Информационная безопасность *

Telegram Wallet Кошелек скам? Заблокировали средства и уже 2 недели "проверяют"!

Сразу скажу, что у кого похожая ситуация, вам не вернули ваши деньги или вернули, но с большой задержкой, пишите мне в личку или в комментарии тут, есть много идей, что с этим дальше делать. Опишите свою ситуацию, нужны еще "потерпевшие".

Уже 2 недели как "отклонили верификацию" и "ограничили доступ к аккаунту", идет общение с поддержкой и "проверка". Примечательно, помимо немалой суммы, что аккаунту полтора года и за это время ничего (!), кроме 8 пополнений из других моих кошельков не было. То есть никаких расходов, P2P транзакций, никаких бирж, НИЧЕГО, к чему можно было бы даже теоретически придраться. Соблазнился стейкингом по 17% на USDT и удобным интерфейсом. При этот аккаунт был верифицирован на уровне "плюс", это паспорт и фото. 

Да, кастодиальный сервис, но в Телеграме все устроено, чтобы показать, что этот сервис родной, вы видите его в настройках мессенжера, и даже анимация в нем фирменная телеграмовская с "уточкой". Разве мы не доверяем Телеграму и Павлу Дурову?!)

В общем сначала "верификация отклонена", после общения с поддержкой в боте 8 дней, наконец-то потом появилась форма запроса данных, сразу внес туда документы "подтверждающие доход", статус изменился на "Аккаунт на проверке", и снова тишина почти неделю... хотя и в форме и FAQе написано, что такое проверяется до 24 часов.

Вебинар «Контроль на 360°: как оценить защищенность от утечек и выполнить требования регулятора?»

Нормативные требования предписывают защищать от утечек персональные данные, коммерческую, банковскую, налоговую и иные виды тайн и другие категории данных. С задачей справляются DLP-системы. Но как проверить, насколько эффективна защита в вашей инфраструктуре и соответствует ли она требованиям регуляторов?

25 сентября в 11:00 (мск) эксперты «СёрчИнформ» — ведущего российского вендора DLP, и SECURITM — SGRC-системы для управления организационными процессами информационной безопасности, расскажут, как автоматизировать эту проверку.

Вендоры в живой демонстрации представят интеграцию DLP «СёрчИнформ КИБ» с SGRC-системой SECURITM. Это готовый инструмент, который позволит:

• В один клик оценить защищенность компании от утечек: что под контролем, а что — нет.

• Автоматизировать аудит активов.

• Сопоставить «фактуру» из DLP с показателями из других систем защиты, чтобы повысить эффективность ИБ.

• Сделать данные DLP частью стратегии управления рисками, чтобы «закрыть» нормативные требования.

Спикеры вебинара:

• Николай Казанцев, CEO SECURITM.

• Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ».

Участие бесплатное, требуется регистрация по ссылке.

Если в профиле Max вписать «Телеграм» вместо имени, то такой аккаунт моментально отлетит в бан.

Email и бухгалтерия: почему заголовки писем всё ещё угрожают деньгам компаний

Недавно я писал в одной из новостей про новый стандарт электронной почты — RFC 9788. Тогда это выглядело как чисто техническое обновление: поправили старый костыль, добавили пару параметров, придумали новые заголовки. Но если посмотреть на это глазами бизнеса, особенно глазами топ-менеджмента и бухгалтерии, картина оказывается совсем другой.

Электронная почта — это не только переписка с коллегами или рассылка клиентам. Это канал, через который каждый день проходят платёжки, инвойсы, запросы на переводы. И именно эта часть коммуникаций десятилетиями оставалась в зоне риска, потому что заголовки писем (From, Subject, To) никак не защищались. Мы могли шифровать тело письма, подписывать вложения, использовать все возможные фильтры, но если злоумышленнику хотелось заменить тему на «Срочный перевод контрагенту», он мог это сделать.

В результате бухгалтер получал письмо, где всё выглядело честно: защищённый текст, привычный формат счёта, даже подпись была на месте. А заголовки — самое видимое и доверенное место письма — могли быть переписаны. Именно на этом десятилетиями держались самые простые и самые успешные схемы email-фишинга.

И вот только в 2025 году IETF принял новый стандарт — RFC 9788. Он наконец-то говорит очевидную вещь: защищать нужно не только тело письма, но и заголовки. Теперь все поля копируются внутрь зашифрованной части, наружу выходит только технический минимум, а тема письма может заменяться на […]. Если кто-то попробует подделать заголовок, клиент сразу покажет рассинхрон.

Для разработчиков это очередная спецификация, набор правил и тестов. А для бизнеса это история про деньги и риски. Потому что каждый случай, когда бухгалтер ошибся и отправил платёж по фейковому письму, — это прямой убыток. Каждый подобный инцидент — это ещё и риск для репутации: в новостях упоминают не мошенников, а именно ту компанию, которая «повелась».

