Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Про уравнивание бюджетов IT и ИБ

Добавить комментарий

Про уравнивание бюджетов IT и ИБ

Про уравнивание бюджетов IT и ИБ. В ответ на мой вчерашний пост прилетел комментарий, что уравнивать бюджеты IT и ИБ - это как ежегодно страховать автомобиль за его полную стоимость - не имеет смысла. В чём проблема такой аналогии?

Автомобиль обладает ценностью сам по себе, которую "защищают" страхованием. Но, защищая IT-активы, мы имеем в виду НЕ сами железные сервера или виртуалки. Сам сервер и его настройка "чтоб работало" имеет небольшую ценность. Основная же ценность - это информация, которая на нём хранится и обрабатывается. А обеспечивать её безопасность (конфиденциальность, целостность и доступность 😉) требуется от всего спектра угроз.

Автомобиль, перевозящий что-то супердорогое (бриллианты?), запросто может страховаться дороже своей стоимости. И не каждый страховщик компенсирует ущерб с учётом содержимого при таргетированной атаке. 😉

Безопасность - это дорого! Если ИБ хронически недофинансируется даже по сравнению с IT, последствия будут… Сами видите, какие. 🤷‍♂️

Сколько тратить на ИБ? После каждого громкого ИБ-инцидента - будь то прекращение работы сети вино-водочных магазинов или остановка авиарейсов - общественность вопрошает: кто виноват и что делать?

Добавить комментарий

Сколько тратить на ИБ? После каждого громкого ИБ-инцидента - будь то прекращение работы сети вино-водочных магазинов или остановка авиарейсов - общественность вопрошает: кто виноват и что делать?

Сколько тратить на ИБ? После каждого громкого ИБ-инцидента - будь то прекращение работы сети вино-водочных магазинов или остановка авиарейсов - общественность вопрошает: кто виноват и что делать?

Как по мне, ответы очевидны:

🔹 Виноват всегда гендир. Такая у него должность. 🙂

🔹 Компаниям следует начать тратить на ИБ ГОРАЗДО БОЛЬШЕ денег, чем раньше. 💰 В первую очередь на кибергигиену (включая VM), Zero Trust и резервные "бумажные" процессы работы на случай, когда (а не если) вся IT ляжет.

И сколько же тратить? Однажды о. Дмитрий Смирнов на вопрос телезрительницы "какую часть зарплаты нужно жертвовать на храм" в эпатажной манере ответил, что "всю зарплату". 🤯😱🤔 А уже потом перешёл к "доброхотности даяния". Мне кажется, метод стоит перенять и начинать с тезиса, что организации должны тратить на ИБ все имеющиеся средства (и будет мало!). А уж затем оценивать стоимость недопустимых событий и простоя…

В любом случае, на ИБ следует тратить не меньше, чем на IT. 😉

Июльский Linux Patch Wednesday

Добавить комментарий

Июльский Linux Patch Wednesday

Июльский Linux Patch Wednesday. В этот раз 470 уязвимостей, чуть меньше, чем в июне. Из них 291 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую (CISA KEV):

🔻 SFB - Chromium (CVE-2025-6554)

Ещё для 36 (❗️) уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Из них можно выделить:

🔸 RCE - Redis (CVE-2025-32023), pgAdmin (CVE-2024-3116), Git (CVE-2025-48384)
🔸 EoP - Sudo (CVE-2025-32462, CVE-2025-32463)
🔸 PathTrav - Tar (CVE-2025-45582)
🔸 XSS - jQuery (CVE-2012-6708)
🔸 SFB - PHP (CVE-2025-1220)
🔸 DoS - LuaJIT (CVE-2024-25177), Linux Kernel (CVE-2025-38089)
🔸 MemCor - DjVuLibre (CVE-2025-53367)

🗒 Полный отчёт Vulristics

Отключил реакции в своих каналах и другим авторам советую

Добавить комментарий

Отключил реакции в своих каналах и другим авторам советую

Отключил реакции в своих каналах и другим авторам советую. 😉 Давным-давно Павел Дуров презентовал технические ограничения Телеграм-каналов как специально задуманную фичу:

Каналы - это чистая односторонняя коммуникация!

Никакого ненужного шума от лайков и комментов. Только вы, ваши сообщения и читатели, которые на вас подписаны… 😇

Но потом появились и реакции, и комментарии, и даже сторисы… 🙄

Теперь сообщения практически во всех каналах обрамлены "облаком общественного одобрения и неодобрения", которое стало частью сообщения.

