S.E.Book

🔥Прими участие в Хакатоне от ИТ-холдинга Т1 в Москве и поборись за призовой фонд 1 200 000 рублей! Когда: 25–28 ноября Формат: онлайн + финал на площадке Участвуй, если ты: 🔹обучаешься на технической или ИТ-специальности 🔹развиваешься в направлении разработки, системной администрации, AI/ML или DevOps 🔹сможешь быть в Москве 28 ноября. Выбери свой кейс: ✴️VibeCode Jam: собеседование будущего. Создай ИИ-платформу для прохождения технических собеседований с виртуальным интервьюером. ✴️Self-Deploy: CI/CD без DevOps. Автоматизируй генерацию CI/CD пайплайнов по анализу структуры Git-репозитория. Почему стоит участвовать: 🔘Кейс в портфолио и полезная обратная связь от менторов Т1 🔘Шанс проявить себя, чтобы начать карьеру в одной из крупнейших ИТ-компаний 🔘Реальный опыт командной работы 🔘Мерч и атмосфера сильного комьюнити — в Т1 более 5 000 джунов из 580+ вузов России и Беларуси. Регистрация открыта! ➡️ Успей до 23 ноября по ссылке. #реклама О рекламодателе

Fortinet выпустила обновления для второй обнаруженной в этом месяце 0-day в FortiWeb, которую злоумышленники активно используют в реальных атаках. Новая уязвимость брандмауэра веб-приложений была обнаружена Джейсоном Макфэдьеном из Trend Micro и теперь отслеживается как CVE-2025-58034. Аутентифицированные злоумышленники могут получить возможность выполнить код, успешно эксплуатируя эту уязвимость внедрения команд ОС в атаках низкой сложности, не требующих взаимодействия с пользователем. Ошибка обусловлена неправильной нейтрализацией специальных элементов, используемых в командах ОС в FortiWeb и может быть реализована с помощью специально созданных HTTP-запросов или команд CLI. В своем бюллетене Fortinet подтверждает, что ее специалисты фиксировали инциденты, связанные с эксплуатацией этой уязвимости в реальных условиях. В свою очередь, Trend Micro зафиксировала около 2000 случаев атак с использованием этой уязвимости. Для блокировки попыток входящих атак администраторам рекомендуется обновить свои устройства FortiWeb до последней доступной версии ПО, выпущенной сегодня. Новое открытие последовало после того, как на прошлой неделе Fortinet задним числом втайне исправила еще одну широко эксплуатируемую 0-day FortiWeb (CVE-2025-64446) через три недели после того, как Defused впервые сообщила о ее активной эксплуатации. По данным Defused, злоумышленники реализовали HTTP-запросы POST для создания новых учетных записей администратора на устройствах с доступом в Интернет.

• Еще раз о том, что представляет из себя ботоферма. В данной реализации из смартфонов не извлекают материнские платы для установки в единый хаб, а подключают устройство целиком. Ну и разумеется сюда прикручивают ИИ, которые пишут сотни тысяч "нужных" комментариев под постами, лайкают \ репостят публикации и всё в этом роде... Всячески осуждаю такой подход, но выглядит красиво. • К слову, если у вас возникает вопрос "почему просто не использовать эмуляторы и не запустить все виртуально?", то ответ простой. Эмуляторы легко детектятся платформами. Используя физическое устройство такая реализации лучше обходит инструменты обнаружения. ➡️ Видео взял отсюда: link. • И еще, вот вам хорошая статья на данную тему, с небольшой историей и фотографиями. Материал не содержит описания технической части, но вы наглядно поймёте как все работает: ➡ https://www.huckmag.com/ #Разное

Виртуальные машины & контейнеры: что выбрать? Для начала освежаем базу, что есть ВМ и контейнеры. Разобрали на коровках и пикапах, поэтому просим 🔥 за креативность)) А теперь к делу 😎 ВМ и контейнеры позволяют запускать несколько изолированных сред на одном физическом сервере. Цель одна, но достигается она по-разному. И эти отличия критичны при организации инфраструктуры.