Да, внедрение будет постепенным: сначала open source-клиенты и энтузиасты, потом корпоративные почтовики, потом массовый рынок. Но уже сейчас очевидно, что компании, которые раньше внедрят RFC 9788, снизят риски быстрее. Это история не про «технологическую моду», а про то, сколько денег вы теряете или экономите.

Я уверен, что лет через пять защищённые заголовки будут восприниматься так же естественно, как сегодня HTTPS на сайтах. И точно так же, как сейчас мы удивляемся сайтам без https, пользователи будут удивляться письмам, где можно переписать тему или отправителя. Вопрос только в том, вы хотите оказаться в числе тех, кто внедрил это вовремя, или в числе тех, чью бухгалтерию упомянут в очередной криминальной хронике.

ИБ-ДАЙДЖЕСТ INFOWATCH

Без «селфи» счет в банке не открыть. Как банки Австралии борются с мошенничеством персональных данных.

Стриминговый сервис Plex просит подписчиков сменить пароли. В зоне риска данные 25 млн пользователей.

Атака на компьютерную сеть библиотек Pierce County (штат Вашингтон). Утечка данных 300 тысяч читателей. Почему предложенная компенсация в судебных документах названа неадекватной?

Утечка данных крупного разработчика приложений на основе ИИ для устройств на базе iOS и Android. В зоне риска миллионы пользователей.

В США выдвинут проект закона об ограничении использования ПДН для обучения ИИ.

Очередной инцидент на британских железных дорогах. Украдены контактные данные пассажиров из-за атак на поставщика.

Кибератака на Национальный кредитный центр Вьетнама. Под угрозой более 100 млн человек.

Компрометация более 1,6 млн голосовых клиентов фитнес-клубов США и Канады. Причина в облачной базе данных, которая не была защищена паролем.

Министерство экономики и финансов Панамы (MEF) объявило о взломе одного из ее компьютеров. Ответственность за инцидент взяла на себя группировка INC, похитив более 1,5 ТБ данных.

Приглашаем на Java Jam — бесплатный митап ЮMoney для Java-разработчиков

Спикеры из ЮMoney и главный эксперт по технологиям Сбера расскажут о своём опыте и пообщаются с аудиторией. Вот какие темы будут на митапе:

🟣 Как мы уменьшали нагрузку на базы данных в очередях задач. Расскажем, как реализовать надёжное асинхронное и отложенное исполнение задач.

🟣 Советы по производительному коду. Поговорим про время выполнения программ, работу со строками и коллекциями, вещественную и битовую арифметику, алгоритмические трюки и многое другое.

🟣 Уязвимости не пройдут. Обсудим, как повысить безопасность разработки с помощью SAST и SCA.

25 сентября, в четверг, в 18:30 (мск) — приходите на митап в Санкт-Петербурге или подключайтесь онлайн!

Подробности — на сайте митапа Java Jam 

Права на код и приложения: как ИТ-компании защитить интеллектуальную собственность и выстроить отношения с разработчиками

В ИТ-бизнесе главный актив - интеллектуальная собственность: код, программы, приложения, интерфейсы, алгоритмы.

Но именно здесь чаще всего возникают конфликты между работодателем и сотрудником-разработчиком: кому принадлежат права на созданный продукт?

Согласно ГК РФ, результаты интеллектуальной деятельности (РИД), созданные работником в рамках трудового договора, признаются служебным произведением. Это означает:

• исключительное право автоматически переходит работодателю;

• авторское право (право называться автором) остается за сотрудником;

• использование произведения работником без согласия работодателя запрещено.

Но важно: если работа выполнена по гражданско-правовому договору (например, подряд или услуги), то правило о служебном произведении не действует. В таком случае исключительное право сохраняется за исполнителем, если иное прямо не оговорено в договоре.

По данным ЭБР и Минцифры, в 2024 году количество судебных дел по авторским и смежным правам выросло на 35 % и составило около 28 800 дел. Общий рост споров по интеллектуальной собственности — около 5 %. При этом 84 % всех споров касались именно исключительных прав.

Это значит: ключевая проблема в ИТ-компаниях — отсутствие должного оформления прав на код, программы и приложения.

Если компания не закрепит права документально, то:

• разработчик вправе требовать компенсацию за нарушение его исключительных прав (ст. 1301 ГК РФ);

• суд может признать, что исключительные права остались за сотрудником.

Пример: сотрудник написал программу в рабочее время, но она не относилась к его должностным обязанностям. Компания начала использовать код, и в итоге оказалась в зоне риска судебного иска за незаконное использование.

