История одного инцидента 🚨

В одной крупной компании недавно внедрили UEBA-систему 🙂 (анализирует поведение пользователей и ищет аномалии). И вот, глубокой ночью, эта система начинает бить в набат.

Сработал алерт о крайне аномальной утечке данных с ноутбука одного из топ-менеджеров. Дашборд показывал страшную картину, где гигабайты зашифрованного трафика уходят на какой-то неизвестный IP-адрес. Уверенность системы в том, что это взлом, была почти стопроцентной.

Сердце, конечно, ушло в пятки. Утечка с ноута топа это лютый сценарий и весёлые перспективы. Тут же подняли по тревоге всю команду реагирования на инциденты, начали готовить отчеты для руководства и уже морально готовились к 🔞

А оказалось... руководитель просто вернулся из отпуска. Его корпоративный ноутбук, впервые за две недели подключившись к интернету, начал усердно синхронизировать гигабайты фотографий и видео с пляжа, и увеселительных заведений в его личное облако. UEBA-система, не имея истории такого поведения для этого пользователя и видя огромный объем трафика на неодобренный сервис, тут же решила, что это атака и кража корпоративных секретов.

По итогам инцидента правила допилили. С руководством проведена профилактическая беседа о том, что рабочий ноут не семейный фотоальбом... В памяти команды этот случай навсегда остался инцидентом с шашлыками.

Типичный 🥸 Сисадмин

Мы внедрили Agile и CI/CD, чтобы ускорить разработку! 😊

MemOps 😃

Изолированные контейнеры, работающие на одном ядре. Всё по учебнику.

Типичный 🐳 Сисадмин

Великий китайский файрвол дал сбой при попытке заблокировать QUIC

Исследователи из нескольких и группа активистов Great Firewall Report обнаружили, что недавняя попытка Китая обновить свой "Великий китайский файрвол" (GFW) для блокировки трафика по протоколу QUIC оказалась неудачной и создала новые уязвимости в самой системе цензуры.

QUIC — это современный транспортный протокол, работающий поверх UDP, который ускоряет соединение по сравнению с TCP. Его активно используют Google и Meta, поэтому для китайских цензоров блокировка QUIC логичный шаг. Однако, в отличие от TLS, где Server Name Indication (SNI) передается в открытом виде, в QUIC даже первый пакет зашифрован. Чтобы прочитать SNI и понять, куда идет пользователь, GFW приходится расшифровывать первый пакет каждого QUIC-соединения.

Именно здесь и начались проблемы. Оказалось, что GFW пытается блокировать QUIC даже для тех доменов, которые его не поддерживают, а его черный список для QUIC на 40% меньше, чем для DNS. Более того, файрвол пытается обрабатывать даже некорректные QUIC-пакеты, тратя на это ресурсы. Из-за высокой вычислительной нагрузки эффективность блокировок сильно зависит от времени суток, ночью, когда трафика мало, она достигает пика, а днем, в часы пик, - падает.

Но самое интересное, в том, что эту особенность можно использовать для атаки на сам GFW. Отправляя специально сформированные QUIC-пакеты, можно целенаправленно нагружать и деградировать инфраструктуру файрвола из-за пределов Китая 🎹

Кроме того, была найдена уязвимость для атаки на доступность (availability attack). Отправляя поддельные UDP-пакеты с определенными параметрами, можно заставить GFW заблокировать доступ ко всем открытым DNS-резолверам за пределами Китая, что приведет к массовым сбоям DNS по всей стране. Исследователи сообщили об этой уязвимости китайским властям, но те смогли исправить ее лишь частично.

В общем, в попытке закрутить гайки еще сильнее, Китай случайно создал инструмент, который может сломать их же интернет 🏥

Типичный 🥸 Сисадмин

Проект KDE выкатил первую публичную пре-альфа-версию своего нового дистрибутива — KDE Linux (ранее известного как "Project Banana"). Важно не путать его с KDE Neon. Если Neon по сути, свежий KDE поверх Ubuntu LTS для демонстрации новых фич, то KDE Linux совершенно другой проект.

В его основе лежит иммутабельная (immutable) архитектура, явно вдохновленная SteamOS 3. Это означает, что корневой раздел Btrfs находится в режиме только чтение, а обновления системы происходят атомарно, путем замены всего образа ОС, как на смартфонах. Для откатов используются снепшоты Btrfs, а сама система имеет два корневых раздела (A/B), которые обновляются поочередно. Это должно сделать систему пуленепробиваемой и защищенной от сбоев при обновлении.

