CyberYozh

Алексей Дрозд из Searchinform: DLP, AI и новые угрозы 2025 - что изменилось в мире кибербезопасности? 📱 [ссылка на YouTube] [2:08:56] В новом выпуске говорим с Алексеем о трендах ИБ-2025: как изменился корпоративный периметр, почему DLP-системы становятся умнее, и куда AI повернёт безопасность данных в ближайшие годы. 💬 Темы выпуска: 🟪"Размытый периметр" - почему старые методы защиты больше не работают 🟡Как AI помогает (и мешает) DLP-системам 🟪DLP vs DCAP - что выбрать в 2025? 🟡Какие DLP-решения реально работают на рынке 🟪Инсайдеры, утечки и нехватка кадров 🟡Куда двигается отечественная кибербезопасность в 25–30 годах Инсайты, аналитика и немного боли от реальной работы в ИБ 💬 🟡 Хавский громко 🟪Searchinform 🦔CyberYozh

👀 Белые хакеры под надзором ФСБ готовит законопроект, который "узаконит" белых хакеров - но даже по формулировкам источника звучит это скорее как "впишет в реестр и поставит на контроль". 📝Разработана новая версия законопроекта. Сейчас документ готовят для внесения в Госдуму. Если его примут, то искать уязвимости можно будет только официально:

🟪через аккредитованные площадки, по утверждённым правилам и с регистрацией. 🟪Все найденные баги нужно будет передавать не только владельцам систем, но и спецслужбам. 🟪А если кто-то решит поделиться инфой напрямую - без уведомления госорганов - это уже уголовка.

Собираются регулировать всё, что связано с поиском уязвимостей: от коммерческих bug bounty до внутренних тестов компаний и даже исследований одиночек. 🪪Обсуждается даже реестр белых хакеров. Формально - для прозрачности. Но это потенциально может привести к деанонимизации людей. При утечках такого списка под угрозой окажутся не только исследователи, но и их семьи. Из-за таких правил часть специалистов просто уйдёт в тень. Ведь под удар попадает всё - даже внутренние пентесты в компаниях. 🦔CyberYozh

⚡️ Время ограничено! CyberYozh App разыгрывает iPhone 17 Pro Maх и призы от наших партнеров

Каждые $50 пополнения = билет. Чем больше билетов — тем выше шанс!

✨ Даже одно пополнение даёт возможность стать победителем, а регулярные пополнения увеличивают твои шансы многократно 📅 Итоги — 2 ноября в прямом эфире Telegram Подробности на сайте

🔍 OSINT для пентестеров - разведка субдоменов и сертификатов

Как начать разведку для багбаунти

📱 Смотри видео [10:46] В этом видео разбираю базовую OSINT-разведку для пентестов. Покажу рабочие инструменты и последовательность, которая экономит часы времени на поиске уязвимых хостов. В видео:

🟪Проверка сертификатов и поиск субдоменов (crt.sh, Sublist3r, Amass) 🟡Как смотреть историю сайта через Wayback Machine и почему это важно 🟪Фильтрация живых хостов с httpx и быстрая проверка DNS (dig) 🟡Анализ HTTP-заголовков через curl и готовый скрипт для массовой проверки 🟪Полезный пайплайн - от разведки к реальному баг-репорту

4️⃣ GitHub Это видео - твой стартовый набор инструментов для эффективной разведки в багбаунти. 🦔CyberYozh