Практики защиты интеллектуальной собственности в ИТ-компаниях

Трудовой договор с блоком про ИС или отдельное соглашение
Отдельно прописывать условия передачи исключительных прав работодателю, порядок выплаты вознаграждения за служебные произведения,обязанности работника в сфере ИС.

Должностная инструкция
Включать обязанности по созданию РИД, а также условия соблюдения режима коммерческой тайны.

Служебные задания и фиксация результатов
Формализовать приказами каждое задание работнику по разработке РИД и фиксировать факт передачи готового результата (например, через акт приема-передачи).

Отдельное вознаграждение за РИД
Выплачивать авторское вознаграждение отдельно от зарплаты. Регулярность таких выплат — доказательство факта создания служебного произведения.

Ведение внутреннего реестра разработок
Каталог проектов и модулей с информацией об авторах, дате создания, исходных материалах. Это облегчает защиту прав.

Использование систем контроля версий.
История изменений может служить доказательством в случае спора.

Локальные нормативные акты
В компании должны действовать положение о порядке создания и передачи РИД, регламент вознаграждений авторам, правила документооборота.

Режим коммерческой тайны
В отличие от соглашений о конфиденциальности, режим коммерческой тайны действует и после увольнения сотрудника. Он фиксируется внутренними актами, приказами, перечнями сведений.

Технические меры защиты
Лицензионные ключи, шифрование, контроль доступа к репозиториям, аудит использования библиотек (особенно open source).

Своевременная регистрация РИД в Роспатенте на работодателя с указанием авторов.

Важно! В трудовые договоры и локальные акты нельзя включать условие о неконкуренции. Минтруд и суды считают это нарушением трудового законодательства. Запретить сотруднику работать у конкурента или открыть аналогичный бизнес после увольнения нельзя.

Интеллектуальная собственность это ядро ИТ-компании, поэтому крайне важно внедрить все меры защиты и грамотно организовать взаимоотношения с разработчиками.

Больше интересного на моем канале.

Подборка бесплатных обучающих материалов для тех, кто хочет разобраться в сетях

Привет, Хабр! Я снова с подборкой статей, которые могут пригодиться начинающим специалистам. На этот раз будем разбираться в сетях. Как обычно, все материалы в подборке доступны бесплатно, никакими данными делиться тоже не нужно. Просто читайте и осваивайте новое. Поехали!

Сетевая инфраструктура

Эта подборка — практическое погружение в мир сетей и облачной инфраструктуры. Вы научитесь настраивать базовые сетевые схемы, поднимать выделенные и облачные серверы, разбираться в связанности, публичных IP и облачных маршрутизаторах. Все без лишней теории — только то, что пригодится в реальных задачах.

Компьютерные сети

Пять статей помогут вам изучить основы компьютерных сетей. Они плавно, шаг за шагом, погрузят вас в тему. Сначала вы разберете ключевые понятия, чтобы говорить с сетевиками на одном языке. Затем — узнаете, какие бывают сети и из чего они состоят, что такое MAC- и IP-адреса. Далее — освоите две основные модели: OSI и TCP/IP — на конкретных примерах посмотрите, как работает каждый уровень.

CDN

Мини-курс познакомит с базовыми принципами работы распределенной доставки контента. Вы научитесь подключать и настраивать такую сеть, оптимизировать изображения. Особое внимание — внедрению CDN для повышения безопасности.

Сетевая безопасность

Эта подборка сфокусирована на сетевой ИБ: межсетевые экраны и IDPS, средства шифрования трафика и DDoS-атаки. Теорию вы закрепите практикой, самостоятельно установив и настроив файрвол или проведя сканирование портов по инструкции.

Сетевые протоколы

В мире существует более 7 000 сетевых протоколов. В 12 материалах вы узнаете о самых популярных из них, а также о существующих сетевых моделях передачи данных.

ИТ-завод запущен успешно: пора забирать призы

Пришло время подвести итоги и наградить победителей ИТ-пинбола!

Напомним, что участникам предстояло активировать 5 цехов виртуального ИТ-завода и запустить его. «Мастеров шара» оказалось немало, но лишь несколько добрались до вершины рейтинга. Они получат фирменный мерч с логотипом «Северстали».

Теперь к призам.

Стильные рюкзаки теперь будут носить: 
@RAZEX0LOL
@marrainfue
@Vedun824

Греться в худи с логотипом «Северстали» смогут:
@Adhmor
@Ruhinger
@OCTAGRAM.

Слушать музыку в AirPods 4 будет @Zzingy

Крутые наушники Sony послужат занявшему @Artem_Dolgii

И, наконец, новенькие AirPods Max достаются покорителю пинбола — @zkingfinn

Это ещё не всё! Хабравчане, активировавшие в игре все 5 цехов ИТ-завода, скоро полюбуются ачивкой «Я — стальной» в своих блогах.