Дистриб построен на базе Arch Linux, но это не совсем Arch. Из-за иммутабельности здесь нет пакетного менеджера, и пользователь не может устанавливать нативные пакеты, включая проприетарные драйверы Nvidia (поддерживаются только GPU с открытыми драйверами). Приложения устанавливаются в виде изолированных пакетов Flatpak (возможно, добавят и Snap) через магазин KDE Discover.

Пока что проект на очень ранней стадии. Текущая сборка весит более 5 ГБ, обновления - это скачивание полного нового образа (инкрементальные апдейты пока не поддерживаются), нет поддержки Secure Boot, а работает все это только на Wayland. При попытке запустить его в QEMU, рабочий стол падает сразу после логина 😁

Linux / Линукс 🥸

🔨 Уровень брака оставляет желать лучшего: выход процессоров Intel Panther Lake под угрозой

Intel столкнулась с серьёзными проблемами при внедрении своего передового производственного техпроцесса 18A, предназначенного для выпуска чипов нового поколения Panther Lake. Этот техпроцесс должен был вернуть компании лидерство на рынке, однако на практике всё оказалось сложнее: по данным источников, с конца прошлого года только около 5 % произведённых чипов соответствовали техническим требованиям, а к лету 2025 года этот показатель вырос лишь до примерно 10 %. Для нормальной рентабельности Intel, как правило, необходим уровень выхода годной продукции в районе 70–80 %.

Хотя компания официально не раскрывает цифры, её представители уверяют, что процесс улучшится к концу года. Тем не менее не исключено, что Intel придётся продавать чипы в убыток или отложить полноценный запуск.

Типичный 🥸 Сисадмин

Скоро будет опять актуально 😬

З.Ы. Физический маркетплейс Docker-образов.

Типичный 🥸 Сисадмин

Perplexity обвинили в игнорировании robots.txt и маскировке своих ботов

AI-поисковик Perplexity поймали на агрессивном парсинге сайтов в обход robots.txt и с использованием скрытых IP-адресов. По данным Cloudflare, боты Perplexity сначала представляются как PerplexityBot или Perplexity-User и пытаются сканировать сайт. Если их блокируют, они начинают действовать хитрее: меняют user-agent на обычный Google Chrome под macOS и запускают парсинг с IP-адресов, не входящих в их официальный пул, чтобы обойти блокировки по IP.

По данным компании TollBit, количество ботов, игнорирующих robots.txt, выросло с 3.3% до 12.9% всего за один квартал. А соотношение парсинга к реальным переходам людей на сайт просто поражает: у Bing — 11:1, у OpenAI — 179:1, а у Perplexity — 369:1. То есть на 369 запросов от бота приходится всего один переход живого человека.

Пока OpenAI, по данным Cloudflare, ведет себя прилично и даже подписывает свои запросы, другие игроки, похоже, решили, что правила для них не писаны. robots.txt из джентльменского соглашения превращается в бесполезный текстовый файл.

Похоже, скоро единственным надежным способом защититься от AI-парсеров будет не robots.txt, а хорошо настроенный fail2ban с агрессивными правилами.

🥸 godnoTECH - Новости IT

Критические уязвимости в чипах Broadcom на миллионах ПК Dell, позволяющие обойти биометрию любым пальцем 🤙

Исследователи из Cisco Talos опубликовали детальный разбор пяти критических уязвимостей в чипах Broadcom BCM5820X, которые используются в аппаратном анклаве безопасности Dell ControlVault3. Этот модуль установлен в десятках миллионов ноутбуков Dell серий Latitude и Precision и отвечает за безопасное хранение паролей и биометрических данных.

Уязвимости, получившие общее название ReVault, включают в себя чтение/запись за пределами буфера, переполнение буфера на стеке и небезопасную десериализацию (CVE-2025-24311, -25050, -25215, -24922, -24919). Вместе они позволяют реализовать два крайне опасных сценария атаки:

1. Пост-компрометация с персистентностью:

Локальный пользователь без прав администратора может через Windows API выполнить произвольный код в прошивке ControlVault. Это позволяет не только извлечь криптографические ключи, но и внедрить бэкдор, который переживет переустановку Windows и будет незаметен для большинства защитных средств.

2. Физическая атака:

Злоумышленник, получив физический доступ к ноутбуку, может вскрыть корпус и напрямую подключиться к USH-модулю через USB. Это позволяет обойти логин Windows и шифрование диска. Более того, можно модифицировать прошивку так, чтобы система принимала любой отпечаток пальца для разблокировки (в демонстрации Talos для этого использовали луковицу).

