Архив за месяц: Декабрь 2025

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам

Меня беспокоит не столько принуждение к доставке одноразовых кодов для Госуслуг через MAX, сколько продвижение мобильных приложений на смартфоне как основного, безопасного и прогрессивного способа получения доступа к Госуслугам. 🙄 Хотя здесь есть вполне очевидные проблемы с 2FA:

🟢 Если вы заходите с паролем от Госуслуг на одном устройстве (десктопе), а код получаете на другое устройство (по SMS, через мессенджер только на это устройство, OTP-приложение - не суть), это нормальная двухфакторка. 👍 Злоумышленнику нужно скомпрометировать сразу 2 разных устройства, это сложно и дорого.

🔴 Но если вы заходите с паролем в приложение Госуслуг на смартфоне и код получаете на тот же смартфон (см. выше как), то второго фактора у вас нет. 🤷‍♂️ Если злоумышленник скомпрометирует смартфон, он получит полный доступ к Госуслугам и натворит бед. А смартфоны в массе своей уже скомпрометированы. Ещё и сессия длится аж 6 месяцев! 😱

Эти риски почему-то игнорируются. 🤷‍♂️

Немного про Roblox и Luanti

Добавить комментарий

Немного про Roblox и Luanti. Я, как родитель, весьма рад блокировке Roblox. 👍 Эта лютая хтонь лезла отовсюду! 👾 Коллабы с российскими брендами, книжки, тонны дегенеративных видеороликов от "детских блогеров". А хуже всего, что Roblox массово тащили в курсы по программированию для детей! 😡 Притом, что контент в платформе реально жуткий. Хочется надеяться, что ограничение доступа хоть немного это безумие приглушит. 🙏

К счастью, в нашей семье Roblox не прижился. 😇 У Roblox нет официального Linux-клиента, а неофициальные способы запуска они банят. 🤷‍♂️😌

При этом, я не против компьютерных игр. Мы с дочкой вместе играем по домашней локалке в Luanti (Minetest). Это бесплатная опенсурсная платформа для Minecraft-like игр. Конкретно играем в Mineclonia: добываем ресурсы, строим здания, исследуем мир, боремся с монстрами. Есть множество модов и можно разрабатывать свои. Есть продвинутые технические моды, позволяющие строить сложные механизмы и сооружения! 🤩

Вышел главный рейтинг ИБ-каналов 2025 от Сачка и диджитал агентства комплексного интернет-маркетинга DOJO MEDIA

Добавить комментарий

Вышел главный рейтинг ИБ-каналов 2025 от Сачка и диджитал агентства комплексного интернет-маркетинга DOJO MEDIA. Канал "Управление Уязвимостями и прочее" там аж на 2️⃣ месте в категории Авторские! 😲🥈 И мне это, безусловно, очень приятно. 😇 🎉

"Авторские каналы от тех, кто неравнодушен к ИБ и для кого ИБ — это и есть жизнь."

Насколько я понимаю, этот рейтинг продолжает составляться путём голосования некоторого экспертного совета с основным критерием - качество контента.

Спасибо большое коллегам, проголосовавшим за канал! 🙏 Буду стараться соответствовать и продолжу нести разумное-доброе-вечное около-VM-ное. 😉

Отмодерировал сегодня секцию Анализ Защищённости на Код ИБ Итоги 2025 и выступил там же

Добавить комментарий

Отмодерировал сегодня секцию Анализ Защищённости на Код ИБ Итоги 2025 и выступил там же. 🙂 Уже во второй раз. У нас было 5 десятиминутных докладов, 7 участников и 2 часа времени.

Роман Соловьёв задал тон обсуждению, поделившись статистикой по инцидентам и тем, как развиваются SOC-услуги МегаФона. Мы обсудили Анализ Защищённости как услугу и роль в этом ИИ (Андрей Кузнецов здорово раскачал дискуссию). Затем перешли к большому блоку про уязвимости. 🤩 Я поделился статистикой по трендовым уязвимостям 2025 года, Андрей Исхаков рассказал про уязвимости в западных мессенджерах (FYI, чуть меньше половины ИБ-шников в аудитории пользуются MAX 😉👍), Дмитрий Топорков рассказал о приоритизации уязвимостей. Кирилл Карпиевич поделился болями в части качества детектирования уязвимостей VM-решениями. Завершили рассказом об утечках и пентестерских практиках от Александра Анашина.

⚡️ Получилось динамично. Судя по оценкам, аудитории зашло. 😇 Большое спасибо организаторам и участникам!

По поводу Remote Code Execution уязвимости в React Server Components "React2Shell" (CVE-2025-55182)

Добавить комментарий

По поводу Remote Code Execution уязвимости в React Server Components "React2Shell" (CVE-2025-55182). Уязвимость критичная, CVSS 10. Потенциальный импакт очень большой, т.к. это React - один из самых популярных JavaScript-фреймворков, на котором буквально половина Интернета написана.

По поводу реальной эксплуатабельности… Одни исследователи сейчас хайпятся, что есть работающий эксплойт, какие-то сообщения об атаках и вот-вот случится апокалипсис. 😱 Другие - на том, что это всё ерунда и в реальности это эксплуатироваться не будет. 😏 Истина где-то между. 🙂

Имхо, хороший VM-щик/AppSec должен дойти сегодня до разрабов-фронтендеров, проверить используются ли уязвимые компоненты React и Node.js, завести заявки на обновление с высоким приоритетом. И спокойно наблюдать за кипешом. 🌝

Следует ждать обновлений и для других уязвимых фреймворков, включающих React, например React Router, Expo, Redwood SDK, Waku и др.

На Код ИБ Итоги в 12:00 коснёмся этой темы. 🙂

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO

Добавить комментарий

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO. 🔥 Функционально это классический сканер уязвимостей, который позволяет заводить и запускать сканы в black box и white box (включая Docker) режимах. Дальше по этим задачам можно выпускать отчёты.

📄 Продукт выпускают на замену XSpider 7.8, у которого в этом году закончился сертификат ФСТЭК. Сертификат ФСТЭК на XSpider PRO планируют получить до конца года.

✂️ Архитектурно XSpider PRO представляет собой урезанную версию MaxPatrol VM. Сканирующий движок там такой же. С поправкой на то, что MaxPatrol VM ещё агентно сканировать может через EDR, а здесь исключительно безагентное сканирование.

💳 Лицензируется по узлам и функциональности (можно купить лицензию только на black box). Но есть ограничение: максимальное количество сканируемых узлов для решения - 500 ❗️ Это решение для небольших компаний. Если нужно больше, смотрите в сторону MaxPatrol VM. 😉

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Добавить комментарий

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года. Я выделял не самые критичные уязвимости (все они самые критичные!), а скорее самые интересные и разнообразные. И это, безусловно, субъективная оценка.

Материал забрали в середине лета, поэтому были все шансы, что до конца года появится что-то интересное. Так и получилось. 😅 Сейчас на первое место я бы поставил:

🔻 RCE - Microsoft SharePoint "ToolShell" (CVE-2025-49704, CVE-2025-53770). С этой уязвимостью были связаны самые громкие атаки. 😉

Уязвимости из статьи:

🔻 RCE - CommuniGate Pro (BDU:2025-01331)
🔻 RCE & AFR - Apache HTTP Server (CVE-2024-38475)
🔻 RCE - Erlang/OTP (CVE-2025-32433)
🔻 RCE - Internet Shortcut Files (CVE-2025-33053)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)