🔹 Читатели подспудно соотносят своё восприятие сообщения с чужими реакциями.

🔹 Для автора реакции становятся источником дешёвого дофамина ("Ура, ИМ понравилось! 🤩 Я молодец! Нужно ещё похожего написать, чтобы ещё полайкали! 😊") или расстройств, когда минусуют.

И всё это от пары десятков анонимных кликов по эмоджи! Которые элементарно накручиваются. Ну, бред же! Бреед! 🤪

Теперь с обратной связью прошу в комменты live-канала или личку. 😉

Вы точно знаете своих удалёнщиков?

Добавить комментарий

Вы точно знаете своих удалёнщиков?

Вы точно знаете своих удалёнщиков? Как хитрые товарищи из одной изолированной страны зарабатывают сотни млн. $ и усиливают кибероперации, используя западную расслабленность и любовь к удалённой работе? 💸😏

🔹 Они натаскивают своих ІТ-шников.

🔹 Перевозят их в нейтральные страны с быстрым интернетом.

🔹 Трудоустраивают в западные компании, преимущественно в американские.

🔹 ІТ-шники (тысячи их!) усердно работают работу, перечисляя большую часть своих западных зарплат в пользу Родины. Параллельно сливают данные и дают доступ к инфраструктуре работодателей. Двойной профит! 🤑

А требования в вакансиях к наличию гражданства и работе только из США? 🥸 Легко обходятся! 😏 На днях американку приговорили к 8,5 годам за поддержание фермы из 90 ноутбуков для имитации работы из США.

Бороться с этим возможно только отменой удалёнки и значительным усилением background checks. Но компании вряд ли на это пойдут. И не стоит забывать про проблему многочисленных подрядчиков. 😉

Иногда общение стоит минимизировать

Добавить комментарий

Иногда общение стоит минимизировать

Иногда общение стоит минимизировать. Главная проблема в работе с уязвимостями - это НЕ сами уязвимости. Это необходимость постоянно общаться с людьми, которые этого общения не хотят и которым ты не нравишься. 🫩 Это актуально и при пушинге устранения уязвимостей в инфраструктуре, и при сдаче-приёмке уязвимостей, найденных в ходе багбаунти.

Поэтому я сторонник того, чтобы неприятное общение максимально сокращать и формализовывать. Игры в "докажи-покажи" отнимают массу сил и времени, а когда общение неизбежно заходит в тупик, обе стороны всё равно начинают действовать формально. 🤷‍♂️ Так почему бы не поступать так с самого начала? 😏

➡️ В качестве примера рекомендую ознакомиться с эпичной историей, как Игорь Агиевич сдавал уязвимость в блокчейне Hyperledger Fabric (CVE-2024-45244). Имхо, вместо общения в такой ситуации было бы достаточно скинуть вендору ресёрч и PoC, выждать 3 месяца, зарегать CVE и, без особых рефлексией, сделать full disclosure. 🤷‍♂️😈

Не может быть, оказывается MAX не pivacy-driven messenger! 😱

Добавить комментарий

Не может быть, оказывается MAX не pivacy-driven messenger! 😱

Не может быть, оказывается MAX не pivacy-driven messenger! 😱😆 Раньше про MAX набрасывали, что он небезопасный. После объявления багбаунти перестали. 🙂🤷‍♂️ Теперь разгоняют, что MAX "неприватный". Для пруфов ковыряют Android-клиент и скринят текст EULA. 😏

Моё мнение такое:

🔹 Собирает ли MAX информацию о пользователях? Безусловно. Как и любое приложение "фонарик" на вашем устройстве. Зачем? В основном, чтобы показывать вам релевантную рекламу в сервисах VK. По сравнению с тем, что собирают операционные системы и веб-браузеры это крохи и ни о чём.

🔹 Сообщит ли MAX о ваших тёмных делишках в правоохранительные органы? 🌚 Если от этих органов придёт запрос, то сообщит. Как и любой другой мессенджер и веб-сервис. 🤷‍♂️

🔹 Мог бы MAX быть privacy-driven? Как условный Signal? Или An0m? 😉 В принципе да. Но задача создать инструмент, которым могли бы безбоязненно пользоваться всякого рода злодеи и не ставилась. 😏 Наоборот, злодеям в нём должно быть МАКСимально некомфортно. 😈