🤖Новый способ проверить ИИ в кибербезопасности Microsoft представила ExCyTIn-Bench - открытый бенчмарк, который проверяет ИИ  на полноценное кибераналитическое мышление. Платформа моделирует реальные инциденты, с которыми работают SOC-аналитики: 57 таблиц телеметрии, многоступенчатые атаки. Модели должны не просто найти ответ, а шаг за шагом расследовать, строить гипотезы, связывать события и объяснять свои выводы. Такой подход позволяет компаниям понять, насколько конкретный ИИ способен реально вести расследование и адаптироваться к угрозам. Microsoft уже использует бенчмарк для своих продуктов - Security Copilot, Sentinel и Defender - чтобы выявлять слабые места и оптимизировать работу моделей. 💀Результаты первых тестов показали: GPT-5 с расширенным режимом рассуждения уверенно обошёл предшественников (56,2 %), а облегчённые версии с цепочкой рассуждений почти не уступают при куда меньших затратах. Это сигнал рынку: дешёвые, но умные ИИ начинают наступать на территорию дорогих систем. 🖥 ExCyTIn-Bench доступен всем на GitHub и уже становится новым стандартом оценки - проверяя, может ли ИИ думать как аналитик и выдерживать сложность реальных атак. 🦔CyberYozh

В Минцифры опровергли слухи о «взломе» мессенджера Max: публикации с якобы похищенными данными оказались сфабрикованными.

Пишут, что данные всех пользователей MAX получили хакеры. Я то (как советовали блоггеры-эксперты) купил себе отдельный телефон, туда поставил MAX, телефон закопал в диком поле в свинцовом ящике, сверху цементом залил и затем засыпал камнями. Местность огородил. Вроде, все как советовали. Так что мне не страшно.

XSS для Начинающих: Типы, Payloads, Практика на OWASP Juice Shop 📱 Смотри видео [13:57] В новом ролике я объясняю XSS, показываю практику на OWASP Juice Shop, автоматизацию и разбираю реальные сценарии. В видео: 🟪Теория: 3 типа XSS простым языком 🟡Практика: установка и взлом Juice Shop через Docker 🟪Payload’ы: alert(), iframe и POC 🟡Автоматизация 🦔CyberYozh

🔥 #Таскбатл возвращается - в новом формате и с призами! Теперь участники делятся на два лагеря и сражаются за реальные призы 👇 📅 Ключевые даты: 🟪Приём задач: до 25 октября 🟪Публикация тасков: до 30 октября 🏆 Призы:

🥇1 место: 🟡Курс от CyberYozh (на выбор) 🟡Книга по ИБ до 3 000 ₽ на Ozon 🟡6 месяцев подписки на Telesint

🥈 2 место: 🟪Курс от CyberYozh (на выбор) 🟪Книга по ИБ до 2 000 ₽ 🟪6 месяцев подписки на Telesint

➡️ Присоединяйся: @geoint Это шанс и прокачать скилл, и забрать награды! 🦔CyberYozh

🗺Гео-сервис как укрытие для хакерской группы Хакеры из китайской группы Flax Typhoon больше года спокойно жили внутри инфраструктуры жертв, прямо на виду - в популярном геосервисе ArcGIS. 🌍Началось всё с захвата учётной записи администратора портала ArcGIS. Получив доступ, хакеры подменили один из серверных компонентов на вредоносное расширение Java. Снаружи оно выглядело как обычный элемент системы, а внутри - представляло собой полноценную веб-оболочку с жёстко зашитым ключом, чтобы никто случайно не наткнулся и не помешал. Чтобы даже восстановление сервера не выбило их наружу, хакеры вписали код в резервные копии. А затем установили на сервер замаскированную под bridge.exe версию SoftEther VPN, создали отдельную службу SysBridge - и с каждого перезапуска система сама выстраивала HTTPS-туннель к их IP. Так они получили стабильный канал, будто у них был собственный VPN в чужой сети. Flax Typhoon действовала осторожно и методично. Только легитимные инструменты, командная строка и знание, как раствориться в обычном сетевом трафике. Взломав рабочие станции IT-сотрудников и захватив их учётные данные, они углубились ещё дальше. 🔍Эксперты ReliaQuest говорят:

Эта история - наглядное напоминание, что настоящая угроза не всегда приходит снаружи. Иногда она уже внутри, маскируется под привычные функции и наблюдает за вами через, казалось бы, безопасный картографический сервис.

