Почему атаки на API все сложнее обнаруживать?
Многие современные атаки на API не связаны с эксплуатацией уязвимостей. Вместо этого злоумышленники используют штатные возможности сервисов: парсят цены, массово бронируют билеты без оплаты, обходят ограничения бизнес-процессов или создают нагрузку, которая внешне выглядит как обычная пользовательская активность.
Проблема в том, что такие сценарии сложно выявить на уровне отдельных запросов. Они маскируются под легитимное поведение и требуют анализа контекста, последовательности действий и бизнес-логики приложения.
В новой статье для SecurityLab эксперты NGENIX разбирают, какие атаки сегодня угрожают API, почему одного WAF недостаточно и как выстраивать многоуровневую защиту.
👉 Читать статью
Многие современные атаки на API не связаны с эксплуатацией уязвимостей. Вместо этого злоумышленники используют штатные возможности сервисов: парсят цены, массово бронируют билеты без оплаты, обходят ограничения бизнес-процессов или создают нагрузку, которая внешне выглядит как обычная пользовательская активность.
Проблема в том, что такие сценарии сложно выявить на уровне отдельных запросов. Они маскируются под легитимное поведение и требуют анализа контекста, последовательности действий и бизнес-логики приложения.
В новой статье для SecurityLab эксперты NGENIX разбирают, какие атаки сегодня угрожают API, почему одного WAF недостаточно и как выстраивать многоуровневую защиту.
👉 Читать статью
2🏆9🆒5🔥3🙊3
В России обсуждают отдельный доступ к зарубежным сервисам для ИТ-компаний. На встрече в Роскомнадзоре предложили создать государственный VPN под названием «ГосVPN», через который разработчики смогут работать с иностранными платформами.
На том же совещании подняли идею российского репозитория свободного ПО. Подробностей пока нет, параметры сервиса перенесли на следующую встречу. Один из источников в ИТ-ассоциации сообщил, что отрасль пока не проявляет большого интереса к инициативе.
Параллельно Билайн сообщил о запуске прямого доступа к Spotify, Netflix, Ticketmaster, Brawl Stars и ряду других зарубежных сервисов без отдельного VPN. Речь идет о площадках, которые не запрещены в России, но сами прекратили работу на российском рынке.
#VPN #ИТ #Роскомнадзор
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
1🙊117
Владельцев сайтов и приложений начнут штрафовать за нарушение правил входа для пользователей из России. Госдума приняла закон во втором и третьем чтениях. Под санкции попадут ресурсы, которые игнорируют установленный порядок авторизации.
По действующим правилам, вход должен идти через номер мобильного телефона, ЕСИА или ЕБС, а также через российский сервис авторизации. Антон Горелкин заявил, что обычных пользователей штрафы не затронут. Ответственность вводят для владельцев ресурсов, которые два года не выполняют требования закона.
Штрафы для компаний составят от 500 000 до 700 000 рублей, при повторном нарушении - до 1,4 млн рублей. За нарушения при использовании рекомендательных технологий суммы тоже доходят до 700 000 рублей, а при невыполнении требования Роскомнадзора - до 2,8 млн рублей.
#закон #Рунет #авторизация
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
👀44🙊23🤷♂5
SSL по санкционному списку: Let’s Encrypt обновил соглашение
Let’s Encrypt обновил пользовательское соглашение и добавил новое условие для запроса, получения и использования SSL/TLS-сертификатов. Получатель теперь должен подтверждать, что не находится, не зарегистрирован и обычно не проживает в странах или территориях под полными санкциями США. Правило появилось в версии 1.7 от 4 июня 2026 года.
Формулировка вызвала спор, потому что в документе говорится не только о госструктурах. Под условие подпадают физические лица, организации, участники санкционных списков, структуры под контролем таких лиц и те, кто действует от их имени.
Представитель проекта пояснил, что сертификаты остаются доступными в Иране и России, но сервис не обслуживает государственные структуры этих стран. Для негосударственных пользователей выпуск возможен благодаря законным исключениям для личных коммуникаций и разрешениям OFAC, связанным со свободой интернета и правами человека. Публичных данных о массовой блокировке российских запросов пока нет.