Поздравляем победителя и призёров! Мы уже написали вам в личку все детали)

Не грустите, что наш конкурс завершился. Кто знает, вдруг вам совсем скоро снова пригодятся полученные скилы? : )

Менеджер паролей, который не хранит пароли

Сделал для себя, но решил выложить в паблик.

Visual Password — помогает легко восстанавливать надёжные пароли, не записывая их и не храня в менеджерах паролей. Вы просто запоминаете пару эмодзи и ключевое слово. Когда нужен пароль, используйте их комбинацию, чтобы мгновенно создать длинный сложный пароль прямо на своём устройстве.

Всё происходит локально: никаких серверов, интернета и баз данных — Visual Password не отправляет и не сохраняет ваши пароли.

Проще говоря, вы храните только маленькие подсказки в голове, а Visual Password превращает их в действительно надёжный пароль.

Рекомендации по использованию

В поле Keyword напишите то, что характеризует ваш пароль, для чего он, например, google, facebook и т.д.

В поле Pin введите что угодно, например, 123a. Pin повышает уровень энтропии и уменьшает вероятность коллизий с другими пользователями программы.

Выберите набор символов для пароля и его длину.

В поле Visual Password введите набор эмодзи. Для того чтобы запомнить эмодзи используйте не только их картинку, но и буквенно-цифровые обозначения, которые есть на каждой кнопке. А также цветовые градации при нажатии на кнопку с эмодзи.

Совокупность исходных данных, использованных для генерации пароля, всегда выдаёт одинаковый результат.

Скопируйте полученный пароль.

Закройте Visual Password.

Когда пароль понадобится снова, заново введите те же данные.

Установка

Скачать можно на GitHub.

Для скачивания доступны: расширения для Chrome и Firefox, Apk Android, html файл который можно запускать локально или разместить на любом хостинге. А так же есть web-версия (https://viruseg.github.io/VisualPassword/) и Telegram бот @VisualPassword_bot.

Успеть за пять дней: отклик — интервью — оффер за пять дней для инженеров по безопасности

Надежные продукты начинаются с безопасного кода. Команда безопасности следит за уязвимостями, укрепляет процессы и поддерживает CI/CD в форме. И мы в YADRO укрепляем команду —  ищем специалистов на позиции Application Security Engineer и DevSecOps. Принимаем заявки до 28 сентября.

Получить быстрый оффер → 

Application Security Engineer

Это вакансия на позицию инженера по безопасности приложений, который поможет создавать устойчивые к атакам продукты и внедрять лучшие практики SSDLC на всех этапах разработки. В этой роли вы будете:

• проводить триаж уязвимостей, найденных с помощью SAST, SCA, Secret Detection и других инструментов;

• оценивать защищенность продуктов на основе моделей угроз и выполнять специализированные тесты (fuzzing, сканирование портов и др.);

• исследовать новые векторы атак и участвовать в тестировании на проникновение;

• разрабатывать PoC решений для функций безопасности;

• участвовать в выборе и внедрении инструментов тестирования.

Подать заявку и узнать больше о вакансии можно по ссылке → 

DevSecOps / Infrastructure Engineer

Присоединяйтесь к нам в роли инженера, который будет развивать практики DevSecOps, совершенствовать подходы к безопасности инфраструктуры разработки и CI/CD, а также помогать командам интегрировать проверки безопасности в процессы. В этой роли вы будете:

• внедрять и развивать DevSecOps-практики;

• выявлять и устранять угрозы в инфраструктуре продуктов и CI/CD-процессах,

• проектировать и внедрять безопасную архитектуру CI/CD;

• обеспечивать стабильную работу инструментов SAST/SCA/DAST и создавать Quality Gates;

• автоматизировать процессы с помощью GitLab CI, Ansible, Helm;

• ставить задачи командам по улучшению безопасности и контролировать их выполнение.

Подробнее о вакансии по ссылке →

BIS Summit 2025 — программа конференции и онлайн-трансляция

Привет!

В этот четверг, 18 сентября, в Москве пройдет BIS Summit 2025 — одна из ключевых конференций по информационной безопасности. Главная тема — «Технологический суверенитет: новая эра ответственности».

На мероприятии встретятся представители государства, регуляторов и бизнеса, ИТ- и ИБ-эксперты.

Откроет конференцию пленарная сессия «Диалог с регулятором». Ее модератором выступит президент ГК InfoWatch и председатель правления АРПП «Отечественный софт» Наталья Касперская. На сессии обсудят, насколько государство должно вовлекаться в регулирование рынка ИТ-платформ и ИБ-решений. Что лучше — контролируемое развитие в строго заданных регуляторами требованиях или свободное развитие рынка? Возможен ли компромисс? Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры.