Dell выпустила исправления (DSA-2025-053).

Типичный 🎹 Сисадмин

Доля GNU/Linux среди пользователей на десктопах

Linux занимает 3.9% рынка, по сравнению с 4.91% у macOS и 71.83% у Windows (Statcounter)

В сегменте десктопного гейминга Linux имеет долю 2.89% (лидируют Arch Linux, Linux Mint и Ubuntu), против 1.88% у macOS и 95.23% у Windows (Steam)

Доля Linux на десктопах — 2.76%, macOS — 14.55%, Windows — 70.39% (Statista)

Согласно опросу Stack Overflow 2025:

— 27.8% разработчиков используют Ubuntu для личных нужд, 27.7% — в профессиональной деятельности.
— 11.4% используют Debian дома, 10.4% — на работе.
— 17.6% используют другие дистрибутивы Linux (не перечисленные выше) для личного использования, 16.7% — в профессиональной среде. Это не включает WSL.

Linux / Линукс 🥸

Новая эра кибератак и Vibe Hacking 😎

Исследование от CrowdStrike подтверждает то, о чем многие догадывались. Злоумышленники активно используют генеративный AI для ускорения и масштабирования своих атак. Это явление уже получило название "vibe hacking", где результат важнее процесса. Благодаря LLM-моделям вроде WormGPT и FraudGPT, даже вчерашние школьники с Kali Linux теперь могут генерировать сложный полиморфный вредоносный код, который переписывает сам себя на лету, обходя традиционные средства защиты.

Происходит смена парадигмы хакинга. Раньше главной точкой входа были люди, теперь AI-агенты. Агентные AI-системы стали основной частью корпоративной поверхности атаки. Злоумышленники атакуют инструменты, используемые для создания этих агентов, чтобы получить доступ, украсть учетные данные и развернуть вредоносное ПО. Они рассматривают этих агентов как часть инфраструктуры, наравне с SaaS-платформами и облачными консолями. Группировки вроде Famous Chollima (КНДР) уже используют AI для автоматизации всех фаз атак, а Scattered Spider умудряется развернуть шифровальщик менее чем за 24 часа после получения доступа.

При этом, несмотря на весь хайп вокруг AI, есть и забавный парадокс. CrowdStrike отмечает, что 81% интерактивных вторжений по-прежнему осуществляются без использования вредоносного ПО - старым добрым методом руками на клавиатуре 🎹, через украденные учетные данные.

Типичный 🥸 Сисадмин

Утечка данных пользователей Cisco.com из-за вишинговой атаки (фишинг по телефону) 📞

Злоумышленники похитили персональные данные пользователей сайта Cisco[.]com после вишинговой атаки на одного из сотрудников. Атакующий с помощью социальной инженерии получил доступ к облачной CRM-системе стороннего поставщика, которую Cisco использует для взаимодействия с клиентами.

Среди похищенных данных — имена пользователей, названия организаций, адреса, пользовательские ID Cisco, email-адреса, номера телефонов и метаданные аккаунтов.

Похожими методами в последние месяцы пользовалась вымогательская группа ShinyHunters. Ранее от подобных атак уже пострадали Adidas, авиакомпания Qantas, Allianz Life, модные дома Chanel, Louis Vuitton, Dior и Tiffany & Co.

Типичный 🥸 Сисадмин

😳 Самая быстрая в мире помойка для бэкапов со скоростью 1.2 ПБ/час и восстановление за секунды до атаки.

На конференции Black Hat 2025 было представлено интересное обновление для all-flash СХД Alletra Storage MP X10000. Система, построенная на DASE-архитектуре (disaggregated shared everything), теперь позиционируется как высокоскоростное решение для бэкапов. Заявленная скорость ingest'а данных до 1.2 ПБ/час. Решение работает в связке с ПО, обеспечивающим дедупликацию до 60:1, и интегрируется с популярными системами резервного копирования.

Но самая мякотка — это интеграция с кибер-секьюрити. ПО для аварийного восстановления Zerto теперь может работать в паре с платформой CrowdStrike Falcon. Схема простая, как мычание: как только ихний Сокол засекает на сервере какую-то гниду, типа шифровальщика, он тут же дает команду Zerto, и тот откатывает виртуалку в состояние за секунду до того, как всё сломалось. Всё это дело упаковали в красивую обертку под названием Хранилище кибер-устойчивости (Cyber Resilience Vault), типа герметичный бункер для данных, куда лапы недруга не дотянутся.