#LetsEncrypt #санкции #SSL
@SecLabNews
Let’s Encrypt обновил пользовательское соглашение и добавил новое условие для запроса, получения и использования SSL/TLS-сертификатов. Получатель теперь должен подтверждать, что не находится, не зарегистрирован и обычно не проживает в странах или территориях под полными санкциями США. Правило появилось в версии 1.7 от 4 июня 2026 года.
Формулировка вызвала спор, потому что в документе говорится не только о госструктурах. Под условие подпадают физические лица, организации, участники санкционных списков, структуры под контролем таких лиц и те, кто действует от их имени.
Представитель проекта пояснил, что сертификаты остаются доступными в Иране и России, но сервис не обслуживает государственные структуры этих стран. Для негосударственных пользователей выпуск возможен благодаря законным исключениям для личных коммуникаций и разрешениям OFAC, связанным со свободой интернета и правами человека. Публичных данных о массовой блокировке российских запросов пока нет.
#LetsEncrypt #санкции #SSL
@SecLabNews
👀77🙊12
Двухфакторная аутентификация уже стара как мир.
Злоумышленники давно научились искать обходные пути: перехватывать SMS, красть токены и cookie сессии, использовать уязвимости в самих решениях. Можно сказать, они всё чаще заходят не через дверь, а в форточку.
Что делать? Строить многофакторную аутентификацию, устойчивую к современным тактикам злоумышленников. Да, даже в облаке☁️
🔴 О том, как это реализовать, расскажут эксперты Avanpost на вебинаре «Аутентификация в облаке: почему ИБ против и как мы это исправили»
⭐️ Зарегистрироваться
🤓А пока ждёте эфир, проверьте свои знания. Пройдите тест и узнайте, каким фактором защиты вы были бы в мире многофакторной аутентификации.
Может быть, SMS-кой или пушом. А может и вовсе — аппаратным аутентификатором FIDO.
➡ ️Пройти тест
Злоумышленники давно научились искать обходные пути: перехватывать SMS, красть токены и cookie сессии, использовать уязвимости в самих решениях. Можно сказать, они всё чаще заходят не через дверь, а в форточку.
Что делать? Строить многофакторную аутентификацию, устойчивую к современным тактикам злоумышленников. Да, даже в облаке☁️
🤓А пока ждёте эфир, проверьте свои знания. Пройдите тест и узнайте, каким фактором защиты вы были бы в мире многофакторной аутентификации.
Может быть, SMS-кой или пушом. А может и вовсе — аппаратным аутентификатором FIDO.
Please open Telegram to view this post
VIEW IN TELEGRAM
👏9🏆4🤷♂2👀2
Демографический спад обычно объясняют деньгами, карьерой и поздним взрослением. Американские исследователи добавили к списку неожиданный фактор: первый iPhone. По их расчетам, смартфон мог заметно повлиять на падение рождаемости в США после 2007 года.
Работа строится на редкой особенности запуска iPhone. До 2011 года смартфон Apple в США работал только в сети AT&T, поэтому часть округов получила нормальный доступ к мобильному интернету раньше других. В округах с покрытием AT&T рождаемость среди женщин 15-19 лет упала на 8%, среди женщин 20-24 лет - на 6,6%. В зонах Verizon и Sprint похожего эффекта не нашли.
Авторы связывают сдвиг не с магией гаджета, а с поведением. Смартфон заменял часть живого общения, давал доступ к порнографии, информации о контрацепции и репродуктивных правах. По оценке авторов, распространение iPhone может объяснять до 52% общего снижения рождаемости, которое наблюдалось в США в тот период.
#iPhone #демография #исследование
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
🙊28👀22
Anthropic показала неприятное будущее N-day-атак
Раньше у защитников часто оставались недели между выходом патча и появлением рабочего эксплоита. WannaCry начал массово распространяться через 59 дней после выпуска MS17-010, а публичный эксплоит для Citrix Bleed появился примерно через две недели. Исследование Anthropic показывает, что с ИИ этот запас времени может резко сократиться.
