнорируется пользователями. Система будет блокировать только те ресурсы, которые шлют много сообщений при минимальной обратной связи со стороны юзера.
Функция станет продолжением курса Google на повышение конфиденциальности и снижение цифровой нагрузки. Ранее компания уже ввела временные разрешения для геолокации и камеры, а также перевела процесс Chrome в режим без привилегий администратора.
#GoogleChrome #Безопасность #Приватность #Уведомления
@SecLabNews
⭐️В России запустили национальную премию «Киберпризнание»
В России стартовал приём заявок на национальную премию в области кибербезопасности «Киберпризнание». Её организовали проект «Кибердом» и фонд развития результативной кибербезопасности «Сайберус». Премия направлена на фиксацию достижений компаний и специалистов, работающих в сфере информационной безопасности.
Подать заявку можно до 10 ноября. Участвовать могут организации, реализовавшие проекты по ИБ с октября 2024 по октябрь 2025 года, включая IT-интеграторов и дистрибьюторов. Победителей определит экспертный совет, куда вошли руководители направлений и представители крупнейших игроков отрасли.
Церемония награждения состоится 4 декабря в «Кибердоме». Лауреаты получат диплом, статуэтку и цифровой знак премии. Ожидается участие более 350 представителей компаний и профессионального сообщества.
#Киберпризнание #премия #кибербезопасность
@SecLabNews
☹️Из аэропорта Бангкока прямо в рабство: как россиян заманивают в колл-центры-тюрьмы
Российское посольство в Таиланде предупредило о новой схеме трудового обмана. Мошенники из Мьянмы, действующие у границы с Таиландом, заманивают россиян обещаниями работы моделей и рекламных агентов.
По данным дипломатов, русскоязычные «рекрутеры» ищут жертв в Telegram-каналах о работе в Азии. После прибытия в Бангкок людей вывозят в Месай и нелегально переправляют через реку Мэй в Мьянму, где они оказываются в колл-центрах.
У жертв сразу отбирают телефоны, и многие даже не понимают, что находятся уже не в Таиланде. В 2025 году по российской инициативе были освобождены четверо таких граждан.
#мошенничество #Мьянма #работа
@SecLabNews
Ваша компания — лакомый кусочек для хакеров. И вот почему.
Согласно исследованию Positive Technologies, на Россию приходится 14-16% всех успешных кибератак в мире. Прогноз на ближайшие годы неутешительный: количество атак будет расти, а их тактики — усложняться.
Основные причины — ускоренная цифровизация, импортозамещение и геополитика. Многие компании переходят на новое ПО, не уделяя должного внимания оценке рисков. А злоумышленники активно используют уязвимости и новые технологии, включая ИИ, для создания более убедительных фишинговых атак.
Эксперты предупреждают, что пора забыть о простых мерах защиты. Единственный выход — быть готовым к атаке заранее и не бояться вкладываться в безопасность.
#IT #кибербезопасность #хакеры @SecLabNews
Эффективное управление уязвимостями: интеграция ScanFactory VM и RedCheck
На вебинаре 16 октября эксперты расскажут, как интеграция ScanFactory VM и RedCheck делает управление уязвимостями удобнее и эффективнее для компаний.
Вы узнаете, как:
▪️видеть реальную картину защищенности в одном окне;
▪️закрыть требования регулятора благодаря использованию сертифицированного ФСТЭК продукта;
▪️ускорить устранение проблем за счет автоматизации и искусственного интеллекта;
▪️работать с акцентом на реальные риски, а не «уязвимости ради уязвимостей».
📅 Дата: 16 октября
⏰ Время: 11:00–12:30 (мск)
Спикеры:
▪️Владимир Иванов, основатель ScanFactory
▪️Дмитрий Черняков, директор по развитию продуктов АЛТЭКС-СОФТ
Зарегистрироваться.
«Интернет больше не свободен». Дуров о контроле, приватности и времени, которого нет
Основатель Telegram решил отметить 41-летие нетипично — мрачным прогнозом для всего онлайна. Павел Дуров прямо заявляет, что эпоха свободного обмена информацией подходит к концу, уступая место инструментам государственного контроля. И времени на исправление ситуации почти не осталось.
В качестве симптомов болезни он приводит свежие примеры: от «паспортного режима» для входа на сайты для взрослых в UK до тотальной слежки за переписками в ЕС (тот самый Chat Control). Даже позиция Германии, которая пока отбивается от сканирования чатов, выглядит как временная передышка перед неизбежным.
