😐Разрыв в три месяца: почему CVE больше не дает полной картины

Аналитики Bitsight изучили, как Китай выстраивает собственный контур учёта уязвимостей на фоне сбоев вокруг CVE и NVD. Когда у американской NVD начались проблемы, а финансирование программы CVE оказалось под вопросом, внимание к альтернативным базам резко выросло.

Ключевые источники в КНР – две госбазы: CNNVD (связана со структурами при МГБ Китая) и CNVD (ведёт CNCERT). Они работают параллельно, используют свои идентификаторы и по-разному наполняются. Внутри много данных из CVE, но между собой записи не синхронизируются, а опечатки и разный формат полей намекают на ручную обработку, из-за чего автоматическая корреляция становится болью.

Интереснее всего случаи, когда записи в CNNVD и CNVD появлялись раньше, чем уязвимости становились публичными в каталоге CVE. Таких записей около 1400, в среднем с форой примерно на три месяца. Это подогревает опасения, что Китай получает фору и может эксплуатировать уязвимости еще до того, как они становятся публичными в CVE; среди примеров упоминаются Siemens, Kubernetes, SAP и WordPress-плагины.

#уязвимости #кибербезопасность #CVE

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🥸Фраза «паспорт покажите» постепенно уступает место «QR покажите»

Мессенджер Max упростил создание цифрового ID: теперь для его оформления достаточно обновить приложение и авторизоваться через «Госуслуги». Сервис доступен совершеннолетним гражданам РФ в разделе профиля «Цифровой ID». Полученный QR-код обновляется каждые 30 секунд, защищен от скриншотов и открывается только по биометрии владельца телефона (Face ID или отпечаток пальца).

Технология позволяет подтверждать возраст без паспорта на кассах самообслуживания в 70 000 магазинов (включая «Пятерочку», «Магнит», «ВкусВилл») и на пунктах выдачи Ozon. Система работает только на том устройстве, где был создан документ.

Напомним, что использование цифрового ID в Max стало официально легальным после принятия поправок в закон «Об информации» в декабре 2025 года. Новые нормы приравнивают сканирование QR-кода в приложении к предъявлению физического паспорта при покупке товаров категории 18+. Юридическая база полностью закреплена Госдумой и Советом Федерации.

#цифровойID #Max #безопасность

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

😈 Сатанисты, оккультисты и нейросети: Госдума собрала полный комплект врагов традиционных ценностей

В Госдуме назвали главные интернет-угрозы для россиян: искусственный интеллект и сатанизм («Международное движение сатанизма» признано экстремистским и запрещено в РФ). На круглом столе по защите ценностей депутаты и духовенство искали способы оградить общество от влияния алгоритмов и оккультизма.

Депутат Яна Лантратова заявила, что её всерьёз встревожила соцсеть для ботов Moltbook, где ИИ якобы создаёт «онлайн-государство» и пишет «манифесты о зачистке людей». Николай Бурляев признался, что сильно «отстал от жизни», и призвал принять закон о запрете «выхода ИИ из-под контроля». Депутат Олег Леонов поспешил успокоить коллег, заявив, что никакого ИИ не существует — это лишь маркетинговый термин и результат «кривых рук программистов».

РПЦ требует быстрее принять закон против рекламы магов и колдунов. Текст документа согласовали, но в Думу пока не внесли. Религиозные организации также настаивают на включении представителей в общественные советы при органах власти. В Роспотребнадзоре пообещали проверить книжные ярмарки, где торговали литературой о сатанизме.

#Госдума #ИИ #регулирование

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

😕 Борьба за военный ИИ в США выходит на новый уровень

В США разгорается жесткий конфликт вокруг Claude. Министр обороны Пит Хегсет потребовал от Anthropic до вечера 27 февраля открыть военным полный доступ к модели, которая уже используется в самых закрытых системах Пентагона. В противном случае ведомство грозит разрывом контракта, признанием компании риском для цепочки поставок и даже применением Закона о военном производстве.

Anthropic готова работать с военными, но не хочет допускать использование ИИ для массовой слежки за гражданами США и полностью автономного оружия. Для Пентагона это уже вопрос не только технологий, но и контроля: военные не намерены мириться с тем, что частная компания ограничивает сценарии применения ключевой модели.