Продолжит программу пленарная сессия «Диалог с бизнесом», модератор — директор Центра компетенций по импортозамещению в сфере ИКТ, АНО «ЦКИТ» Илья Массух. Руководители ведущих ИТ- и ИБ-компаний поделятся опытом и подходами к выполнению стратегических задач по обеспечению технологической независимости и безопасности критической информационной инфраструктуры в стране.

После завершения пленарных дискуссий участников ждут две пары параллельных секций.

Модератором секции «Российские ИБ-ассоциации: как взаимодействовать эффективно» выступит Михаил Смирнов — главный редактор Ассоциации по вопросам защиты информации BISA. В России существует более 30 ИБ-ассоциаций, которые участвуют в развитии рынка и индустрии. На сессии участники обсудят вопросы взаимодействия и роль профессиональных сообществ в регулировании ИБ-рынка. Среди участников дискуссии – представители пяти отраслевых ассоциаций.

В это же время пройдет сессия «Концептуальный подход к безопасности в реалиях многообразия ИТ-решений». Ее модератор — директор по инновациям ГК InfoWatch Андрей Арефьев. Диалог на сессии будет посвящен переходу от ИБ-экосистемы на базе решений западных вендоров к российским продуктам. Эксперты обсудят неочевидные нюансы, возникающие сложности и опыт, накопленный за последние годы.

Сессия «Место облачных технологий в ИБ» будет посвящена теме, может ли облако в 2025 году стать полноценной альтернативой решениям на базе собственной ИТ-инфраструктуры. Модератор — генеральный директор компании NGENIX Константин Чумаченко.  На секции «ИИ в информационной безопасности и инфобез в ИИ» обсудят практику внедрения и эксплуатации ИИ в ИБ, перспективы и риски. Модерирует дискуссию независимый эксперт по ИБ, эксперт BISA Алексей Плешков.

Полная программа — на сайте мероприятия.    

BIS Summit 2025 пройдёт в Москве в конференц-центре гостиницы «Хаятт Ридженси Москва Петровский парк» по адресу: Ленинградский проспект, 36, стр. 33.

Участие бесплатное для представителей служб ИБ, ЭБ, ИТ-департаментов и руководителей.

Будет и онлайн-трансляция, главное зарегистрируйтесь заранее.

Новые правила передачи данных банками и операторами связи в 2025–2026 годах: что изменилось в законах

В 2025 году утверждены два постановления Правительства, которые вводят новые правила взаимодействия банков и операторов связи с государственными органами через систему межведомственного электронного взаимодействия (СМЭВ). Оба документа направлены на обеспечение доступа к сведениям, которые могут понадобиться для оперативно-розыскной деятельности и обеспечения безопасности РФ.

Новые постановления напрямую связаны с изменениями в законодательстве, вступившими в силу весной 2025 года.

• Статья 9 Федерального закона о банках и банковской деятельности с апреля 2025 года обязывает кредитные организации предоставлять сведения уполномоченным органам через МЭВ в сроки и формате, которые устанавливаются Правительством РФ совместно с Банком России.

• Статья 46 Федерального закона «О связи» закрепила аналогичную обязанность для операторов связи.

 До этих изменений порядок был иным:

• правоохранительные органы направляли запросы в банки и операторам связи в бумажном или электронном виде напрямую;

• не существовало единого формата и технического канала передачи данных.

Для банков (ПП РФ от 30.08.2025 № 1344).

Правила вступят в силу с 1 марта 2026 года

Подключиться к системе банкам нужно до 31 августа 2026 года. Минцифры обещает техническую поддержку и предоставление адаптера СМЭВ бесплатно.

В соответствии с правилами Банки будут обязаны по запросам органов передавать через систему межведомственного электронного взаимодействия (далее – СМЭВ) широкий перечень данных о клиентах.

Передаваться будут:

• сведения о счетах и вкладах, движении средств по ним;

• место и время выдачи наличных;

• телефонные номера, связь по которым оплачивается картой или иным средством платежа клиента;

• участие клиента в брокерской деятельности;

• данные о сейфовых ячейках.

Если у банка нет запрашиваемой информации - он обязан сообщить об этом.

При нарушении формы запроса (например, отсутствует номер, дата, ссылка на правовое основание) банк возвращает его без рассмотрения и объясняет причину.

Сроки в правилах указано, что в соответствии со ст. 26 ЗаконА о банках, но четкого срока установить не удалось.

Для операторов связи (ПП РФ от 29.08.2025 № 1316)

Правила вступили в силу уже с 1 сентября 2025 года, а к СМЭВ операторы должны подключиться до 28 февраля 2026 года.