❔Перед стартом любого проекта важно ответить на 5 вопросов: — какие сервисы приоритетны и сколько простоев они выдерживают — каковы целевые параметры отказоустойчивости — какие значения частоты обновления и окон обслуживания уместны, чтобы пользовательский опыт и производительность оставались предсказуемыми

После ответов приступаем к анализу ВМ и контейнеров с точки зрения: ➡️ресурсов и производительности ➡️переносимости ➡️управления По каждому пункту прошлись в этой статье + предложили сценарии для ВМ и контейнеров. Переходите! Реклама. ООО "ИТЕЛОН". ИНН 7701527528. erid: 2W5zFGuVQ8p #FAQ_itelon Сервер, сторадж & два свича

• Операционная система Linux, а точнее, ее ядро, является основой для огромного числа дистрибутивов. Выбор подходящего дистрибутива – задача, требующая понимания их ключевых различий, философии и целевой аудитории. • На хабре была опубликована хорошая статья, которая преследует цель предоставить структурированный обзор наиболее значимых дистрибутивов и их семейств, осветить их сильные и слабые стороны, а также помочь в формировании критериев для осознанного выбора. Материал содержит тонну полезных ссылок для осознанного подхода к выбору и дальнейшему изучению мира Linux. ➡️ https://habr.com/ru/articles/908986/ #Linux

🚀 В микросервисной архитектуре всё держится на надёжных очередях задач. Без них — потери данных, дублирование событий и неожиданные сбои. А значит, пора разобраться, как это устроено в реальных продакшн-системах. 💎 На открытом уроке вы увидите, как с помощью Apache Kafka построить устойчивую систему обмена задачами между микросервисами. Развернём Kafka в Docker, создадим продюсера и консюмера, добавим сбой и проверим, как система гарантированно восстанавливает доставку. 📚 Вы поймёте, чем Kafka превосходит классические очереди (RabbitMQ, ActiveMQ), научитесь подключать её к микросервисам и отлаживать обмен задачами без потерь. После вебинара вы сможете применять эти знания в проектах любого масштаба. Урок пройдёт 20 ноября в 18:00 (МСК) в преддверие старта курса «Apache Kafka». Зарегистрируйтесь и прокачайте архитектурное мышление! 🔗 https://otus.pw/RDkzG/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

#Юмор

Fortinet втайне устранила критическую 0-day в своем брандмауэре FortiWeb, которая теперь массово эксплуатируется в дикой природе. Как подтверждает сам поставщик, ошибка была устранена после появившийся в начале октября сообщений об эксплуатации неизвестной уязвимости обхода пути FortiWeb без аутентификации для создания новых аккаунтов администраторов на устройствах с доступом к Интернету. Атаки были впервые обнаружены 6 октября компанией Defused, занимающейся разведкой угроз, которая опубликовала PoC, публично сообщив, что недокументированный эксплойт Fortinet (возможно, вариант для CVE-2022-40684) используется для отправки HTTP-запросов POST на конечную точку Fortinet /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi для создания локальных учетных записей уровня администратора. Позже исследователи watchTowr Labs также продемонстрировали эксплойт и выпустили специальный инструмент для FortiWeb, призванный помочь ИБ-специалистам идентифицировать уязвимые устройства. В свою очередь, Rapid7 отметила, что уязвимость затрагивает версии FortiWeb 8.0.1 и более ранние, что подтверждается неработоспособностью общедоступного экспериментального PoC после обновления до 8.0.2. И, теперь уже, Fortinet анонсировала эксплуатацию уязвимости путаницы путей (отслеживаемую как CVE-2025-64446) в компоненте графического интерфейса FortiWeb, которая позволяет неаутентифицированным злоумышленникам выполнять административные команды на непатченных системах с помощью специально созданных HTTP- или HTTPS-запросов. В своем бюллетене по безопасности компания также подтвердила, что 0-day была устранена в версии FortiWeb 8.0.2, выпущенной 28 октября, через три недели после первого сообщения об активной эксплуатации CVE-2025-64446. Администраторам, которые не имеют возможности оперативного перехода на FortiWeb 8.0.2, следует отключить HTTP или HTTPS для всех интерфейсов управления, подключенных к Интернету, и убедиться, что доступ ограничен доверенными сетями. Fortinet также посоветовала клиентам проверить свою конфигурацию и просмотреть журналы на предмет новых неавторизованных учетных записей администраторов и других неожиданных изменений.

