Posts / Profile of CIOlogia / Habr

10 hours ago4K

Лаборатория Касперского проверила 231 миллион паролей из даркнет-утечек 2023–2026 годов: 60% взламываются менее чем за час, почти половина — меньше чем за минуту.

Одна видеокарта RTX 5090 перебирает MD5-хеши со скоростью 220 миллиардов в секунду — на 34% быстрее, чем RTX 4090. Арендовать такую мощность в облаке можно за несколько долларов в час. Это уже не академическая атака — это промышленный процесс.

Цифры, которые неприятно читать. По данным SecurityLab, исследование Лаборатории Касперского разбивает 231 миллион паролей примерно так: 45% ломаются за минуту, ещё 15% — в пределах часа, и только 23% требуют больше года непрерывного перебора. Оставшиеся — где-то посередине. Три четверти паролей, которые люди считают «нормальными», не переживут рабочего дня атакующего.

Почему умные алгоритмы выигрывают у человека. Дело не только в железе. Современные инструменты взлома обучены на тех же утечках — они знают, что пользователи заменяют «a» на «@», добавляют год рождения в конец и ставят восклицательный знак, думая, что это хитро. Алгоритм проверяет эти паттерны первыми. Радужные таблицы с миллионами заранее посчитанных хешей — это вчерашний день; сегодня работают вероятностные модели, натренированные на реальном поведении людей.

Отдельная история — повторное использование паролей. Если один и тот же пароль стоит на трёх сервисах, взламывать ничего не нужно: достаточно найти его в одной утечке и прогнать по остальным. Credential stuffing — это не атака на пароль, это атака на человеческую лень.

Что реально помогает

Менеджер паролей — единственный способ иметь уникальные длинные комбинации без боли. Хранить в браузере или заметках — примерно то же, что оставить ключ под ковриком.
Длина важнее сложности. Случайная фраза из четырёх слов длиннее и энтропийнее, чем Pa$$w0rd123.
Passkeys (ключи доступа) там, где сервис поддерживает — убирают пароль из уравнения вообще.
TOTP-аутентификатор вместо SMS. SMS перехватывается через SS7 или SIM-swap; TOTP — нет.

Для корпоративного контекста добавлю: если у вас нет политики паролей с проверкой по базам утечек (HaveIBeenPwned API или аналог) и принудительного MFA на всех внешних точках входа — вопрос не в том, взломают ли, а в том, когда именно это уже произошло и вы просто не знаете.

Скорость перебора будет только расти — следующее поколение GPU сделает ещё один шаг вперёд. Пароли как механизм аутентификации доживают последние годы, и чем раньше инфраструктура это учтёт, тем меньше будет неприятных сюрпризов.

May 7 at 08:093.4K

За январь–апрель 2026 года число уникальных вредоносных образцов в атаках на российские компании выросло с 66 до 1174 — в 18 раз, по данным Positive Technologies. «Лаборатория Касперского» считает иначе: их аналитики зафиксировали уже более 2000 уникальных образцов среди наиболее активных группировок за тот же период.

Динамика по месяцам показательна: январь — 115 образцов, февраль — 247, март — 413, апрель — 399. Для сравнения: в марте 2025-го их было 8. Рост не постепенный — это резкий перелом с марта 2026-го.

Кто стоит за цифрами. Positive Technologies отслеживает 11 группировок, из которых четыре — PhaseShifters, Rare Werewolf, Hive0117 и PhantomCore — дали около 70% всех новых образцов. PhaseShifters бьёт по авиапрому и ОПК через фишинг с трояном Remcos — полный контроль над машиной, кейлоггер, доступ к данным. Rare Werewolf действует тоньше: разворачивает легитимный AnyDesk со вспомогательным скриптом, который автоматически подтверждает системные оповещения Windows и обходит предупреждения безопасности. Никакого «страшного» экзотического малвари — просто инструмент удалённого доступа, которому сама ОС говорит «ок».

По отраслям лидируют госучреждения (17,86% атак), финансовый сектор и НКО (по 9,82%), промышленность (8,04%). Аналитик Positive Technologies Денис Казаков называет главной причиной роста геополитику и «индустриализацию» разработки малвари: уязвимости, появившиеся в 2025-м, постепенно вошли в оборот, и теперь группировки штампуют новые образцы конвейерным методом.

Для меня как CIO здесь важнее всего не сама цифра «в 18 раз», а то, что Rare Werewolf работает через легитимный софт. Это означает, что сигнатурный антивирус промолчит, а SOC увидит «обычное» подключение AnyDesk — если вообще увидит. Контроль разрешённых инструментов удалённого доступа и мониторинг аномальных сессий сейчас важнее очередного обновления антивирусных баз.

Источники:

Материал CNews со ссылкой на данные Positive Technologies и Kaspersky

-2

May 6 at 08:583.8K

В файрволах Palo Alto Networks нашли критическую уязвимость, позволяющую получить root-доступ удалённо — без аутентификации.

