Безусловно, мне очень жаль потраченных сил на развитие Телеграм-канала

1 комментарий

Безусловно, мне очень жаль потраченных сил на развитие Телеграм-канала

Безусловно, мне очень жаль потраченных сил на развитие Телеграм-канала. Только-только за 10к перемахнули! 😩 И досадно от отсутствия вменяемых альтернатив. Приватные каналы Макса без доступа к API - это пока ни о чём. Надеюсь, что достойные альтернативы появятся, и можно будет снова начать собирать аудиторию с нуля. 🙏😅

1️⃣ Я собираюсь оставаться на Telegram, пока пользоваться им не будет прямо запрещено.

2️⃣ Но в качестве приоритетной площадки я буду развивать свой сайт avleonov.ru, на котором доступны все мои ТГ-посты с 2022 года. 😇 Форматирование, поиск, хештеги, перекрёстные ссылки и даже немного категорий - всё работает. Если пользуетесь RSS-читалками - подпишитесь. 😉

Любые социальные платформы дают доступ к своей аудитории и весьма ограниченной функциональности в обмен на контент, жёстко привязывая авторов к себе. А потом с платформой что-то случается, и начинай сначала. 🤷‍♂️🤦‍♂️ В этом отношении свой standalone-чик гораздо интереснее. 😉

По поводу замедления Telegram в России

Добавить комментарий

По поводу замедления Telegram в России

По поводу замедления Telegram в России. Я ещё в середине 2024 года обращал внимание, что это "вжж" со штрафами неспроста, и в эту сторону всё идёт. Если не договорятся. А шансы договориться были невысоки. Особенно после того, как Дурова задержали во Франции, а затем отпустили. Явно, что не просто так, а под определённые гарантии. 😉

Блочить телегу в регионах начали ещё в марте прошлого года. Тогда это было очень похоже на обкатку технологии. Чем, вероятно, и было.

Что будет дальше? После безобразного намёка Дурова, что телегу будут использовать для раскачки ситуации в стране "как в Иране" практически гарантировано, что мессенджер скоро перестанет быть массово доступным в России. Не замедлится, как сейчас, а вообще. Будет доступен ровно как X или YouTube. То есть те, кому ОЧЕНЬ нужно, продолжат им пользоваться, прикладывая для этого всё возрастающие усилия. Но своё значение платформы для широковещательной коммуникации с российской аудиторией Telegram утратит. 🤷‍♂️ C’est la vie.

Февральский "В тренде VM": уязвимости в продуктах Microsoft

Добавить комментарий

Февральский В тренде VM: уязвимости в продуктах Microsoft

Февральский "В тренде VM": уязвимости в продуктах Microsoft. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз компактная и моновендорная.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего две уязвимости:

🔻 RCE - Microsoft Office (CVE-2026-21509)
🔻 InfDisc - Desktop Window Manager (CVE-2026-20805)

🟥 Портал трендовых уязвимостей

Как определяется успех Анализа Защищённости (АЗ) согласно методике ФСТЭК от 25.11.2025?

Добавить комментарий

Как определяется успех Анализа Защищённости (АЗ) согласно методике ФСТЭК от 25.11.2025?

Как определяется успех Анализа Защищённости (АЗ) согласно методике ФСТЭК от 25.11.2025? Читаем раздел 3.4.

🔹 НЕ выявили уязвимости (3.4.2) - успех. 👍

🔹 Выявили уязвимости критического и высокого уровня (3.4.4), а также уязвимости среднего и низкого уровня, "которые по результатам экспертной оценки могут быть использованы потенциальным нарушителем для реализации угроз безопасности информации (векторов атак)" (3.4.5) - их нужно устранить "в ходе проведения анализа уязвимостей". ⚡️ Оценка критичности уязвимостей производится по методике ФСТЭК. Устранили - успех. 👍 Не устранили - "отрицательное заключение". 👎

Т.е здесь речь об одноразовом "подпрыгивании" для устранения конкретных уязвимостей, без привязки к VM-процессу в организации? 🤔

Фактически да. 🤷‍♂️

Однако и требований, однозначно препятствующих устранению выявленных с помощью АЗ уязвимостей в рамках VM-процесса, здесь нет. Всё реализуемо. 😉 Вопрос лишь в определении приоритетов и сроков устранения.