Проблема в том, что равноценной замены у Пентагона пока нет. Claude считается сильнейшим вариантом для ряда чувствительных задач, включая наступательные кибервозможности, а OpenAI, Google и xAI только пытаются зайти в секретные контуры. Этот спор может изменить весь рынок военного ИИ.

#Anthropic #Pentagon #Claude

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🛡 Практический воркшоп: Оценка состояния ТЗИ + Приказ ФСТЭК России № 117

Требования ФСТЭК России по технической защите информации (ТЗИ) ужесточаются: с 2025 г. регулятор может требовать настройки СЗИ, журналы событий, протоколы аудита + ко всему Пункт 32 Приказа ФСТЭК России №117 обязывает проводить оценку раз в 6 месяцев и начиная с 1.08.2026 подавать первые отчеты.

😱 Как каждый раз не делать это вручную и не тратить на сборы 2 недели?

5 марта в 11:00 приглашаем на воркшоп где мы превратим подготовку к проверкам ФСТЭК из аврала в автоматический процесс.

Артём Четвертной, руководитель отдела экспертизы SECURITM, на практике покажет:

✅ Связка «Метрики → Меры → Требования»: Сквозной процесс от технических показателей до выполнения требований ФСТЭК России.
✅ Управление свидетельствами: Как вести учет всех свидетельств аудита и документации по ИБ в одном месте.
✅ Отчетность «в три клика»: Как быстро формировать необходимые по Методике ТЗИ и Приказа ФСТЭК России №117, делая это частью общей системы управления ИБ, а не отдельным процессом.
✅ ТЗИ под контролем: Как автоматически собирать метрики с интегрированных СЗИ и напрямую влиять на итоговую оценку соответствия.

Практика со спикером в Community SECURITM: вы выполните пошаговые действия, разберётесь в инструменте и сразу примените знания на практике.

➡️ Регистрируйтесь уже сейчас!

🕳Власти готовят финальный удар по Telegram

Российские власти определились со сроками полной блокировки мессенджера Telegram. По данным источников, знакомых с обсуждениями в профильных ведомствах, отключение планируют провести в начале апреля. Два источника, близких к Кремлю, называют это окончательным решением. Главная причина - участившиеся случаи вербовки граждан и несовершеннолетних для противоправной деятельности.

В отношении основателя Telegram Павла Дурова расследуется уголовное дело по статье о содействии террористической деятельности. Ч. 1.1 ст. 205.1 УК России предусматривает от восьми лет до пожизненного лишения свободы. Сам Дуров связал это с попыткой подавить право на частную жизнь и свободу слова.

Блокировке предшествовали постепенные ограничения работы мессенджера. С 10 февраля власти начали замедлять Telegram, а ранее ограничили голосовые звонки, объясняя это защитой граждан от мошенничества и вовлечения в противоправную деятельность.

#Telegram #Блокировка #Россия

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

😄Разработчик случайно взломал тысячи гаджетов DJI по всему миру

Обычный эксперимент с «умной» техникой обернулся глобальной проблемой: разработчик из Испании, пытавшийся подключить робот-пылесос DJI Romo к контроллеру PlayStation 5, случайно получил доступ к тысячам чужих устройств по всему миру.

Написанное с помощью ИИ приложение вместо одного пылесоса открыло управление примерно 6,7 тыс. гаджетов в 24 странах, а после выяснилось, что тот же серверный контур обслуживает и портативные электростанции DJI. В сумме доступными оказались более 10 тыс. устройств, включая камеры, карты помещений, серийные номера, IP-адреса и другую служебную информацию.

По словам исследователя, для обхода PIN-защиты хватало 14-значного кода. DJI после уведомления закрыла уязвимость, но история снова показала, насколько рискованной может быть облачная инфраструктура IoT.

#DJI #IoT #Кибербезопасность

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🆕 Еженедельный обзор киберновостей

На этой неделе искусственный интеллект окончательно вышел за рамки лабораторий - его уже вербуют в армию, обвиняют в биржевых обвалах и ловят на развязывании ядерных войн в симуляциях. Пока корпорации и правительства делят ИИ между собой - собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

ФБР уничтожило хакерский форум RAMP, но вместо одной площадки появилось десять — вымогатели рассредоточились и стали ещё менее уязвимы для правоохранителей.