Моделям дали не внутренние отчеты об уязвимостях, а открытые материалы: diff патча, уязвимые и исправленные сборки, описания и инструменты для анализа. В тесте на SpiderMonkey, JavaScript-движке Firefox, Claude Mythos Preview получил первый рабочий PoC примерно через 12 минут, а затем превратил часть сбоев в эксплоиты с выполнением нативного кода. В тесте Windows задача была сложнее: без исходного кода, только бинарные файлы, декомпиляция и отладочные символы.
Даже в таких условиях модель подготовила PoC для 18 из 21 уязвимости ядра Windows и собрала восемь эксплоитов, которые повышали права пользователя до SYSTEM. Средняя стоимость успешной цепочки составила около $2000. Главный вывод Anthropic неприятный для команд безопасности: патч теперь может стать подсказкой для атаки уже в день публикации, а медленное обновление превращается в прямой риск.
#уязвимости #эксплоиты #ИИ
@SecLabNews
Раньше у защитников часто оставались недели между выходом патча и появлением рабочего эксплоита. WannaCry начал массово распространяться через 59 дней после выпуска MS17-010, а публичный эксплоит для Citrix Bleed появился примерно через две недели. Исследование Anthropic показывает, что с ИИ этот запас времени может резко сократиться.
Моделям дали не внутренние отчеты об уязвимостях, а открытые материалы: diff патча, уязвимые и исправленные сборки, описания и инструменты для анализа. В тесте на SpiderMonkey, JavaScript-движке Firefox, Claude Mythos Preview получил первый рабочий PoC примерно через 12 минут, а затем превратил часть сбоев в эксплоиты с выполнением нативного кода. В тесте Windows задача была сложнее: без исходного кода, только бинарные файлы, декомпиляция и отладочные символы.
Даже в таких условиях модель подготовила PoC для 18 из 21 уязвимости ядра Windows и собрала восемь эксплоитов, которые повышали права пользователя до SYSTEM. Средняя стоимость успешной цепочки составила около $2000. Главный вывод Anthropic неприятный для команд безопасности: патч теперь может стать подсказкой для атаки уже в день публикации, а медленное обновление превращается в прямой риск.
#уязвимости #эксплоиты #ИИ
@SecLabNews
👀32🔥20👏1🙊1
Система фильтрации Рунета может получить новые мощности. ДЦОА, интегратор оборудования суверенного интернета, объявила закупку не менее 154 серверов на 1,31 млрд руб. Оборудование должны поставить до 14 августа 2026 года.
Серверы нужны для инфраструктуры ТСПУ, которую ставят на сетях операторов связи по требованиям Роскомнадзора. Эти комплексы анализируют трафик, блокируют запрещенные ресурсы и помогают ограничивать доступ к сервисам обхода блокировок. В техзадании указаны серверы на базе двух процессоров Intel Xeon Gold 6530 или аналогов, не менее 1 ТБ DDR5, PCIe 5.0, быстрые SSD и сетевые карты Intel X710 на четыре порта по 10 Гбит/с.
Закупка проходит на фоне роста нагрузки на системы фильтрации и усиления борьбы с VPN. Ранее участники рынка говорили, что при нехватке мощностей часть трафика может уходить в обход ТСПУ. К 2030 году пропускную способность системы хотят довести до 954 Тбит/с, а Роскомнадзор отдельно планирует внедрить фильтрацию с машинным обучением
#Рунет #VPN #Роскомнадзор
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
🤷♂47🙊39👀14🔥4
Руководитель продуктов Сергей Синяков расскажет о важных обновлениях в PT Application Inspector и PT BlackBox: архитектурных изменениях платформы, новом ML-поиске вредоносного кода MOLOT, продвинутой защите 1С, управлении очередью сканирований и динамическом краулере для современных веб-приложений в PT BB.