 Сроки передачи данных гораздо жестче, чем для банков:

• в течение 24 часов с момента получения запроса нужно передать основные сведения;

• на дополнительные данные (например, историю использования номера за три года) дается 72 часа.

 Если выполнить запрос вовремя невозможно, оператор обязан уведомить орган в течение тех же 24 часов и указать предполагаемый срок исполнения.

 Передаваться будут:

• Ф.И.О. абонента, дата рождения, адрес;

• паспортные данные;

• дата заключения договора об оказании услуг связи;

• дата последнего использования номера.

Есть и технические ограничения: мобильные операторы не могут передавать более 0,05% сведений от всех своих номеров в сутки, для остальных операторов лимит — 0,03%. Это сделано, чтобы избежать перегрузки системы и массовой выгрузки информации.

Как юрист я вижу несколько ключевых моментов:

Баланс между безопасностью и правами клиентов. Наши данные становятся более доступными для правоохранительных органов.

С одной стороны, государство получает быстрый и централизованный доступ к информации, что повышает эффективность раскрытия преступлений. С другой речь идёт о персональных и финансовых данных, и любая ошибка или утечка может серьёзно ударить по физ.лицам и компаниям.

Нагрузка на банки и операторов связи как техническая, так и организационная. При этом компаниям нужно будет выстроить внутренний контроль, обучение сотрудников и аудиты безопасности.

Риски для банков и операторов связи. Нарушение сроков, передача неполных сведений или ошибок в ответах могут привести к санкциям.

Больше интересного на моем канале.

Go + Windows = deadlock. Свет в конце тоннеля.

В прошлой статье я рассказывал о редком, но весьма опасном баге: поток под Windows зависал в вызове CancelIoEx, хотя документация Microsoft утверждает обратное. Суть проблемы — в пересечении синхронного и асинхронного ввода-вывода, где ядро Windows блокирует доставку APC, и поток остаётся навсегда «висящим».

История получила развитие не сама по себе: мы целенаправленно поднимали эту тему через support-кейс в Microsoft. В результате удалось подключить и Escalation Team, и разработчиков Go, ответственных за Windows-порт.

Финальный вывод: стандартная библиотека Go действительно использует неправильный API для отмены синхронных операций. Вместо CancelSynchronousIo, рекомендованного самой Microsoft, в коде до сих пор вызывается CancelIoEx.

👀 Сам проблемный вызов:
https://github.com/golang/go/blob/77f911e31c243a8302c086d64dbef340b0c999b8/src/internal/poll/fd_windows.go#L461

Хорошая новость: у команды уже есть рабочий proof-of-concept фикса:
https://go-review.googlesource.com/c/go/+/691395

Менее радостная часть: из-за сложности изменений и их влияния на рантайм правка запланирована только в Go 1.26 (февраль 2026). Бэкпорт в предыдущие версии практически исключён.

Что это значит для разработчиков

• Если ваш сервис на Go под Windows внезапно «зависает» в CancelIoEx — это следствие бага в стандартной библиотеке, а не ваша ошибка.

• До релиза Go 1.26 остаются обходные варианты:

  • не вызывать CancelIoEx для синхронных дескрипторов,

  • использовать CancelSynchronousIo, если есть возможность управлять потоками,

  • минимизировать использование пайпов в критичных местах.

Итог

Редкий flaky-тест Go (TestPipeIOCloseRace) оказался симптомом реальной и серьёзной проблемы. Благодаря эскалации через Microsoft Support и совместному разбору мы получили подтверждение, понятное объяснение и официальный фикс в планах.

⚡️ Если ваш Go-код на Windows зависает в CancelIoEx, теперь вы знаете: проблема признана и исправление уже в пути.

ИБ-ДАЙДЖЕСТ INFOWATCH

Найти хобби и потерять данные. Утечка ПДн 4541 человека произошла в результате хакерской атаки на крупнейший сайт для шахматистов.

Загрузил конфиденциальную информацию компании на личный диск и отнес конкурентам. Рассматриваем на примере Scale AI, почему важно следить за данными и недобросовестными сотрудниками.

ИБ-производители стали жертвами кибератаки на цепочку поставок. Утечка данных клиентов произошла из CRM.

Оплата улыбкой, или как штаты защищаются от распространения цифровой слежки в повседневной жизни.

Утечка данных, падение рейтинга и сокращение премий. Хороший пример, как проблемы в сфере ИБ существенно влияют на репутацию и размер вознаграждения руководителей высшего звена.

Кибератака на производителя шин и остановка производства на нескольких предприятиях. Что позволило быстро идентифицировать и локализовать нарушение?