📘 На Stepik вышел курс — «DevOps-инженер: От основ до продакшена» Хотите автоматизировать деплой, управлять инфраструктурой как кодом и выстраивать надёжные CI/CD процессы? Этот курс — полный путь DevOps-инженера. • CI/CD: Jenkins, GitLab CI/CD, GitHub Actions, стратегии развёртывания (Blue-Green, Canary), rollback • Контейнеризация: Docker (образы, Compose, networking), Podman, оптимизация и безопасность контейнеров • Kubernetes: архитектура, Pods, Services, Deployments, Helm, RBAC, Service Mesh (Istio/Linkerd) • Infrastructure as Code: Terraform, Ansible (playbooks, vault), Packer, ArgoCD и Flux для GitOps • Облака: AWS (EC2, EKS, Lambda), GCP, Azure, Yandex Cloud, cost optimization• Мониторинг: Prometheus, Grafana, ELK Stack, Jaeger, OpenTelemetry, SLI/SLO/SLA • Безопасность: SAST/DAST, Vault, Zero Trust, Policy as Code, incident response • Продакшен практики: High Availability, Disaster Recovery, Chaos Engineering, on-call management 🎓 Сертификат — добавьте в резюме или LinkedIn 🚀 Скидка 25%, действует 48 часов 👉 Пройти курс на Stepik

• Пост выходного дня: на этом видео показан Compaq Portable. "Ноутбук" из 1982 года... в то время компания Compaq сделала то, что многие не способны были даже придумать: они создали переносимый компьютер, полностью совместимый с программами IBM PC. Эти два качества определили успех. • Всего 13 килограмм железа, процессор 8088 от Intel 4,77 мегагерц, 128 Кб оперативной памяти, легко собирается в рабочую станцию дома, в офисе, в отеле. А в рекламе того времени поясняли: легко поставить на полку в самолете или поезде. В целом принято считать, что логика была такая: специалист работает в офисе, а потом уезжает домой, в отпуск или командировку, где ему надо поработать вне офиса, тут Compaq Portable становится единственным доступным решением. • Кстати, стоило это чудо техники 3000$. На сегодняшний день это около 1 миллиона рублей =)) #Разное

👩‍💻 Создаем свой загрузочный диск Linux. • Если у вас есть потребность в создании собственного загрузочного образа Linux, чтобы всегда иметь под рукой флешку с готовой к работе системой, то я рекомендую изучить данную статью. • Тут описывается, как создать собственный загрузочный диск Linux, добавить в него только нужные программы и убрать все лишнее. Полученный образ у автора занял менее 25 Мб. Образ позволяет быстро загружаться, работать в текстовом режиме, создавать, редактировать, удалять файлы на разных файловых системах, имеет поддержку русского языка. За основу взят Debian. ➡️ https://habr.com/ru/articles/709528/ #Linux

• На прошлой неделе я делился с вами ссылкой на бесплатный курс по изучению Linux, который вам очень понравился (судя по реакциям и репостам). Так вот, после этой публикации мне написал один из подписчиков и поделился ссылкой на очень полезный блог одного автора, который написал большое кол-во книг по изучению Linux и опубликовал их совершенно бесплатно. Книги написаны на английском языке, а некоторые из них опубликованы в бородатом году, но там много тем, которые являются актуальными. Так что забирайте по ссылочке ниже и изучайте: ➡️ https://linux-training.be #Linux