На фоне продолжающегося расследования во Франции, где Дурову пришлось внести залог, его заявление звучит особенно весомо. Это не просто философские размышления, а крик человека, который видит, как закручиваются гайки, и призывает всех очнуться.
#Дуров, #Telegram, #приватность @SecLabNews
❤️ Автоматизация ФЗ-152: меньше рутины, больше контроля
🗓 16 октября | 11:00 (МСК)
Соблюдение ФЗ-152 — это ответственность, где ошибки грозят штрафами. Мы покажем, как превратить его исполнение из сложной задачи в простой процесс.
Узнайте на вебинаре, как решение Security Vision помогает:
✅Автоматизировать рутину и ускорить подготовку документов.
✅Снизить риски штрафов и претензий регулятора.
✅Построить прозрачную систему управления персональными данными.
✅Получать готовые документы (модель угроз, техпаспорт и др.) одним кликом.
✅Централизовать учет ИСПДн и видеть всю картину онлайн.
Сделайте выполнение ФЗ-152 простым, быстрым и надежным.
📎 Присоединяйтесь к вебинару!
🤖 Казахстан ввёл в Совет директоров первого цифрового члена — нейросеть SKAI
На форуме Digital Bridge в Астане Фонд «Самрук-Казына» представил Президенту Касым-Жомарту Токаеву нейросеть SKAI (Samruk-Kazyna Artificial Intelligence) — первого в регионе цифрового независимого члена Совета директоров с правом голоса. Разработка создана для повышения прозрачности и качества корпоративного управления.
Система анализирует решения Совета директоров и нормативные документы с 2008 года, помогая принимать более обоснованные решения. Она работает в закрытом контуре на суперкомпьютере Al Farabium «Казахтелекома» и использует казахстанскую языковую модель Alem LLM.
По словам главы Фонда Нурлана Жакупова, это «качественный скачок» в управлении, где человек и ИИ впервые голосуют вместе. Уже на ближайшем заседании Совета директоров SKAI примет участие в голосовании.
@SciTechQuantumAI
🛡60% компании недовольны внедренными IT-инструментами
По данным исследований самая главная причина недовольства — большие сроки внедрения и значительные затраты на доработку уже используемых решений. Также барьером становится сложное обучение пользователей по работе с решением.
Эксперты Контур.Эгиды считают, что главная проблема не в технологиях, а в подготовке к внедрению. Рассказываем в статье о том, как организовать процесс на стороне заказчика, чтобы внедрение прошло гладко и принесло реальную пользу.
16+. Реклама. АО «ПФ «СКБ Контур», ОГРН 1026605606620. 620144, Екатеринбург, ул. Народной Воли, 19А. ERID:2SDnjckG34j
🫨48 часов на уязвимость: как Китай превратил поиск багов в инструмент госбезопасности
За два десятилетия Китай превратил поиск уязвимостей из хаотичного сообщества энтузиастов в централизованную систему, тесно связанную с госструктурами. С начала 2000-х сцена прошла путь от обмена эксплойтами на форумах до корпоративных платформ и исследовательских центров при IT-гигантах. Сегодня уязвимости стали частью национальной стратегии кибербезопасности.
После побед китайских команд на международных конкурсах власти ввели строгий контроль: участие за рубежом — только с разрешения, найденные дефекты нужно сообщать в государственные органы. С 2021 года действует регламент MIIT, обязывающий передавать сведения о новых уязвимостях в течение 48 часов. Взамен государство предлагает вознаграждения и карьерные бонусы через CNNVD.
Теперь система охватывает колледжи, корпорации и подрядчиков, связанных с силовыми ведомствами. Конкурсы вроде Matrix Cup стали внутренними, без публикации эксплойтов. Китайская модель объединила научную, коммерческую и разведывательную мотивацию, превратив киберисследования в инструмент национальной мощи.
#Китай #Кибербезопасность #Уязвимости
@SecLabNews
🚨 F5 подтвердила инцидент: скомпрометирована среда разработки BIG-IP
Компания F5 столкнулась с продолжительной атакой высококвалифицированной группы государственных хакеров, которые получили доступ к ее внутренним системам, включая среду разработки BIG-IP и инженерные базы знаний. Активность, действовавшая скрытно, была обнаружена лишь в августе 2025 года. F5 немедленно изолировала скомпрометированные сегменты и привлекла для расследования ведущих экспертов, включая CrowdStrike и Mandiant. Признаков повторного проникновения не выявлено.