Подумалось, что это очень VM-ная тема, когда руководству трудно и даже невозможно представить себе на чём держится инфраструктура организации

Добавить комментарий

Подумалось, что это очень VM-ная тема, когда руководству трудно и даже невозможно представить себе на чём держится инфраструктура организации

Подумалось, что это очень VM-ная тема, когда руководству трудно и даже невозможно представить себе на чём держится инфраструктура организации. Схема проста:

🔹 Предоставленные сами себе подразделения организации решают стоящие перед ними задачи наиболее простым, быстрым и привычным образом. В идеале бесплатным! 😊 Что Вася для дома для семьи когда-то использовал, то и идёт в дело. Требования и политики организации (если они вообще есть) игнорируются. 👌 Что не контролируется, то и не выполняется. 😏 В результате откровенно чудовищные, неподдерживаемые и уязвимые решения внедряются и становятся фактическим стандартом организации. 🤷‍♂️ "А чё такова? Исторически сложилось! Зато работает! Это ж прямщаз для ДЕЛА нужно!"

🔹 В результате руководство, не контролирующее реальное положение дел (и не стремящееся к этому 🙄), принимает управленческие решения, которые, по идее, никак не должны зааффектить критические процессы в организации…

Но оказывается, что они аффектят и ещё как! 😱😉

Февральский Microsoft Patch Tuesday

Добавить комментарий

Февральский Microsoft Patch Tuesday

Февральский Microsoft Patch Tuesday. Всего 55 уязвимостей, в два раза меньше, чем в январе. Есть целых шесть (❗️) уязвимостей с признаком эксплуатации вживую:

🔻 SFB - Windows Shell (CVE-2026-21510)
🔻 SFB - Microsoft Word (CVE-2026-21514)
🔻 SFB - MSHTML Framework (CVE-2026-21513)
🔻 EoP - Windows Remote Desktop Services (CVE-2026-21533)
🔻 EoP - Desktop Window Manager (CVE-2026-21519)
🔻 DoS - Windows Remote Access Connection Manager (CVE-2026-21525)

Также есть одна уязвимость с публичным эксплоитом:

🔸 DoS - libjpeg (CVE-2023-2804)

Из остальных уязвимостей можно выделить:

🔹 RCE - Windows Notepad App (CVE-2026-20841)
🔹 Spoofing - Outlook (CVE-2026-21511)
🔹 EoP - Windows Kernel (CVE-2026-21231, CVE-2026-21239, CVE-2026-21245), Windows AFD.sys (CVE-2026-21236, CVE-2026-21238, CVE-2026-21241)

🗒 Полный отчёт Vulristics

На сайте ФСТЭК 9 февраля был опубликован документ с рекомендациями по харденингу общесистемного и прикладного ПО под Windows и Linux

Добавить комментарий

На сайте ФСТЭК 9 февраля был опубликован документ с рекомендациями по харденингу общесистемного и прикладного ПО под Windows и Linux

На сайте ФСТЭК 9 февраля был опубликован документ с рекомендациями по харденингу общесистемного и прикладного ПО под Windows и Linux. Документ на 17 страниц содержит 12 групп рекомендаций:

1. Парольные политики Windows и Linux
2. Доступ и логирование событий в MySQL/MariaDB, PostgreSQL, MS SQL Server
3. Отключение SMBv1 в Windows
4. Отключение NTLMv1 в Windows
5. Удаление учётной записи "Гость" из групп "Администраторы" в Windows
6. Хранение учётных данных и ограничение доступа к конфигурационным файлам Windows и Linux (здесь занятный список отечественных PAM-ов 😉)
7. Аудит и блокирование неиспользуемых открытых портов
8. Отключение автовхода пользователя в Windows
9. Безопасная настройка SSH в Linux
10. Назначение прав доступа на файлы и директории в Windows и Linux
11. Отключение неиспользуемых служб и компонентов операционной системы в Windows и Linux
12. Отключение неиспользуемых учётных записей и ограничение записей с избыточными правами в Windows и Linux