Всё самое интересное из мира кибербезопасности /** с моими комментариями.
1) Передал номер другому — сел. Зарегистрировал аккаунт на чужой номер — тоже срок.
Проект поправок к УК уже поддержан, и формулировки не оставляют вариантов: ответственность будет реальной.
Вводится новая статья — 274.4. Под запретом передача абонентских номеров третьим лицам, если это сделано ради выгоды или для преступления. Штраф — до 700 тысяч. Лишение свободы — до 3 лет. Даже если просто участвовал — всё равно получишь до 2 лет.
Но и это не всё. Статья 274.5 касается уже самой авторизации в интернете. Передал кому-то код, дал доступ для входа — это уже уголовка. Максимум — те же 3 года.
/** Жестко конечно. Главная рекомендация - никому, особенно незнакомым или малознакомым людям, не давайте свой телефон ни на позвонить, ни на что другое. Отдельно подумайте про кейс кражи или потери телефона. Каждому нужно научиться быстро блокировать свою sim-карту в этих случаях. Обязательно настройте автоблокировку телефона при 5 минутной неактивности, например. Ну а про то, что свои учётные данные никому давать нельзя, я говорить вам не буду - и так понятно!
2) В Telegram для iOS и macOS перестали работать ссылки от незнакомцев.
В свежем обновлении ссылки от незнакомцев стали отображаются как обычный текст и не кликаются. Так Telegram борется с фишингом и спамом. Чтобы ссылка стала активной, нужно добавить отправителя в контакты или скрыть предупреждающую плашку сверху
/** Очень правильная тема! Единственное, что смущает, некоторые пользователи считают, что это баг и что его пофиксят в ближайшем релизе. Посмотрим, но я надеюсь, что так сделано специально. Ну и ждём на Android аналогичную фичу.
3) Критическая уязвимость в sudo позволяет запустить любую команду как root.
Опубликован PoC-код для уязвимости в sudo, позволяющей с помощью опции -R (--chroot) обойти системные ограничения и выполнить вредоносный код с правами суперпользователя. Патч включен в состав обновления 1.9.17p1.
Уязвимость повышения привилегий CVE-2025-32463 (9,3 балла по CVSS) возникла из-за того, что при изменении корневого каталога sudo начинает резолвить пути к файлам, не завершив проверку параметров настройки в sudoers. В результате у злоумышленников появилась возможность с помощью этой утилиты протащить в систему стороннюю библиотеку общего пользования, создав фейковый /etc/nsswitch.conf.
Уязвимости подвержены sudo версий с 1.9.14 по 1.9.17 включительно. Патч вышел в прошлом месяце в составе сборки 1.9.17p1; он откатывает изменения, привнесенные в 1.9.14, с пометкой, что использовать chroot не рекомендуется.
По словам разработчиков, со следующим выпуском sudo от неудачно реализованной и редко используемой опции не останется и следа.
/** Но сколько систем и какое время ещё будут уязвимыми - это риторический вопрос. К слову - версия sudo 1.9.14 вышла 27 июня 2023 года. 2 года можно было творить вакханалию практически в любой системе на linux )
4) Школьник в 13 лет нашел серьезную уязвимость в Microsoft Teams и, в итоге, его взяли в команду багхантеров компании.
Парень так грамотно оформил отчет, что Microsoft пришлось переписывать правила их программы, чтобы нанять его.
За первое лето в команде, которая реагирует на угрозы безопасности, он нашел больше 20 багов и уже успел взять бронзу на хакерском чемпионате Zero Day Quest — среди взрослых сеньор-программистов со всего мира.
/** Талант, молодчина! Я из этого только один момент хочу подсветить: 2 - 5 лет более чем достаточно, чтобы изучить любую тему, в том числе и кибербезопасность, и начать показывать "промышленные" результаты.
5) Echo chamber — техника взлома нейросетей при помощи косвенных намеков.
Echo chamber (эхокамеры) — это скрытая многошаговая техника indirect prompt injection, когда злоумышленник не дает модели прямых команд, а постепенно подталкивает ее к необходимому выводу через цепочку логических намеков.
Все начинается с безобидного диалога — например, о рецепте пасты. На каждом шаге добавляются тонкие семантические намеки, маскирующиеся под продолжение темы.
Пример:
Интересные статьи
Интересные статьи
