Архив за месяц: Август 2025

Правка 9^2 и эффективность блокировок информации

Правка 9^2 и эффективность блокировок информации

Правка 9^2 и эффективность блокировок информации. Ключевая особенность киберпреступлений (в том числе кибермошенничества) состоит в том, что их могут совершать преступники, физически находящиеся за пределами России. Блокировки информации в России им никак не помешают. 🤷‍♂️

Соотношение количества "трансграничных" и "внутренних" киберпреступников - вопрос отдельного исследования. 👨‍🔬 Если оно покажет, что количество "внутренних" значимо, точечные блокировки некоторой информации имеют смысл. ✅ Но не как мера, усложняющая работу технически грамотным киберпреступникам (они уже давно в Darknet), а для снижения эффективности вербовки хактивистов/скрипткидисов внутри страны. Маркером запрещённой информации должны быть призывы к осуществлению противоправной деятельности.

🛡 И, конечно, блокировки не должны вредить российской ИБ-отрасли, осуществляющей противодействие киберпреступникам (и "внутренним", и "трансграничным"), иначе эффект от блокировок будет отрицательным.

Правка 9^2 и рациональность блокировок информации

Правка 9^2 и рациональность блокировок информации

Правка 9^2 и рациональность блокировок информации. Пытаться бороться с кибермошенничеством путём блокирования любой информации, которая потенциально может быть использована в кибератаках всё равно, что для борьбы с убийствами кухонными ножами (а доля таких убийств действительно очень высока) запрещать информацию в Интернет обо всём колюще-режущем, включая хирургические скальпели. Вреда от этого точно будет больше, чем пользы. 🤷‍♂️

Следует ли из этого, что никакую информацию блокировать не нужно? 🤔 Вовсе нет. Но для блокировок должна прослеживаться чёткая связь между совершёнными преступлениями и информацией, которую преступник получил в Интернет.

В контексте ножей это может быть специфическая информация о тактике применения холодного оружия и призывы "браться за ножи". 🔪 А в контексте кибербезопасности - информация о практическом применении однозначно вредоносного ПО (конкретные разновидности троянов, шифровальщиков, вирусов, и т.д.) с противозаконными целями. 🚔

Посмотрел предлагаемые правки к статье 15.1 149-ФЗ о "реестре блокировок" в рамках второго пакета мер по борьбе с кибермошенниками

Посмотрел предлагаемые правки к статье 15.1 149-ФЗ о реестре блокировок в рамках второго пакета мер по борьбе с кибермошенниками

Посмотрел предлагаемые правки к статье 15.1 149-ФЗ о "реестре блокировок" в рамках второго пакета мер по борьбе с кибермошенниками. Соглашусь с коллегами, с настолько широкой формулировкой выглядит так себе.

В первую очередь, конечно, под удар попадают российские ресёрчеры. Более-менее полное описание уязвимости и способа эксплуатации подпадает под первую часть формулировки. Но ресёрчерам и не привыкать. Они и так под 273 УК РФ ходят. Теперь им ещё и сайты поблочат. Видимо чтобы они окончательно поняли, что в России им не рады и нужно уезжать работать на запад. 🙄

Вторая часть ещё интереснее. Что значит информация "позволяющая получить доступ" к ПО/эксплоитам? Только прямая ссылка? А фраза "эксплойт есть на GitHub"? А фраза "Наличие эксплойта: Существует" в описании уязвимости на БДУ ФСТЭК? А указание CVE-идентификатора, по которому можно эксплойт найти? 🤪

Я не знаю как помогут эти правки бороться с кибермошенниками, но киберпотенциал страны они точно подорвут. 🤷‍♂️

Разбор VM-ной вакансии: Менеджер по развитию бизнеса (Vulnerability Management) в Kaspersky

Разбор VM-ной вакансии: Менеджер по развитию бизнеса (Vulnerability Management) в Kaspersky

Разбор VM-ной вакансии: Менеджер по развитию бизнеса (Vulnerability Management) в Kaspersky. Возвращаюсь к разбору профильных вакансий. 🙂

На фоне весьма ожидаемого релиза VM-решения, Kaspersky открыли вакансию сотрудника, который бы им высокоуровнево занимался: формировал стратегию развития и бизнес-план, анализировал рынок, контролировал операционные показатели (лидогенерация, пайплайн, выполнение плана продаж, маржинальность и т.д.). 💼 То есть это прямо бизнесовые задачи развития продаж и увеличения объема текущего бизнеса. При этом ожидается, что этот человек также будет вести медийную работу - выступать в роли  автора статей и спикера. 🎤 У соискателя должен быть опыт работы с VM-ным направлением и опыт в развитии продаж. 💰