DanaBot возвращается с обновленной версией, которая теперь задействуется в новых атаках спустя полугода после того, как инфраструктуру вредоносного ПО вынесли западные силовики в ходе операции Endgame. По данным Zscaler ThreatLabz, новая версия 669 DanaBot обзавелась инфраструктурой C2 с использованием доменов Tor (.onion) и узлов «бэкконекта». Исследователям Zscaler также удалось идентифицировать перечень ряда кроптоадресов, которые злоумышленники используют для реализации украденных средств в BTC, ETH, LTC и TRX. Как известно, DanaBot был впервые обнаружен исследователями Proofpoint и предстоял собой банковский троян на базе Delphi, работающий в формате MaaS, который распространялся через электронную почту и вредоносную рекламу. Впоследствии вредоносная ПО превратилась в модульный стилер и загрузчик, целями которого стали учетные данные и данные криптокошельков в браузерах. Вредоносное ПО использовалось в многочисленных кампаниях, некоторые из которых были достаточно масштабными, периодически отсвечивая в атаках с 2021 года, но оставаясь при этом постоянной отлеживаемой угрозой. В мае этого года в рамках международной операции правоохранителей под кодовым названием Endgame инфраструктура Danabot была нейтрализована, в результате чего деятельность ее операторов оказалась фактически парализована. Однако, как мы и предполагали, Danabot вновь активизировался фазу с переработанной инфраструктурой. Правда, за время простоя, многие брокеры первоначального доступа (IAB) успели переключиться на другие вредоносные ПО. Повторное появление DanaBot четко демонстрирует общую стратегию его операторов, нацеленных на финансовую прибыль и дальнейшее развитие, которое лишь не небольшой период силовикам удалось притормозить. Типичные методы первоначального доступа, наблюдаемые при заражении DanaBot, остаются прежними: вредоносные электронные письма (через ссылки или вложения), SEO-заражение и кампании вредоносной рекламы. Некоторые из них привели к запуску ransomware. Технические подробности и IoCs - в здесь.

• Ну, а почему бы и нет? ))) #Юмор

Отсутствие подозрительных событий в логах — не всегда признак безопасности Возможно, злоумышленник уже в вашей сети. Он действует аккуратно, не вызывает срабатывания систем защиты и может месяцами оставаться незамеченным. Но где его искать? Отвечаем на бесплатном вебинаре 🔥 «Где прячется злоумышленник? Ответ SOC MDR»  Когда? 27 ноября в 11:00 (МСК) Какие темы затронем? ✔️ Почему проактивный поиск угроз — основа безопасности, а не дополнительная опция ✔️ Как современные технологии помогают обнаруживать атакующих на начальной стадии развития атаки ✔️ Реальные инциденты: от первых признаков до полного расследования ✔️ Как восстановить полную картину атаки и устранить угрозу Кому будет полезно? ▪️Руководителям ИБ и IT ▪️Специалистам по безопасности ▪️Всем, кто отвечает за защиту инфраструктуры ➡️Регистрируйтесь, чтобы участвовать в вебинаре или получить запись  #реклама О рекламодателе

🚩 Google CTF. • Как известно, без практики любое обучение имеет мало смысла. Если говорить про различные аспекты ИБ, то здесь может быть два варианта: искать стажировку в компаниях, либо практиковаться на различных CTF-платформах - ресурсах, где есть тренировки по поиску уязвимостей, взлому и другим задачам. • По ссылке ниже вы сможете найти все таски Google CTF с 2017 по 2025 год вместе с решениями. Добавляйте в избранное и практикуйтесь: ➡ https://github.com/google/google-ctf • Напоминаю, что в канале опубликована очень объемная подборка различных CTF площадок, которые помогут прокачать скилл в различных аспектах информационной безопасности. S.E. ▪️ infosec.work ▪️ VT