Расследование показало, что хакеры скачали фрагменты исходного кода BIG-IP и информацию о разрабатываемых уязвимостях. F5 подчеркивает: критических, удаленно эксплуатируемых дефектов среди этих данных нет, а вмешательства в цепочку поставок (сборочные конвейеры) не обнаружено. NCC Group и IOActive провели независимую верификацию. Важно: доступа к пользовательским данным (CRM, iHealth) не зафиксировано, но небольшую долю клиентов с утечкой конфигураций F5 уведомит напрямую.
В ответ F5 начала масштабное усиление защиты, внедрив новые уровни мониторинга и ужесточив сегментацию. Компания выпустила внеочередные обновления для целого ряда продуктов (BIG-IP, F5OS, BIG-IQ) и настоятельно рекомендует их установить.
#F5Взлом #BIGIP #Кибербезопасность
@SecLabNews
😎160 стран, 10 лет, миллионы точек — и ни один человек не знал, что его телефон стал маяком
Международное расследование Lighthouse Reports и 13 медиапартнёров из Европы, Африки и Азии раскрыло глобальную систему наблюдения, действовавшую более десяти лет и охватившую 160 стран.
В её центре — австрийская компания First Wap и инструмент Altamides, способный в реальном времени отслеживать человека по номеру телефона.
В утекшей базе оказались 1,5 млн записей слежки за 14 000 номеров — от политиков и бизнесменов до обычных граждан. Среди фигур — бывший премьер Катара, Асма Асад, основатель Blackwater Эрик Принс и соосновательница 23andMe Энн Войцки.
Altamides использовали не только спецслужбы, но и частные посредники, включая британскую KCS Group. Журналисты зафиксировали продажи систем слежки по всему миру — от Марокко до Индонезии.
#слежка #Altamides #LighthouseReports
@SecLabNews
🤖ЕС едва не узаконил массовую прослушку чатов
Telegram разослал сообщение пользователям во Франции, предупредив о попытке ЕС узаконить массовое сканирование личных чатов. По словам Павла Дурова, проект закона фактически превращал бы каждый телефон в «шпионский инструмент».
Инициативу поддержали французские политики — бывший и нынешний министры внутренних дел Бруно Ретайо и Лоран Нуньес, а также партии «Ренессанс» и республиканцы. Закон освобождал бы чиновников и полицию от проверки.
Голосование в Совете ЕС сорвалось в последний момент благодаря внезапной позиции Германии, которая, по словам Дурова, спасла право на конфиденциальность. Однако он подчеркнул, что свободы всё ещё под угрозой.
#конфиденциальность #Telegram #ЕС
@SecLabNews
🕳 Китай окончательно порвал с Word
Министерство коммерции КНР впервые опубликовало официальные документы в формате, который невозможно открыть с помощью Microsoft Word. Теперь все материалы доступны только в WPS Office — офисном пакете китайской компании Kingsoft. Этот шаг стал символом курса Пекина на технологическую независимость и цифровой суверенитет.
Переход совпал с новым витком напряжённости между Китаем и США. На прошлой неделе Пекин объявил о расширении экспортного контроля на редкоземельные элементы — ключевые материалы для электроники и вооружений. В ответ Дональд Трамп пригрозил ограничить экспорт «всех критически важных программных решений» из США.
Фактически китайские ведомства теперь полностью перешли на национальный софт — даже на уровне обмена документами. Аналитики отмечают, что это не просто формальность, а чёткий сигнал: технологическая война охватывает всё новые сферы, включая саму инфраструктуру государственного документооборота.
#Китай #ТехнологическийСуверенитет #WPSOffice
@SecLabnews
🏦Сбер и полиция нашли способ вернуть похищенные деньги без суда
Сбер тестирует новый способ вернуть украденные деньги — не через суд, а через профилактические встречи с дропперами. Совместно с полицией банк выявляет получателей средств, объясняет им последствия и помогает вернуть деньги пострадавшим.
По словам Станислава Кузнецова, 80% дропперов даже не подозревали о своей роли. После беседы они подписывают заявление, и деньги возвращаются владельцам. С начала 2025 года таким образом возмещено более 2,4 млрд рублей.
ВТБ использует похожий подход: с 2023 года клиенты добровольно вернули более 500 млн рублей. Банк отмечает, что это не следственные действия, а форма взаимодействия, позволяющая быстрее восстановить справедливость.