Детали пока скупые: SecurityLab сообщает о захвате устройства через сеть, но ни CVE-номера, ни затронутых версий PAN-OS в открытом доступе пока нет. Это само по себе тревожный сигнал — либо патч ещё не готов, либо информацию придерживают намеренно, чтобы не дать атакующим готовый вектор до выхода исправления.

Для тех, кто держит периметр на PA-серии: Palo Alto — один из самых распространённых enterprise-файрволов в российских корпоративных сетях, особенно в компаниях, которые ещё не завершили импортозамещение. Root на файрволе — это не просто «дыра в защите». Это полный контроль над трафиком, возможность отключить сегментацию сети, обойти политики и получить плацдарм для горизонтального движения внутри инфраструктуры.

Что стоит сделать прямо сейчас. Проверить, торчит ли management-интерфейс вашего Palo Alto в интернет (он не должен). Подписаться на security advisories от Palo Alto Networks напрямую — они публикуют бюллетени на security.paloaltonetworks.com раньше, чем новость доходит до агрегаторов. И следить за обновлением: как только выйдет патч с CVE — ставить без раздумий.

Файрвол с root-уязвимостью на периметре — это уже не файрвол, а открытая дверь с охранником, который работает на другую сторону.

Источники:

SecurityLab: уязвимость в файрволах Palo Alto

May 5 at 08:034.4K

Opensource-зависимости стали одним из главных векторов атак на цепочки поставок — и это уже не теория. Positive Technologies обновили PT Fusion до версии 1.7: теперь в нём появились фиды от PT Supply Chain Security с данными о вредоносных, протестных и удалённых релизах опенсорс-проектов. Формат — OSV, стандартный для ИБ-сообщества.

Что за угрозы они покрывают. Речь о трёх категориях: пакеты с намеренно внедрённым вредоносным кодом, «протестные» релизы (когда мейнтейнер что-то встраивает из политических или личных соображений — как было с colors.js или node-ipc) и заброшенные проекты, которые никто больше не патчит. Последнее — особенно коварно: уязвимость может существовать годами, и никто её не закроет.

Где это применимо. Фиды грузятся в SCA-инструменты, dependency firewall и реестры артефактов. Отдельный сценарий — ретроспективный forensics: при расследовании инцидента можно проверить, не было ли скомпрометированной зависимости на конечных устройствах. Это меняет SCA из «проверки перед деплоем» в непрерывный мониторинг.

Для компаний, где разработка использует опенсорс (а это почти все), вопрос уже не «нужен ли нам контроль зависимостей», а «насколько актуальна наша база данных угроз». Фиды в PT Fusion обновляются регулярно — это важнее самого факта их наличия.

Источники:

Новость CNews о PT Fusion 1.7

May 4 at 08:203.5K

4 мая Microsoft подтвердила: Defender с обновлением сигнатур от 30 апреля начал детектировать легитимные корневые сертификаты DigiCert как Trojan:Win32/Cerdigent.A!dha — и в ряде случаев не просто предупреждал, а удалял их из хранилища доверенных корневых сертификатов Windows.

Под удар попали два конкретных сертификата (`0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43` и DDFB16CD4931C973A2037D3FC83A4D7D775D05E4), которые вырезались прямо из ветки реестра HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\. Часть пользователей, не разобравшись, переустанавливала Windows — решив, что машина реально заражена.

Что произошло на самом деле. Defender оперативно добавил правила обнаружения после инцидента у DigiCert: злоумышленники атаковали сотрудника поддержки через вредоносный ZIP под видом скриншота, получили действительные сертификаты и использовали их для подписи малвари — в том числе компонентов кампании Zhong Stealer. DigiCert отозвала 60 сертификатов. Логика детекта сработала, но зацепила слишком широко — накрыв заодно и легитимные корневые.

Проблема исправлена в Security Intelligence 1.449.430.0 и новее. Свежее обновление также восстанавливает ранее удалённые сертификаты — дополнительных ручных действий Microsoft не требует.

Для меня как CIO этот инцидент — хорошая иллюстрация того, насколько хрупкой может оказаться цепочка доверия к сертификатам. Один взломанный сотрудник поддержки у CA, несколько выданных сертификатов — и антивирус крупнейшего вендора начинает «лечить» легитимную инфраструктуру. Если у вас есть системы, критически зависящие от конкретных корневых сертификатов (VPN, внутренние PKI, подписанные агенты мониторинга), стоит проверить, не прилетело ли обновление сигнатур незаметно в нерабочее время и не унесло ли что-нибудь с собой.

Источники:

Разбор инцидента на Anti-Malware.ru

Удалено удалено

В cPanel обнаружена уязвимость, позволяющая получить доступ к серверу без пароля — авторизацию можно обойти полностью.

cPanel стоит на миллионах хостинг-серверов по всему миру. Это де-факто стандарт для shared-хостинга и небольших VPS. Если дыра позволяет зайти без учётных данных — под угрозой не только сайты, но и базы данных, почтовые ящики, конфигурации, SSH-ключи, всё что лежит на сервере.