Интересно, куда мы летим с такими технологиями. Скоро можно будет вообще не бояться взломов. Шифровальщик залез в сеть? Не проблема. Пока он там пытается зашифровать первый файл, система уже откатилась на секунду назад, параллельно определив вектор атаки и закрыв дыру. Ты спокойно пьешь кофе, видишь алерт, и через пару секунд все снова работает, как будто ничего и не было. Быстрофикс в реальном времени. Фантастика, которая становится реальностью.

Типичный ☕️ Сисадмин

Гайд по цифровой гигиене.

Wired недавно опубликовали материал о базовых правилах цифровой безопасности для их широкой аудитории. Ниже запилил упрощенную версию без лишней воды, может быть полезна поклонникам приватности 😎

🔵Шифрование коммуникаций. Если мессенджер не использует сквозное шифрование, ваши сообщения могут читать. Signal один из самых надёжных. Telegram в обычных чатах, VK и прочие - увы, без шифрования. Хорошей практикой будет включение исчезающих сообщений везде, где это возможно, это уменьшает объём хранимых данных и, соответственно, риски.

🔵Смартфон и ноут — это личный сейф. Используйте сложный пароль, не полагайтесь на пин или биометрию. Включайте шифрование диска (FileVault, BitLocker, VeraCrypt, Luks). При нахождении в чувствительных условиях, например перед поездками, лучше полностью выключить устройства, в этом состоянии ключи шифрования не остаются в оперативной памяти, что серьёзно затрудняет несанкционированный доступ.

🔵Облачные хранилища не следует воспринимать как безопасную среду. По сути, это сторонние серверы, где вы теряете прямой контроль над содержимым. Даже если провайдер заявляет о защите данных, лучше заранее шифровать файлы перед загрузкой — например, с помощью VeraCrypt. В любом случае, не стоит загружать в облако критически важную или конфиденциальную информацию без дополнительной защиты.

🔵Для обеспечения анонимности в интернете важно понимать, что IP-адрес — это цифровой идентификатор, позволяющий связать активность в сети с конкретным пользователем. 🧅 Луковый браузер остаётся одним из самых надёжных способов скрыть этот идентификатор, хотя его могут блокировать, а скорость соединения заметно снижается. Технология виртуальной маршрутизации более удобное, но менее надёжное решение, так как фактически пользователь просто передаёт свои данные другому провайдеру, которому тоже нужно доверять.

🔵Данные о геолокации также требуют внимания. Смартфоны отслеживают передвижение и могут сохранять маршруты, посещённые места и адреса. Рекомендуется отключить доступ к геолокации для всех приложений, которым он не критичен для работы. Также нежелательно сохранять адреса (дом, работа и тд.) в картах. Для параноиков (в хорошем смысле), кому важна конфиденциальность, разумно оставить телефон дома, включить режим полёта или использовать специальные аксессуары Фарадея, блокирующие радиосигналы, превращая устройство в неактивный пластик.

🔵Финансовая приватность также подвержена рискам. Любые безналичные транзакции фиксируются и могут быть проанализированы. Наличные деньги сохраняют больший уровень анонимности. Криптовалюты, хотя и воспринимаются как приватные, по факту прозрачны. Например, Bitcoin позволяет отследить транзакции, чистый биток (без KYC) почти отсутствует. Альтернативные криптовалюты, такие как ХMR, или специальные инструменты для запутывания следов (миксеры) делают это сложнее, но не исключают возможность идентификации при ошибках в использовании.

🔵Использование дополнительных телефонов в попытках сохранить анонимность в большинстве случаев неэффективно. Гораздо продуктивнее разделять свои активности. Один телефон можно использовать исключительно для работы и авторизованных сервисов, а другой для друзей, игр, чатов, твичей и тд. Главное не смешивать учётные записи, контакты и сценарии использования между этими устройствами.

🏴‍☠️ З.Ы. Цифровой след, оставленный вами в прошлом, уже существует и, скорее всего, обрабатывался и анализировался. Однако это не повод отказываться от мер цифровой гигиены сегодня. Чем раньше вы начнёте соблюдать базовые правила информационной безопасности, тем ваше ощущение чистоты.

У Wired вышел неплохой гайд по цифровой гигиене. Подобные рекомендации вполне универсальны и могут быть полезны не только их читателям, но и любому, кто хочет повысить уровень своей цифровой чистоты.

Какие бы еще советы можно было допилить для расширения гайда?

➡️Будни Эникея

Это не баг, это фича. Винты обеспечивают дополнительное заземление на корпус через деревянный диэлектрик 🏥

Типичный 🥸 Сисадмин