#финансы #кибербезопасность #Сбербанк
@SecLabNews
📱Microsoft Edge убрал ключевые способы активации Internet Explorer Mode из-за атак
Microsoft изменила работу Internet Explorer Mode в Edge после подтверждённых атак, в ходе которых злоумышленники использовали уязвимости старого движка Chakra. Через поддельные сайты они заставляли пользователей перезапустить страницу в IE Mode и получали удалённый доступ к системе, обходя все защитные механизмы браузера.
Чтобы исключить подобные атаки, Microsoft убрала быстрые способы активации режима — кнопку на панели, пункт в меню и контекстные команды. Теперь IE Mode можно включить только вручную через настройки для конкретного сайта или централизованно — в корпоративных политиках.
Компания напомнила, что Internet Explorer официально прекращён в 2022 году, а его архитектура не отвечает современным требованиям безопасности. Пользователям советуют перейти на современные технологии, чтобы не оставлять в инфраструктуре «дыры из прошлого».
#Microsoft #Edge #IE #Chakra #безопасность
@SecLabNews
👨🔬Из баскетбольного зала в парижскую тюрьму: дело о Conti
В апелляционном суде Парижа 9 октября прошло заседание по делу российского баскетболиста Д.К., которого США обвиняют в причастности к хакерской группировке Conti в роли переговорщика по выкупу. Спортсмен был арестован во Франции 23 июня по запросу об экстрадиции. Защита, указывая на нарушение сроков перевода материалов дела, требовала немедленного освобождения.
Однако суд отклонил ходатайство адвоката Фредерика Бело. Судьи постановили, что досье считается полным, а отсутствие перевода всех документов не является основанием для автоматического освобождения. Таким образом, первая попытка добиться выхода Д.К. на свободу провалилась.
В ходе слушаний были озвучены детали дела: фигурируют скриншот требования выкупа, якобы связанный с обвиняемым, и упоминание IP-адреса VPN-сервиса, который защита считает недостоверным доказательством. Решение по существу запроса об экстрадиции будет оглашено 29 октября.
#Conti #экстрадиция #киберпреступность
@SecLabNews
🆕 Еженедельный обзор киберновостей
Нобелевский комитет вручил премии за квантовое туннелирование и разгадку механизмов иммунитета, Microsoft объявила о переходе на собственные чипы для ИИ, а хакеры вспомнили о старых уязвимостях, которые до сих пор работают. Критические дыры в 7-Zip, Redis и OpenSSH напомнили о важности своевременного обновления ПО — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.
🌎 В мире
Microsoft уходит от AMD и Nvidia — техдиректор подтвердил переход Redmond на собственные чипы второго поколения для ИИ и инфраструктуры Azure.
OpenAI превращает ChatGPT в платформу с сотнями приложений — от доставки еды до бронирования путешествий, готовясь стать новой операционной системой.
Павел Дуров заявил, что интернет свободы превращается в инструмент контроля — критикуя инициативы властей ЕС, Великобритании и Австралии.
Пожар в дата-центре парализовал самую технологичную страну мира — 858 ТБ документов, 647 госсервисов и одна смерть показали риски централизации критической инфраструктуры.
Нобелевскую премию по физике присудили за открытие макроскопического квантового туннелирования — американские ученые Джон Кларк, Мишель Деворе и Джон Мартинис получили высшую награду.
🇷🇺 В России
Россия— цель №1 для хакеров — Positive Technologies выяснила, что на страну приходится до 72% всех кибератак в СНГ.
Роскосмос и Геоскан протестировали высокоскоростную связь на малых спутниках — скорость передачи данных в S-диапазоне достигла 1 Мбит/с.
Российские операторы начали отключать мобильный интернет иностранным SIM-картам — МТС предупредила о временной блокировке данных и SMS на 24 часа.
Петербургский сисадмин получил 21 год за администрирование серверов даркнет-площадки — совместные усилия остановили транснациональную угрозу наркоторговли.
Каждый шестой сайт в опасности из-за уязвимости в 1С-Битрикс — критическая дыра BDU-2023-05857, найденная ещё в 2023 году, до сих пор не устранена на 150 тысячах ресурсов.
ℹ️Под прицелом хакеров
Срочно обновите 7-Zip! — две критические уязвимости открывают хакерам прямой путь к вашей системе, исследователи молчали три месяца.