Детали эксплойта SecurityLab не раскрывает, но сам факт обхода аутентификации — это уже критический уровень. Не «повышение привилегий», не «утечка данных при определённых условиях». Просто: пароль не нужен.

Что стоит проверить прямо сейчас

Если у вас или ваших подрядчиков есть серверы на cPanel:

убедитесь, что установлена последняя версия панели (апдейты в cPanel выходят через WHM → cPanel & WHM Updates)
закройте порты 2082, 2083, 2086, 2087 для внешнего доступа, если панель не должна быть публичной
проверьте логи авторизации на предмет подозрительных входов за последние несколько дней
если используете хостинг-провайдера — уточните у него статус патча

Последнее, что хочется обнаружить в понедельник утром: кто-то уже неделю ходит по вашему серверу, пока вы думали, что всё закрыто.

-1

Mar 19 at 09:37357

Git * GitHub *

GitHub тихо превратили в Store.
Ну почти.

Недавно наткнулся на занятный опенсорс‑проект — GitHub Store (github.com/OpenHub-Store/GitHub-Store). Это такая «оболочка» поверх GitHub, которая делает с репозиториями то же самое, что App Store / Google Play делают с приложениями.

В чём суть

По факту GitHub Store пытается ответить на давно назревший вопрос:

«Почему, чтобы поставить простую утилиту с GitHub, мне нужно идти читать README, искать бинарники, разбираться с релизами, а потом ещё помнить, как это всё обновлять?»

Авторы решили: хватит так жить. Давайте сделаем нормальный стор поверх GitHub, но без своей отдельной экосистемы:

есть лента с трендами и популярными репозиториями — можно просто полистать и найти что‑нибудь полезное, как в обычном магазине приложений;

установка в один клик (ну, почти) — не надо руками лазить по релизам и думать, какой файл скачать;

автоматические обновления уже установленных программ — не нужно помнить, что там выходило, кто из них обновился, а кто нет;

работает на Android, Windows, macOS и Linux — то есть это не очередной «только под одну платформу, остальным держаться».

С точки зрения пользователя это выглядит как нормальный стор: плитки, поиск, категории, тренды. Но под капотом — обычные GitHub‑репозитории. Никакого своего «реестра пакетов», зависимостей и т.п. Всё, что уже лежит на GitHub, становится чуть более человечно упакованным.

Зачем это вообще нужно

Если вы давно сидите на GitHub, то знаете эту боль:

находишь классный проект на Hacker News / Хабре / Реддите;
переходишь в репу;
в README: «build it yourself», 15 шагов, три тулчейна и «tested only on Arch btw»;
если повезло — есть бинарник где‑то глубоко в релизах, но без автообновлений.

GitHub Store как раз пытается это сгладить:
вместо «репозиторий с набором файлов» — понятное приложение, которое можно установить и потом обновлять как нормальный софт.

Причём это не замена package manager’ам (apt, brew, winget и прочие), а именно интерфейс к тем проектам, которые туда никогда не доедут: личные тулзы, мелкие утилиты, нишевые программы, эксперименты.

Автор проекта прямо пишет, что идея — собрать в одном месте тысячи программ, которых вы не увидите ни в одном официальном сторе, но которые живут на GitHub, звёзды собирают, а до пользователя так и не доезжают.

Чем это похоже на App Store, а чем — нет

Похоже:

есть витрина: тренды, популярное, поиск;

есть установка в одно действие;

есть обновления, о которых думать не нужно.

Не похоже:

нет централизованной модерации в духе Apple/Google — это всё равно GitHub, со всеми вытекающими;

нет единого UX по установке/запуску (проекты разные, и у каждого свои особенности);

безопасность пока, очевидно, на уровне «как в GitHub»: вы сами решаете, кому верить.

То есть это не «новый стор, который победит все остальные», а надстройка над тем, чем GitHub по факту давно является — огромным складом софта, где интерфейс для обычного пользователя исторически был «так себе».

Кому это вообще может зайти

Тем, кто любит ковыряться в GitHub и искать новые инструменты, но устал превращать каждый проект в квест.

Тем, кто живёт на Linux / Windows / macOS, использует кучу мелких утилит и хочет держать их в одном месте с автообновлениями.

Тем, кто сам пилит опенсорс: это ещё один канал донести свой проект до людей, которые не любят GitHub, но любят «поставить и пользоваться».

Что в итоге

Идея «сделать стор поверх GitHub» витала довольно давно, но тут её хоть кто‑то нормально попробовал свернуть в рабочий вид, да ещё и кроссплатформенно.

Пока это выглядит как удобная человеческая морда к GitHub, а не очередной велосипед ради велосипеда. Если у вас жизнь связана с опенсорсом (или вы просто любите новые игрушки), проект точно стоит хотя бы посмотреть.

Ну и по классике: это опенсорс, так что можете не только поставить, но и прийти с PR’ами, если чего‑то не хватает или кажется сделанным криво.