Пентагон потребовал снять ограничения с Claude для военных нужд, однако Anthropic отказалась — и получила жёсткий ответ от администрации Трампа, а контракт в итоге ушёл Grok от Илона Маска.

Команда CrowdStrike зафиксировала, что в 2025 году хакеры тратят на взлом в среднем 27 секунд и обходятся без традиционных вирусов — антивирусы против таких атак практически бессильны.

В открытых Wi-Fi сетях обнаружена уязвимость в стандарте, позволяющая соседу перехватывать историю браузера через атаку «человек посередине» на уровне MAC-адресов.

В симуляциях кризисных сценариев крупнейшие языковые модели инициировали ядерную эскалацию в 95% случаев — исследование поставило острый вопрос о допуске ИИ к военным решениям.

🇷🇺В России

Шифровальщик C77L, пришедший на смену закрытому Phobos, методично уничтожает резервные копии и базы 1С российского бизнеса — с марта 2025 года группировка провела не менее 40 атак, используя слабые пароли и открытый RDP как главную точку входа.

Роскомнадзор заблокировал уже 469 VPN-сервисов — масштаб ограничений вырос на 31% по сравнению с 2024 годом, а с осени нарушителям грозят штрафы до 500 тысяч рублей за рекламу таких сервисов.

Счётная палата выявила системные нарушения при госзакупках программного обеспечения: цены на один и тот же софт в разных контрактах расходятся в два раза и более, а стоимость отдельных лицензий превышает рекомендованную производителем почти в 44 раза.

Российский суд оштрафовал Google на астрономическую сумму, не существующую во всей наблюдаемой вселенной — кассационная жалоба компании отклонена, и прецедент ставит под вопрос саму логику подобных санкций.

Центробанк пригрозил аудиторам исключением из реестра, если те не готовы вкладывать миллионы в собственную информационную безопасность — регулятор вынуждает участников рынка выбирать между инвестициями в ИБ и потерей права на работу.

ℹ️Новости в сфере ИБ

Исследователи Tenable обнаружили тайпсквоттинговый npm-пакет, который сдаёт пароли с 50 тысяч систем ещё до запуска кода — достаточно было одной опечатки при установке зависимости.

В коде Claude Code найдены три уязвимости, позволяющие через вредоносный коммит запустить произвольный код на машинах всей команды — патч уже выпущен, но проблема вскрыла риски ИИ-инструментов в CI/CD.

Критические zero-day уязвимости в оборудовании Cisco позволяют получить полный контроль над корпоративными сетями в обход аутентификации — CISA выпустила экстренную директиву.

Хакеры начали использовать зону .arpa для размещения фишинговых ссылок: блокировать такие домены нельзя, поскольку это обрушит глобальную систему DNS.

Группа Cloud Atlas пять раз заходила в одну и ту же систему через альтернативные потоки данных NTFS после фишинговой атаки — специалисты Solar 4RAYS зафиксировали рекордную настойчивость APT-группировки.

📖 Читайте на SecurityLab

ИИ-агент живёт в Telegram и сам разбирает почту, планирует встречи и пишет отчёты — разбираемся, как устроен OpenClaw, почему репозиторий собрал 175 000 звёзд за три месяца и чем за это придётся заплатить.

Что реально лежит в арсенале пентестера в 2026 году — 50 инструментов, от классического Nmap до ИИ-агентов, которые сами планируют атаку и пишут отчёт.

Если Telegram признают экстремистской организацией, логотип в подвале сайта, реклама в каналах и подписка Premium превратятся в юридические риски для бизнеса и авторов — разобрали, что ломается первым и что делать уже сейчас.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила👇

@SecLabNews

🥷Нейросеть в погонах. ИИ в России проверят спецслужбы

Правительство разрабатывает законопроект «Об искусственном интеллекте в РФ». Документ вводит понятия суверенной и национальной модели ИИ - первая должна создаваться исключительно в России, гражданами РФ и только на российских данных, без иностранных компонентов. Национальные модели допускают использование зарубежного open-source.