Руководитель разработки PT Container Security Никита Ладошкин расскажет о безопасности контейнеров на всех этапах жизненного цикла — от наглядного разбора инцидентов до контроля кластера. И поделится новыми возможностями продукта: мониторинге через Grafana, поддержке пользовательских событий, визуализации карты Kubernetes-кластера.
📝 Зарегистрироваться
Please open Telegram to view this post
VIEW IN TELEGRAM
👏6🏆3🆒1
Не преступник, а тестировщик: белым хакерам наконец-то выпишут индульгенцию?
В правительстве находится доработанный пакет документов о регулировании работы «белых хакеров». Власти хотят создать экосистему и инструменты, при которых компании смогут безопасно запускать публичное тестирование ИТ-систем.
Антон Немкин сравнил этичных хакеров с независимым внешним аудитором. Даже штатные специалисты по кибербезопасности могут не замечать слабые места в собственной инфраструктуре, а свежий взгляд помогает найти ошибки до реальной атаки. За 2025 год пентестеры выявили почти 14 тысяч уязвимостей в системах российских компаний и госструктур.
Проблема в том, что по действиям и используемым инструментам пентестеры зачастую мало отличаются от злоумышленников. По словам Немкина, разница возникает фактически на последнем этапе, поэтому сейчас обсуждают критерии разграничения. Правоохранителей тревожит частичное пересечение этих сред, но законодатели также признают пользу этичных хакеров для кибербезопасности, в том числе на объектах КИИ.
#кибербезопасность #пентест #уязвимости
@SecLabNews
В правительстве находится доработанный пакет документов о регулировании работы «белых хакеров». Власти хотят создать экосистему и инструменты, при которых компании смогут безопасно запускать публичное тестирование ИТ-систем.
Антон Немкин сравнил этичных хакеров с независимым внешним аудитором. Даже штатные специалисты по кибербезопасности могут не замечать слабые места в собственной инфраструктуре, а свежий взгляд помогает найти ошибки до реальной атаки. За 2025 год пентестеры выявили почти 14 тысяч уязвимостей в системах российских компаний и госструктур.
Проблема в том, что по действиям и используемым инструментам пентестеры зачастую мало отличаются от злоумышленников. По словам Немкина, разница возникает фактически на последнем этапе, поэтому сейчас обсуждают критерии разграничения. Правоохранителей тревожит частичное пересечение этих сред, но законодатели также признают пользу этичных хакеров для кибербезопасности, в том числе на объектах КИИ.
#кибербезопасность #пентест #уязвимости
@SecLabNews
1🤷♂16👀6👏1
Forwarded from 0day Alert
Google выпустила экстренное обновление Chrome для всех платформ
В движке V8 обнаружена уязвимость, позволяющая выйти за пределы допустимой области памяти. Google подтвердила, что рабочий эксплойт уже существует и активно применяется злоумышленниками.
Также в обновлении закрыты 17 критических уязвимостей типа use-after-free. Уязвимые компоненты охватывают Ozone, Aura, Bluetooth, Autofill, Gamepad, Printing и ряд других модулей браузера.
Новая версия Chrome получила номера 149.0.7827.102/103 для Windows и macOS и 149.0.7827.102 для Linux. Обновление можно запустить вручную через раздел «О браузере Chrome», после чего потребуется перезапуск.
#chrome #zeroday #google #обновление
@ZerodayAlert
В движке V8 обнаружена уязвимость, позволяющая выйти за пределы допустимой области памяти. Google подтвердила, что рабочий эксплойт уже существует и активно применяется злоумышленниками.
Также в обновлении закрыты 17 критических уязвимостей типа use-after-free. Уязвимые компоненты охватывают Ozone, Aura, Bluetooth, Autofill, Gamepad, Printing и ряд других модулей браузера.
Новая версия Chrome получила номера 149.0.7827.102/103 для Windows и macOS и 149.0.7827.102 для Linux. Обновление можно запустить вручную через раздел «О браузере Chrome», после чего потребуется перезапуск.
#chrome #zeroday #google #обновление
@ZerodayAlert
🔥17👏5🙊3