Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год

Добавить комментарий

Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год
Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 годПришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 годПришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 годПришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год

Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год. Иллюстрации в календаре - афиши известных голливудских фильмов, переработанные в awareness-материалы по антифишингу. Качественно и остроумно сделано. Главное, что картинки бросаются в глаза, привлекают внимание. Рассматривать и читать текст интересно. 👍 А правильные мессаджи подспудно откладываются. Иллюстрации можно легко отделить по перфорации и развесить по офису как плакаты.

Календариком уже пользуюсь, повесил рядом со своим рабочим местом. 🙂 Спасибо большое, StopPhish! Всего вам хорошего в новом году! 🎄

Вернулись из поездки в Тверь

1 комментарий

Вернулись из поездки в Тверь
Вернулись из поездки в ТверьВернулись из поездки в Тверь

Вернулись из поездки в Тверь. В последний день сходили на мастер-класс по изготовлению новогодних ёлочных игрушек. В этот раз я не удержался от упоминания актуальной уязвимости. Игрушка заняла место на нашей ёлочке рядом с EoP в ядре Linux. 😅

Добрались без приключений. Если не считать лёгкого дискомфорта от морозца и повсеместных сугробов (как и везде сейчас в центральном регионе ❄️).

Впечатления от 5 дней пребывания (1, 2, 3, 4) самые приятные. Было интересно, комфортно и очень вкусно. 😇

Тверь остаётся на вершине моего личного ТОПа городов (вместе с Саранском ❤️). Зимой там ничуть не хуже, чем весной.

Если искать какие-то минусы, то я бы сказал, что городу не хватает трамвайчиков (как в Коломне). Трамвай (и троллейбус) там были, но их недавно уничтожили. Это, безусловно, очень грустно. 😔

Хотелось бы и ласточки-экспрессы до Москвы с выделенными местами. А то сейчас сложно предугадать, будешь ты ехать 1,5-2 часа стоя или сидя. 🙂

А так всё круто. 👍

Ni8mare, N8scape и другие критические уязвимости n8n

2 комментария

Ni8mare, N8scape и другие критические уязвимости n8n

Ni8mare, N8scape и другие критические уязвимости n8n. n8n - это платформа автоматизации рабочих процессов (code/no-code). Поддерживает более 400 интеграций и встроенные возможности ИИ. Лицензируется как fair-code. Доступна on-prem и как облачный сервис.

🔻 18 ноября 2025 года был выпущен патч, закрывающий критическую уязвимость чтения файлов без аутентификации (CVE-2026-21858). В некоторых сценариях уязвимость позволяет добиться удалённого выполнения кода (RCE). Уязвимость назвали Ni8mare. С 7 января 2026 года доступен write-up и PoC. Также доступен эксплойт, задействующий уязвимость CVE-2025-68613 для достижения RCE.

🔻 Совместно с основной уязвимостью CVE-2026-21858 могут использоваться и другие уязвимости, требующие аутентификации: CVE-2025-68668 (N8scape), CVE-2025-68697 и CVE-2026-21877. Это позволяет добиться RCE или записи файлов.

🌐 CyberOK СКИПА фиксирует чуть менее 9 000 активных n8n в Рунете.

Наш четвёртый день в Твери

Добавить комментарий

Наш четвёртый день в Твери
Наш четвёртый день в ТвериНаш четвёртый день в ТвериНаш четвёртый день в ТвериНаш четвёртый день в ТвериНаш четвёртый день в Твери

Наш четвёртый день в Твери. Ходили на детский спектакль и в филармонию.