Redis 13 лет скрывал уязвимость с удалённым выполнением кода — сотни тысяч серверов баз данных оказались беззащитными перед атаками.
Символ "\n" в OpenSSH даёт полный контроль — особенность генерации ProxyCommand превратила популярный инструмент в цель для RCE-атак.
Открыли Pull Request на GitHub — передали хакеру доступ к секретам — новая атака позволяет украсть код, не оставив следов и даже не запуская программ.
Взлом без пароля за секунды — критическая уязвимость WordPress-плагина — хакеры нанесли уже свыше 13 000 ударов, угрожая тысячам сайтов.
📚 Аналитика и гайды
Октябрьский обзор трендовых уязвимостей — Cisco и Linux под угрозой: разбираем самые критические дыры месяца.
Математический потолок — почему студенты элитных вузов никогда не узнают о пределах своего интеллекта, пока не столкнутся с высшей математикой.
Как узнать, попали ли ваши данные в утечку, и что делать дальше — практическое руководство по проверке и защите личной информации.
Как подготовиться к внедрению решения инфобезопасности — чек-лист для компаний, планирующих усилить защиту.
Разработчики обсудили феномен вайб-кодинга и способы измерения скрытого долга промптов при ускоренной разработке продуктов на базе искусственного интеллекта.
Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.
AGI: утопия или антиутопия? Разбираем два сценария будущего.
Сторонники AGI рисуют нам рай на Земле. ИИ победит рак, решит климатический кризис и подарит всем «универсальный высокий доход». У каждого будет личный робот-дворецкий, лучшая медицина и бесконечное изобилие.
Обратная сторона медали куда мрачнее. Что, если такая система попадёт не в те руки? Или, что ещё хуже, сама решит, что с человечеством пора кончать? Тим Бернерс-Ли, создатель веба, прямо говорит: если машина умнее нас, её нужно уметь жёстко контролировать.
Так куда качнётся маятник? В сторону вечного процветания или техногенного рабства? От ответа на этот вопрос зависит, какие защитные барьеры мы выстроим прямо сейчас, пока технология ещё в наших руках.
#ИИ, #AGI, #технологии @SecLabNews
👀Китай объявляет войну пессимизму в Сети: новая кампания «очистки» соцсетей
Китайские власти запустили беспрецедентную двухмесячную кампанию по «очистке» киберпространства, нацеленную не только на политическую критику, но и на любые проявления общественного пессимизма. Под прицел Управления по киберпространству Китая (CAC) попал контент, который «провоцирует чрезмерно пессимистические настроения» или продвигает идеи о бессмысленности труда. Государственное телевидение заявило, что интернет «не свалка для негатива».
В рамках кампании уже заблокированы тысячи аккаунтов популярных блогеров, включая тех, кто пропагандировал стиль жизни «лежать и не напрягаться» (tangping), или критиковал социальное неравенство. Регулятор наказывает за «злонамеренную интерпретацию» новостей для создания впечатления системных проблем. Weibo отчитался о блокировке более 1200 аккаунтов за распространение слухов об экономике.
Эксперты отмечают, что, хотя официальная цель — «укрепление общественного оптимизма», инициатива имеет явный политический подтекст. Власти опасаются, что растущее на фоне экономической неопределённости недовольство может перерасти в открытую критику партии. Борьба с «эмоциональными хищниками» — это, по сути, попытка государства контролировать коллективное настроение.
#Китай #ЦензураНастроения #ЗапретНаПессимизм
@SecLabNews
😱 Уязвимость в ИИ-интеграции Figma позволяла удалённо выполнять команды
Популярный инструмент для работы с макетами, Figma, оказался под угрозой из-за серьезной уязвимости (CVE-2025-53967), связанной с сервером Model Context Protocol (MCP), который лежит в основе интеграции с ИИ-агентами. Проблема, обнаруженная летом 2025 года специалистами из Imperva, заключалась в небезопасной обработке входящих данных компонентом figma-developer-mcp. На момент выявления ошибка позволяла злоумышленникам добиваться удаленного выполнения команд (RCE) на стороне сервера с оценкой опасности 7,5 балла по CVSS.
Суть RCE-уязвимости крылась в некорректном формировании shell-команд: параметры, полученные от клиента, напрямую подставлялись в вызов curl через child_process.exec без должной фильтрации. Это открывало возможность для инъекции метасимволов оболочки (например, |, &&), позволяя атакующему подменить логику выполнения и исполнить произвольную команду с правами серверного процесса. Атака могла быть реализована как в рамках локальной сети, так и с использованием техник вроде DNS Rebinding, потенциально затрагивая проекты и личные данные разработчиков.