Очень любопытно, кого на эту позицию в итоге возьмут. Наверняка будем с этим человеком частенько пересекаться на VM-ных сходочках. 😅 По поводу вакансии можно писать в ТГ @diana_shreyner. 😉

🔍 Протестировал Vulners Lookup - дополненную CVE-реальность

🔍 Протестировал Vulners Lookup - дополненную CVE-реальность🔍 Протестировал Vulners Lookup - дополненную CVE-реальность🔍 Протестировал Vulners Lookup - дополненную CVE-реальность🔍 Протестировал Vulners Lookup - дополненную CVE-реальность🔍 Протестировал Vulners Lookup - дополненную CVE-реальность🔍 Протестировал Vulners Lookup - дополненную CVE-реальность🔍 Протестировал Vulners Lookup - дополненную CVE-реальность

🔍 Протестировал Vulners Lookup - дополненную CVE-реальность.

Вчера разработчики из компании VulnCheck показали прототип плагина для Chrome/Chromium, который подсвечивает CVE-идентификаторы на сайте и при наведении на них показывает окошко с информацией по уязвимости. Наиболее важная информация - входит ли уязвимость в VulnCheck KEV (расширенный аналог CISA KEV). ⚡️

Ребята из Vulners увидели эту новость, идея им понравилась и они буквально за день реализовали свой аналог. 👨‍💻 Также подсвечиваются CVE-шки и при наведении отображаются актуальные параметры: описание, наличие признаков эксплуатации вживую и публичных эксплоитов. По клику можно перейти на сайт Vulners, чтобы изучить эти эксплоиты и признаки эксплуатации. 😉🚀

Wow-эффект присутствует! 🤯🙂👍 Новости, бюллетени регуляторов, ТОП-ы уязвимостей, блоги начинают играть новыми красками. 🎨 Очень прикольно! 😎 И бесплатно! 🆓

Vulners Lookup доступен в магазине плагинов Google. 😉

ТАСС опубликовали мой комментарий по поводу Memory Corruption/RCE - ImageIO (CVE-2025-43300)

ТАСС опубликовали мой комментарий по поводу Memory Corruption/RCE - ImageIO (CVE-2025-43300)

ТАСС опубликовали мой комментарий по поводу Memory Corruption/RCE - ImageIO (CVE-2025-43300). Отдельно радует, что ТАСС указали компанию, должность, имя-фамилию (а не "киберэксперт Леонов" 😅). Суть уязвимости тоже верно передали. 👍

По уязвимости появились подробности, что она вызвана ошибкой "в реализации кода для JPEG Lossless Decompression внутри модуля RawCamera.bundle, который обрабатывает файлы DNG (Digital Negative) от Adobe".

Почему опасно:

🔓 Эксплуатируется без клика и нотификаций: файлы DNG могут автоматически обрабатываться iOS при получении через iMessage или другие мессенджеры. 📱 Ваш телефон не спросит разрешения - он просто отрендерит превью и выполнит код. 😈

🌍 Широкий вектор атаки: DNG - это открытый формат raw изображения, активно используемый фотографами 📸.

🎯 Доп. возможности после эксплуатации: Apple BlastDoor разрешает права для RawCamera.bundle.

👾⚒️ Эксплуатируется вживую и есть PoC эксплоита на GitHub

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей

MaxPatrol Carbon - средство эффективной приоритизации уязвимостей. Продолжу предыдущий пост примером конкретного решения. 😉

➡️ На вход Carbon берёт данные по уязвимостям (в расширенном смысле, "экспозиции": CVE/BDU, мисконфиги, подобранные учётки и т.п.) и сетевой связности из MaxPatrol VM. ❗️Отсюда важность полноты VM-сканирования❗️ Пользователь также задаёт точки проникновения, и целевые системы.

⬅️ На выходе Carbon даёт набор потенциальных путей атаки (тысячи их!), завязанных на эксплуатацию обнаруженных уязвимостей ("экспозиций"). Причём это не условные маршруты на основе сетевой достижимости. Нет! Там полноценные сценарии с эксплуатацией RCE-уязвимостей, захватом учёток, повышением привилегий, учётом возможности подключения по легитимному протоколу и прочим. 👨‍🔬

⚖️ Пути атаки оцениваются с учётом сложности эксплуатации, длительности и количества шагов…

И только здесь начинается полноценная приоритизация уязвимостей… 😉