🔹 Сказка "Марья Моревна и царский сын" в Тверском театре драмы - очень круто: костюмы, музыкальные номера (тяготеющие скорее к хип-хопу, видимо, чтобы детишкам было ближе 🙂), батальные сцены, даже спецэффекты. Всё на уровне! Сказка тоже хорошему учит. 😅 Если у жены в подвале закован мужик, который просит воды, не стоит проявлять к нему жалость до выяснения всех обстоятельств. Вдруг окажется, что это Кащей Бессмертный, с большим трудом побеждённый твоей женой, а ты ему освободиться поможешь? И когда в итоге смерть Кащея будет в твоих руках, не рефлексируй, а ломай иглу безжалостно. ❌🙂

🔹 В филармонию ходили на сборный новогодний концерт. Исполняли в основном советскую песенную классику в сопровождении струнной группы симфонического оркестра. Мне такое нравится. 😇 Ещё запомнились хоровые версии "Широка река" Кадышевой и "О Любви" Чижа. 🙂👍

Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно

Добавить комментарий

Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно

Ещё один пример, почему слепо доверять публичным опенсурсным библиотекам может быть крайне опасно. В мае 2025 года в npm-репозитории появился пакет "lotusbail", реализующий работу с API мессенджера WhatsApp (разрабатываемого экстремистской компанией Meta). Этот пакет выполнял все заявленные функции.👌 НО кроме того, содержал зловредную функциональность по перехвату сообщений, контактов, токенов аутентификации и привязке аккаунта жертвы к устройству атакующего. 🤷‍♂️

Зловредный пакет был доступен аж до 23 декабря. За это время его скачали около 60 000 раз. 😱

❓А теперь вопрос: учитывая, что использование готовых библиотек на каждый чих является сейчас best practice, института репутации разработчиков фактически нет (сплошные анонимы и ноунеймы), а вайб-кодинг становится все проще и эффективнее, что мешает таким кейсам становиться массовыми? Вполне вероятно, что вскоре зловредные форки библиотек будут плодиться одним запросом к LLM-ке. 🤔

Наш третий день в Твери

Добавить комментарий

Наш третий день в Твери
Наш третий день в ТвериНаш третий день в ТвериНаш третий день в ТвериНаш третий день в ТвериНаш третий день в ТвериНаш третий день в ТвериНаш третий день в Твери

Наш третий день в Твери.

🔹 День начали с детской экскурсии в Тверской картинной галерее. В этот раз смогли подольше побродить по залам и ознакомиться с коллекцией. Наибольшее впечатление произвёл "портрет Менделеевой" Григория Сороки.

🔹 Зашли в Спасо-Преображенский собор, красиво украшенный к Рождеству. Храм был разрушен в 1935 году и воссоздан в 2014-2020 годах.

🔹 Вечером сходили в ТЮЗ на "Обыкновенное чудо". Спектакль интересный, прочтение сильно отличается от известного фильма Марка Захарова. Хотя, честно говоря, я суть этой сказки не особо понимаю. Мне очень нравятся отдельные фрагменты: история Эмиля и Эмилии, забитый первый министр, охотник за дипломами. Но основная линия с принцессой и медведем мне кажется крайне странной и сумбурной. Это про какие-то мании и неврозы, а не про любовь. И то, что вся интрига строится на правиле, которое в итоге просто не выполняется, тоже странно. 🤷‍♂️ Но, безусловно, классика.

Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей

Добавить комментарий

Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей

Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей. Речь идёт о троянах Webrat. Поначалу злодеи распространяли их под видом взломанного ПО и читов к онлайн-играм, а с сентября 2025 начали экспериментировать с GitHub репозитариями, якобы содержащими эксплоиты для уязвимостей CVE-2025-59295 (Buffer Overflow в Internet Explorer), CVE-2025-10294 (AuthBypass в плагине WordPress "The OwnID Passwordless Login") и CVE-2025-59230 (EoP в Windows Remote Access Connection Manager).

Для меня наличие публичных эксплоитов - один из ключевых факторов при приоритизации уязвимостей. GitHub-репы с эксплоитами приходится отсматривать регулярно. Фейков различной зловредности там хватает. С развитием AI-инструментов составить убедительную страницу с описанием эксплоита и чем-то похожим на его код становится делом нескольких минут. 🤷‍♂️ Чем дальше, тем больше такого будет.