Законопроект обязывает устанавливать ИИ-приложения на все смартфоны и планшеты, маркировать синтетический контент и информировать пользователей о взаимодействии с ботами. «Доверенные» модели для критической инфраструктуры должны пройти сертификацию во ФСТЭК и ФСБ.

Рынок уже обсуждает цену и реализуемость требований: полностью суверенных решений без open-source-компонентов почти нет, а разработка самостоятельной модели уровня мировых лидеров может потребовать сотни миллиардов рублей. Закон может заработать с 1 сентября 2027 года, финальная версия пока проходит согласование в ведомствах.

#ИИ #закон #технологии

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🥹Анонимности больше нет. ИИ научился находить ваше реальное имя по случайным комментариям

Большие языковые модели вышли на новый уровень деанонимизации. Исследование Саймона Лермена показало, что современные ИИ-системы способны сопоставлять анонимные аккаунты с реальными людьми по нескольким разрозненным публикациям в интернете. Речь уже не о ручном OSINT-разборе отдельных случаев, а о масштабируемом подходе, который можно применять на уровне целых платформ.

В экспериментах использовали данные Hacker News, Reddit, LinkedIn и обезличенные интервью ученых. В одном из сценариев модель восстанавливала связь между профилем Hacker News и LinkedIn после удаления прямых идентификаторов: сначала отбирала 100 наиболее вероятных кандидатов, затем проводила дополнительную проверку и выбирала лучший вариант. В тестах с Reddit ИИ заново объединял искусственно разделенные фрагменты истории одного аккаунта, а при росте выборки до десятков тысяч кандидатов точность снижалась постепенно, без резкого падения.

Отдельно автор проверил метод на наборе Anthropic Interviewer: модель смогла установить личности 9 из 125 участников. Вывод исследования выглядит довольно прямолинейно: даже редкое хобби, город, место работы или участие в конференции уже формируют уникальный цифровой отпечаток. По мере развития ИИ стоимость такой идентификации будет снижаться, а риски для анонимности, целевого фишинга и других атак, наоборот, расти.

#кибербезопасность #анонимность #LLM

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

❤️ Новые правила КИИ (ПП № 1762): Автоматизируй или проиграешь

05 марта, начало в 11:00

Постановление № 1762 перевернуло привычный порядок категорирования. Теперь вместо него — отраслевые перечни. Как не утонуть в бюрократии и перестроить работу за считанные дни? На вебинаре покажем, как автоматизировать защиту ОКИИ с помощью готового решения:

✅сопоставление сфер деятельности с типовыми отраслевыми объектами КИИ;
✅категорирование по Постановлению №127;
✅автозаполнение формы сведений (приказ ФСТЭК №236);
✅расчёт экономической значимости;
✅автоматическая оценка показателей технической защиты по методике ФСТЭК;
✅моделирование угроз (раздел БДУ или общий перечень);
✅автоформирование регуляторной отчётности.

Сэкономьте месяцы на бумажной работе — переходите на автомат.

🔵 Участие бесплатное. Регистрируйтесь

🧟VPN с российской пропиской: 16 приложений под подозрением

Исследователи RKS Global проверили 87 популярных в России бесплатных VPN-приложений и выяснили, что 16 из них отправляют данные на серверы внутри страны. Проверка шла с октября по декабрь 2025 года и охватила 69 Android-приложений и 18 для iOS.

Во всех 16 случаях использовалась Яндекс.Метрика. Через неё, по данным авторов исследования, могут передаваться сведения об устройстве, сети, местоположении и посещаемых сайтах. Одно приложение, как утверждается, дополнительно отправляло данные на собственные российские серверы.

Авторы отмечают, что часть трафика не поддалась расшифровке, некоторые Android-приложения были защищены от декомпиляции, а iOS-приложения не позволяют провести такой разбор в принципе. Список приложений для проверки собирали по данным App Store и Google Play, поисковой выдаче, аналитическим платформам и профильным рейтингам.

#VPN #Кибербезопасность #Приватность

SecurityLab в Telegram | MAX | Поддержите нас «бустами»