🦔CyberYozh

Спустя 11 лет мы обновили наш сайт CyberYozh.com! ♥️ Будем скучать по старому сайту и любоваться новым.

🍏 Apple поднимает ставки в охоте на уязвимости - до $2 млн за один баг Apple серьезно обновила программу bug bounty. Теперь за самый опасный баг можно получить не просто много, а миллионы долларов.

За сложные цепочки zero-click эксплоитов можно получить до $2 млн, а с бонусами - и до $5 млн.

Компания усиливает защиту своих продуктов на фоне роста шпионских атак и хочет мотивировать исследователей искать самые изощрённые уязвимости. Недавно Apple представила Memory Integrity Enforcement - всегда включённую защиту памяти для iPhone, и в компании прямо говорят, что целью повышенных выплат становятся именно сложные цепочки эксплоитов, применяемые для шпионского ПО. С момента запуска программы в 2020 году Apple уже выплатила ~$35 млн более чем 800 специалистам, а отдельные находки оценивались в полмиллиона долларов. Теперь вознаграждения выросли почти по всем направлениям: от побега из песочницы до атак с физическим доступом и обхода WebKit. Чтобы сделать процесс прозрачнее, компания внедрила систему Target Flags - аналог CTF, где флаг сразу указывает на уровень достигнутого контроля и соответствующую награду. 🦔CyberYozh

🏆 3-й сезон CTF от ACLabs и CyberYozh: Новые флаги, новые вызовы! Хочешь проверить свои скиллы в реальных условиях? Мы вместе с ACLabs запускаем третий сезон CTF - свежие таск, новые правила! 📅 Когда: с 17 октября (старт 19:00 МСК) 🧻 Стоимость: бесплатно Регистрация открыта: жми и бронируй место 👈 Что тебя ждёт: 🟪Полноценная CTF-платформа с персональными виртуалками в изолированной инфраструктуре. 🟪Динамические флаги: для каждого юзера - уникальный флаг (кроме OSINT), чтобы никто не жульничал. 🟪Новая система очков: время и твои скиллы решают стоимость флагов, плюс возможность выставлять оценки. 🟪Задачи уровня реальных атак: OSINT, пентест и эксплуатация уязвимостей. 📃 Все участники получат сертификат от CyberYozh Academy. (Старые аккаунты сохранены - заходи под своими данными!) Не упусти шанс: взламывай, зарабатывай сертификат и прокачивайся. 🦔CyberYozh

Пополним Вам баланс на 5$ за честный отзыв о CyberYozh APP! Деньги Вы сможете потратить на прокси, СМС активации, чекеры fraud-score.

Условия до 20 октября - 5$ на баланс. Условия после 20 октября - 25% скидка на следующее пополнение (но не более 5$).

🟦 Отзыв должен быть реальным, мы проверяем факт приобретения нашего продукта/сервиса на CyberYozh APP. 🟦 Отзыв должен быть развернутым, не менее 20 символов. Приветствуются скриншоты, описание продукта и вашего опыта использования. Мы читаем все Ваши отзывы! 🟦 Акцией можно воспользоваться один раз. 🟦 Отзыв можно оставить тут или тут (другие ресурсы по согласованию с сапортом, напишите нам заранее). После оставления отзыва - напишите в поддержку, указав Ваш аккаунт и ссылку на отзыв. Ответим на любые ваши вопросы: @cyberYozh_support_bot

🔍 Как искать нужную информацию в 10 раз быстрее с помощью GOOGLE DORKS! 📱 Смотри видео [11:05] Хочешь выцепить PDF, конспекты или код с GitHub за минуту? В новом видео показываю 27 запросов, чтобы ускорить поиск информации. В видео: 🟪 Поиск PDF, лекций и датасетов с годовыми отчётами (.edu сайты). 🟪 Находим Код, документацию и вакансии 🟪 Соцсети, архивы и контакты. 🦔CyberYozh