◼️ Черный ящик. • В 1939 году Поль Бодуэн и Франсуа Уссено представили в главном летно-испытательном центре Франции свое изобретение — самописец, который работал следующим образом: исполнительный механизм менял угол наклона зеркала, в зависимости от изменения параметров полета вроде скорости, высоты и температуры двигателя. Зеркало перенаправляло световой луч на кинопленку и как бы «рисовало» параметры полета, которые затем расшифровывались на земле. • Чтобы исключить влияние солнечного света на показания, корпус был выкрашен в черный цвет. Это и привело к появлению термина «черный ящик». После первых испытаний французские ВВС заказали 25 приборов, однако из-за начала Второй мировой войны технология не получила развития. • В 1942 году финский инженер Вейо Хиетала установил на самолет прибор, который пилоты прозвали «Мата Хари» в честь именитой шпионки. Он записывал данные полета на магнитную ленту. Параллельно во время войны ВВС США и Великобритании экспериментировали с диктофонными записями: по разговорам пилотов они могли оценить слаженность работы экипажа и их ошибки. • В 1952 году реактивная авиация добралась до гражданских перевозок: начались регулярные пассажирские рейсы самолета de Havilland DH.106 Comet. А спустя год начали происходить первые катастрофы. Расследования шли с большими сложностями: экспертам приходилось в буквальном смысле гадать, что происходило в самолете. Спустя много месяцев проверка все-таки выявила, что причина — в квадратных иллюминаторах. • Корпус самолета был очень тонким, поэтому после набора высоты менял свою форму из-за изменения давления. В прямых углах иллюминаторов крепление подвергалось повышенному механическому напряжению. Появлялись микротрещины, которые при повышенной нагрузке (например, при взлете) расширялись и самолет в буквальном смысле разваливался. • В расследовании катастроф принимал участие австралийский химик Дэвид Уоррен. Он понял, что если бы у комиссии был доступ к переговорам пилотов внутри салона и к данным полета, то проблемы в конструкции можно было выявить раньше. • Уоррену пришла в голову идея: почему бы не поставить записывающие устройства, которые будут все фиксировать? Вдохновил его компактный диктофон, работающий от аккумулятора. В 1954 году Уоррен продумал концепцию своего прибора и предложил вариант своему начальнику. Но гениальную идею никто не оценил... • В 1956 году в лабораторию, где трудился Уоррен, пришел новый руководитель — Том Кибл. Копаясь в столе, он случайно обнаружил документ, в котором излагалась концепция бортового самописца. Кибл пришел в восторг: вызвал Уоррена и предложил ему продумать детали. Уоррен провел несколько испытаний диктофона на реактивных самолетах и нашел способ, как убрать посторонние шумы от работающего двигателя на записи. Кибл был впечатлен и дал команду найти подрядчика для реализации. • В 1958 году первый прототип был готов. Устройство записывало до 4-х часов разговоров пилотов в кабине, а также электрические сигналы от приборов с частотой 8 раз в секунду. Запись продолжалась циклически, стирая всю информацию при перезаписи. • Кирб и Уоррен предложили свое устройство управлению гражданской авиации Австралии, однако столкнулись с решительным отказом. Во-первых, само управление считало, что пользы от диктофона в кабине будет мало, а во-вторых, пилоты воспротивились слежке за собой. Тогда устройство предложили Совету по воздушной регистрации Великобритании. Там поняли все преимущества и внедрили имеющиеся устройства на все самолеты гражданской авиации. Но по итогу компания Уоррена не смогла наладить серийное производство и продала права британской компании S. Davall & Sons. Те начали производство и одновременно лоббировали законы в разных странах, которые бы обязали авиакомпании устанавливать бортовые самописцы. • В январе 1963 года Австралия стала первой страной, которая обязала записывать как данные, так и голос на всех самолетах. В это время использование бортовых самописцев стало стандартом для всех полетов на протяжении следующих 60 лет. Вот так и появились черные ящики... #Разное

Атаки на ОС Windows: как понять и предотвратить Windows — главный трофей для атакующих. Но чтобы защитить систему, нужно знать, как она ломается. Приглашаем на открытый урок. 📅 Встречаемся 18 ноября в 20:00 мск. На вебинаре разберём: • жизненный цикл атаки на Windows по MITRE ATT&CK; • векторы доступа и закрепления (фишинг, автозапуск, злоупотребление инструментами); • какие события Windows и Sysmon реально показывают атаку; • как строить корреляции в SIEM и снижать риски простыми мерами. После вебинара вы сможете: — отличать фазы атаки и понимать их цели; — читать журналы Windows как карту вторжения; — быстрее реагировать на инциденты и усиливать защиту инфраструктуры. Присоединяйтесь 18 ноября в 20:00 и разберите Windows с точки зрения атакующего. 🎁 Проходит в преддверии старта курса «Специалист по внедрению SIEM». Все участники вебинара получат специальные условия на полное обучение курса. 👉 Регистрация бесплатная, но количество мест ограничено — успей занять своё место: https://otus.pw/FpwQ/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