Открыт предзаказ на бумажный выпуск журнала «Хакер» за 2025 год

Редакция отберет лучшие материалы, выходившие на Xakep.ru за последний год, и соберет их в виде коллекционной годовой подборки. В журнале будет 240 страниц и более 20 статей.

Среди материалов, которые войдут в номер:

• Автоматизация хакерских тасков при помощи LLM

• Полный гид по разведке перед пентестом

• Разбор популярных сетевых протоколов с примерами

• Туториал по опенсорсному отладчику radare2

• Новые способы обфускации малвари в Windows

• Хакерские трюки и софт для Android

• И многое другое!

За дизайн и верстку отвечает Алик Вайнер, арт-директор «Хакера» с 2011 года.

Доставка — до пункта выдачи СДЭК (оплачивается отдельно). Журнал будет запаян в термопленку и доставлен в картонном конверте.

Цена при оформлении предзаказа — минимальная. После сдачи номера в печать она будет повышена.

Страница предзаказа

Небольшой ИБ-опрос ко Дню программиста

Привет, Хабр! 256-й день календаря, а вместе с ним и наш с вами праздник, уже завтра. 

Заранее поздравляем всех причастных, читай — почти всех посетителей и создателей сайта. Мы с друзьями из TrueConf подготовили для вас небольшой опрос (правда, там всего 19 вопросов, ответы на которые займут у вас минут 5). Там и про умные колонки, и биометрию, и второй фактор. Сразу скажем — опрос не только для ИБ-специалистов, а вполне себе «околоайтишный», так что будем рады каждому.

В начале следующей недели мы закончим принимать ответы, а к следующей пятнице соберём для вас статистику и посмотрим на отношение разных специальностей к информационной безопасности.

Сам опрос вот тут, заранее спасибо всем тем, кто пройдёт.

И ещё разок с праздником, коллеги!

Предложение Минцифры сделает нормальную работу «Хакера» невозможной

В Минцифры РФ предложили пакет мер по борьбе с кибермошенничеством. Среди них — запрет на распространение информации, связанной с практикой ИБ. В случае вступления этих мер в силу более половины статей «Хакера» окажется вне закона. Подписчики потеряют к ним доступ, и новые материалы на эту тему появляться не будут. Архивы PDF нам тоже придется убрать с сайта.

Поправка к Федеральному закону № 149-ФЗ «Об информации, информационных технологиях и о защите информации» предполагает наложить запрет на распространение информации об уязвимостях. Вот, как полностью звучит формулировка:

информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин, либо позволяющей получить доступ к программам для электронных вычислительных машин, предназначенным для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин».

Принятие поправки в таком виде потенциально сделает противозаконными любые публикации, связанные с практикой информационной безопасности, в том числе описание уязвимостей и способов их эксплуатации.

На наш взгляд, публичное обсуждение уязвимостей играет ключевую роль в развитии кибербезопасности. Благодаря открытой информации об обнаруженных слабостях разработчики и владельцы ИТ-систем получают возможность оперативно устранять проблемы, а пользователи — защищать свои данные и бизнес-процессы.

Именно поэтому во всем мире поддерживаются программы bug bounty, CTF-соревнования и образовательные платформы — они позволяют легально, в контролируемых условиях исследовать реальные техники атак и повышать квалификацию специалистов. Свободный обмен информацией напрямую способствует формированию профессиональных кадров.

Редакция «Хакера» строго следит за соблюдением мер, позволяющих сделать раскрытие информации об уязвимостях максимально безопасным. Мы поддерживаем политику ответственного разглашения, когда разработчик продукта получает сообщение об уязвимости первый и имеет возможность закрыть ее до того, как информация станет публичной.

Призываем читателей «Хабрахабра», поддерживающих нашу точку зрения, комментировать законопроект: https://regulation.gov.ru/projects/159652

Дмитрий Агарунов, основатель «Хакера»:

«Любой запрет на публикации и обмен научно-технической информацией является фактическим запретом на обучение. ИБ-специалистам просто негде будет приобретать знания. С учетом того, что новая информация поступает ежесекундно, такая поправка может парализовать кибербезопасность страны.

Кроме того, данная мера бьет исключительно по своим: запретить можно только легальным, зарегистрированным, официальным ресурсам. Публикации на иностранных сайтах, в чатах, каналах, целенаправленную рассылку враждебных приказов и инструкций такая поправка запретить не может. Специалисты врагов спокойно продолжат обучение».

Российская компания Selectel, развивающая Linux-дистрибутив Selectel OS на пакетной базе Debian, представила инициативу OpenFix, в рамках которой начнёт выплачивать энтузиастам денежные вознаграждения за участие в работе над задачами, связанными с развитием и исправлением ошибок в открытом ПО. Код выполненных проектов будет публиковаться под пермиссивной лицензией с сохранением авторства участников.