📞 Закон против спама обрушил телефонную социологию С 1 октября поправки к закону "О связи" резко изменили рынок обзвонов. За сутки после вступления в силу новых правил трафик российских колл-центров обвалился почти на 78%: с 5,9 млн вызовов до 1,3 млн. Впервые операторы начали брать плату не только за минуты разговора, но и за сам факт вызова, что моментально ударило по социологическим опросам. Компании массово сокращают обзвоны, а часть колл-центров уже закрывается - по данным ассоциации исследовательских компаний, поступило не менее 18 заявлений о прекращении работы. Телефонные опросы, которые десятилетиями были главным инструментом сбора актуальных данных, практически исчезают с рынка. Социологам придётся возвращаться к дорогим офлайн-форматам и онлайн-анкетам, часто менее точным. 📊Проведём свой опрос? Заметили снижение количества левых звонков осенью? 👍 - да, стало заметно меньше 👎 - нет, даже по утрам трезвонят 🦔CyberYozh

🔍 Как защититься от деанона в 2025! Способы пробива любого человека по данным 📱 Смотреть ТУТ [16:21] Твой номер, фотка или IP - для хакеров это открытая книга! В новом видео раскрываю, как тебя пробивают и как защитить свои данные, чтобы не стать жертвой шантажа. 🟪Как хакеры находят тебя по фотке или торрентам? 🟡Какие Telegram-боты сливают твою инфу за пару кликов? 🟪Статистика утечек: 80% данных уже в даркнете! 🟡Как стать невидимкой Это видео, после которого ты начнёшь прятать свои данные. Для тех, кто хочет научится OSINT, курс: 🥸Кибердетектив🥸 Сочная скидка на все курсы по промокоду FRANKLIN © Тень Франклина

😎 Информационная "золотая лихорадка" в Telegram На рынке утечек данных разгорелась настоящая гонка за эксклюзивом. Владельцы Telegram-ботов по "пробиву" начали скупать украденные базы россиян ещё до того, как те попадают в даркнет или специализированные каналы. По данным DLBI, только за первые девять месяцев 2025 года они выкупили не менее 20-25 баз, чтобы затем продавать данные в розницу конечным пользователям - раньше такого не было. 💸Особую ценность представляют финансовые транзакции, сведения о покупках, недвижимости и транспорте. Эти массивы нередко становятся инструментом мошенников или используются для точечного маркетинга. С января по сентябрь 2025 года: 🟪57 украденных баз данных в даркнете и Telegram 🟪Они содержали 34,7 млн уникальных телефонных номеров и 28 млн адресов электронной почты. Хотя количество утечек снизилось почти в четыре раза по сравнению с прошлым годом, конкуренция выросла: владельцы ботов готовы платить десятки тысяч долларов даже за небольшие, но "жирные" базы. Наибольшим спросом пользуются данные жителей Москвы, Петербурга и Краснодарского края. 🦔CyberYozh

🔒 Кадровый голод в ИБ: обсуждаем тренды информационной безопасности 2025 📱 [ссылка на YouTube] [1:25:00] В новом подкасте с Павлом Коростелёвым, разбираем, что творится в корпоративной кибербезопасности и как не остаться без данных! 💬Поговорим про: 🟪Как сейчас бизнес платит зарплаты условно в кредит будущего 🟪Тренды корп кибербеза 25-26 🟪Кибергигиена - стала ли она более кибергигиеничной? 🟪Проблема неизвестности в ру иб - это на руку новичкам? 🟪Какие вызовы стоят перед корпорациями в связи с участившимися хакерскими атаками (Аэрофлот, вкусно и точка, винлаб) 🟪Каков уровень грамотности в сфере IT в современной российской компании и как это влияет на безопасность работы? 🟪Кто нужен компаниям по линии IT, как работник? (С) Хавский громко 🦔CyberYozh