👨‍💻 Анализ логов хоста в контексте контейнерных угроз: как определить точку начала атаки. • Контейнеры обеспечивают изолированность среды выполнения для приложений, однако уровень этой изоляции часто переоценивают. Хотя контейнеры включают все необходимые зависимости и обеспечивают единообразие среды, они все равно обращаются к ядру системы хоста, что создает определенные риски для безопасности. • Среды с ограниченной видимостью затрудняют работу специалистов по киберугрозам и реагированию на инциденты, поскольку в них сложно однозначно отличить процессы, запущенные внутри контейнера, от тех, что выполняются непосредственно на хосте. Из-за этой неопределенности трудно установить, откуда на самом деле началась атака — в скомпрометированном контейнере или непосредственно на хосте. • В этой статье мы разбираемся, как восстановить цепочку выполнения процессов внутри работающего контейнера на основе логов хоста. Описанные методы помогут специалистам по киберугрозам и реагированию на инциденты определять первопричину компрометации исключительно на основе логов, собранных на уровне хоста. ➡Риски для контейнеризованных сред; ➡Как создаются контейнеры и как они работают; ➡Как BusyBox и Alpine выполняют команды; ➡Примеры из реальных расследований. ➡️ https://securelist.ru/host-based-logs-container-based-threats/112780/ #ИБ #soc

Microsoft раскрыла подробности новой атаки по побочным каналам Whisper Leak, которая позволяет потенциальному злоумышленнику выделять конфиденциальные темы запросов из зашифрованного трафика между пользователями и большими языковыми моделями (LLM). По мнению исследователей, утечка данных, которыми обмениваются люди и языковые модели в потоковом режиме, представляет серьёзную угрозу для конфиденциальности пользовательских и корпоративных коммуникаций. Причем основные риски Whisper Leak в Microsoft связывают со акторами, располагающими возможностью контроля за зашифрованным трафиком. К таковым отнесли спецслужбы с их аппаратурой, провайдеров и продвинутых злоумышленников, находящихся в той же локальной сети. Несмотря на широкое использование шифрования TLS, исследователи продемонстрировали, что закономерности в размерах пакетов и времени передачи могут раскрыть достаточно информации для классификации основных тем разговоров с поразительной точностью. Обнаружившие Whisper Leak исследователи раскрыли технические подробности 28 крупным поставщикам LLM, чей трафик им удалось отмониторить в разрезе более 21 000 запросов на каждую модель. Используя передовые классификаторы машинного обучения, они научили модели отличать деликатные темы, например, «отмывание денег», от безобидных тем в хаотическом наборе данных. Примечательно, что 17 протестированных моделей достигли 100% точности при полноте 5–20% в условиях смоделированного дисбаланса в соотношении шума к цели - 10 000:1. Атака нацелена на LLM-модули, которые передают ответы по токенам через зашифрованные HTTPS-соединения. TLS шифрует контент, но не скрывает размер и время доставки отдельных пакетов. Whisper Leak использует эту особенность, позволяя злоумышленнику наблюдать за зашифрованным трафиком между пользователем и службой LLM, извлекать размер пакета и временные последовательности, и по итогу задействовать обученные классификаторы для определения того, соответствует ли тема разговора конфиденциальной целевой категории. Как отмечают исследователи, это вовсе не является недостатком самого TLS, а скорее фундаментальной проблемой взаимодействия современных LLM с пользователями, где сочетание авторегрессивной генерации, потоковых API и метаданных шифрования создаёт уязвимости. Проведенные тесты показали, что к наиболее уязвимым относятся модели OpenAI (GPT-4o-mini, GPT-4.1), Microsoft (DeepSeek), X.AI (серия Grok), Mistral и Alibaba (Qwen2.5). Все они часто передавали ответы по одному токену за раз, что делало их более уязвимыми. Модели Google (Gemini) и Amazon (Nova) продемонстрировали большую устойчивость, вероятно, из-за пакетирования токенов, но всё же оказались не полностью защищены от атак. Кроме того, исследователи пришли к выводу, что ни одна из стратегий смягчения последствий (случайное заполнение, пакетирование токенов или внедрение пакетов) не позволило полностью нейтрализовать атаку. Что ещё хуже, исследователи обнаружили, что эффективность Whisper Leak может возрастать по мере того, как злоумышленник со временем собирает больше обучающих данных. Так что атаки по сторонним каналам на системы ИИ могут со временем становиться все более мощными. После ответственного раскрытия информации, начиная с июня 2025 года, OpenAI, Mistral, Microsoft и xAI внедрили меры по снижению риска, другие же поставщики никак не отреагировали.