Проблема уже устранена в версии Figma 0.6.3, выпущенной 29 сентября 2025 года. Разработчикам рекомендовано обновить свои версии и отказаться от использования child_process.exec при работе с внешним вводом, перейдя на более безопасный execFile.
#Figma #уязвимость #кибербезопасность #MCP
@SecLabNews
🚔13,6 млн штрафа и 21 год колонии: Осужден IT-специалист, обслуживавший крупнейший даркнет-маркетплейс
Дзержинский районный суд Ярославля вынес обвинительный приговор 37-летнему жителю Санкт-Петербурга по делу об участии в преступном сообществе и сбыте наркотиков. Мужчина, предположительно Борис Губко, признан виновным в техническом обеспечении работы крупной даркнет-площадки. Он занимался системным администрированием серверов, поддерживая функционирование скрытого онлайн-ресурса, через который 10 лет велась масштабная торговля запрещёнными веществами в шести регионах России.
Платформа, связанная с ликвидированным в 2022 году маркетплейсом «Г***», имела колоссальные масштабы: до 17 миллионов пользователей и 19 тысяч продавцов. Ее деятельность была пресечена в результате международной операции спецслужб США и Германии.
По совокупности обвинений суд назначил петербуржцу наказание в виде 21 года лишения свободы в колонии строгого режима, а также наложил штраф в размере более 13,6 миллиона рублей. Приговор пока не вступил в силу. Это продолжение громкого дела, по которому организатор уже получил пожизненный срок, а другой администратор — 6 лет.
#Приговор #Даркнет #ITПреступления
@SecLabNews
⚔️Кибер-реальность: 79% атак — политика, а ИИ уже у хакеров
Европейское агентство по кибербезопасности ENISA опубликовало отчёт Threat Landscape 2025, и его выводы тревожны: кибератаки не просто множатся, а переходят на новый, более сложный уровень. Основными целями остаются критически важные отрасли и государственные структуры, но активность политически мотивированных групп и хактивистов достигла исторического максимума. В фокусе — органы власти, транспорт, финансы и промышленность.
Согласно данным отчёта, более 38% инцидентов пришлись на сферу госуправления, где наиболее разрушительными для муниципальных систем стали вирусы-вымогатели. Второе место (7,5%) занял транспорт, при этом ENISA особо выделяет растущий интерес связанных с госразведками группировок к морской инфраструктуре. Главным инструментом начального проникновения остаётся фишинг (~60% случаев), включающий vishing и malspam.
Отдельного внимания заслуживает изменение тактики: атакующие массово внедряют ИИ для автоматизации, ускорения разведки и создания сложных фишинговых сценариев. Хотя число инцидентов с вымогательским ПО снизилось, оно всё ещё остаётся самой разрушительной угрозой (Akira, SafePay). Политически мотивированные кампании доминируют (79,4%), а симбиоз киберпреступности и госструктур делает ландшафт угроз беспрецедентно сложным.
#ENISA #Кибербезопасность #Киберугрозы
@SecLabNews
🛡CodeMender от DeepMind: ИИ-агент, который сам чинит уязвимости в коде
Google DeepMind представила CodeMender — новый ИИ-агент, предназначенный для автоматического поиска и исправления уязвимостей в программном коде. Система использует мощь Gemini Deep Think (LLM) в сочетании с набором инструментов для статического и динамического анализа, что позволяет ей устранять ошибки гораздо быстрее и точнее, чем традиционный ручной труд.
CodeMender не просто реагирует на известные проблемы, но и проактивно переписывает код, устраняя целые классы уязвимостей. Агент способен сам убедиться, что исправление устраняет первопричину, не вызывая при этом регрессий. За полгода команда DeepMind передала в открытые проекты 72 патча безопасности для библиотек объёмом свыше 4,5 млн строк кода.
В одном из случаев CodeMender автоматически добавил аннотации для предотвращения переполнений буфера в библиотеке libwebp, где ранее была найдена критическая уязвимость, использовавшаяся в эксплойте NSO Group. Все изменения пока проходят обязательную ручную проверку, но цель — сделать инструмент доступным для всех разработчиков.
#CodeMender #GoogleDeepMind #Кибербезопасность
@SecLabNews