Вознаграждения назначается индивидуально и выплачивание после принятия изменения в Debian или Ubuntu и закрытия сообщения об ошибке.

Предложено три направления деятельности, выполнение задач в которых Selectel готов оплачивать:

• переписывание известных открытых проектов на язык Rust. В настоящее время доступны три задачи, связанные с переписыванием с языка С на Rust кода проектов xz, c‑ares и libxml2 c сохранением поведения оригинала.

• вознаграждение за переписывание библиотек libxml2 и c‑ares и определено в 350 тысяч рублей, а библиотеки xz в 200 тысяч рублей, но в случае xz указано, что достаточно переписать критические части библиотечных обвязок и связать с существующей Си‑реализацией алгоритма LZMA.

• формирование и последующее сопровождение (подготовка обновлений) пакетов для Debian GNU/Linux. Приложения для которых предлагается создать deb‑пакеты (c опциональным продвижением созданного пакета в Debian Unstable): apache‑pulsar, bash‑it, bazel, bitwarden‑cli, composefs, cve‑bin‑tools, doh‑cli, dupd, dyff, firecracker, griddb, jailhouse, keycloak, oauth2-proxy, phoronix‑testsuite, photodedupe, purritobin, shh, skim, sssh‑tpm‑agent, uv, vaultwarden. Размер вознаграждения от 30 до 160 тысяч рублей. Премии меньше 50 тысяч рублей определены для uv, dyff, doh‑cli, purritobin и bash‑it, а больше 100 тысяч для jailhouse, bazel, sssh‑tpm‑agent, keycloak, griddb, firecracker и apache‑pulsar.

• Исправление ошибок в существующих открытых проектах. Участники на своё усмотрение могут выбирать проблемы, подтверждённые в системах отслеживания ошибок Debian и Ubuntu (Launchpad), после чего согласовать возможность получения вознаграждения за их исправление с Selectel. Вознаграждения назначается индивидуально и выплачивание после принятия изменения в Debian или Ubuntu и закрытия сообщения об ошибке.

Всем бобра добра!

Давеча написал мне тут один очередной желающий купить мой логин в телеге. В ними то все понятно, но вот ссылка на бота - замаскированная под frаgmеnt.сom мне заинтересовала (и даже ссылка кривая, а именно буква 'e', вот коды: 66 72 430 67 6D 435 6E 74)

Вот ссылка, НЕ ПЕРЕХОДИТЬ!
httрs://frаgmеnt.сom/rеquеst/archiaxx (https://t.me/DealNotificationsBot/start?startapp=Y0hKcFkyVmZPVFV3TFhWelpYSnVZVzFsWDJGeVkyaHBZWGg0TFhkdmNtdGxjbDlKYldWbFlXd3VNVGMxTnpVME1UWXlOZz09LmVJdFhiNG5oUWFGUDl0NTV4NWNtNzNvUyt3aHBqSEdkZ0t5czVQd1FIc1BhRkFHWVhhbm1rcDY1WlRJNUFLQmlzT0Vnbk9wakJrUE5QbFFZRjIva3dBPT0uTFMwdExTMUNSVWRKVGlCUVZVSk1TVU1nUzBWWkxTMHRMUzBLVFVaM2QwUlJXVXBMYjFwSmFIWmpUa0ZSUlVKQ1VVRkVVM2RCZDFOQlNrSkJUME5MYzB4T1VIQjViRmh6TkVZNU1IQmpjRVJaV0ZKaWJtZHhVbnBCUkFwRlprOW5haTlHVm1Wa1NHNDRPRWRsWld0bWVHbEhTR0ZsUTFaelZqaHhjRWhrU0VNNFUxWlJUakpOU0dsM1YwdEZNVFpGTVVKelEwRjNSVUZCVVQwOUNpMHRMUzB0UlU1RUlGQlZRa3hKUXlCTFJWa3RMUzB0TFFvPQ==)

А что-то они там в base64 зашифровали то?

Что-то похожее на JWT или я ошибаюсь...

cHJpY2VfOTUwLXVzZXJuYW1lX2FyY2hpYXh4LXdvcmtlcl9JbWVlYWwuMTc1NzU0MTYyNg==.eItXb4nhQaFP9t55x5cm73oS+whpjHGdgKys5PwQHsPaFAGYXanmkp65ZTI5AKBisOEgnOpjBkPNPlQYF2/kwA==.LS0tLS1CRUdJTiBQVUJMSUMgS0VZLS0tLS0KTUZ3d0RRWUpLb1pJaHZjTkFRRUJCUUFEU3dBd1NBSkJBT0NLc0xOUHB5bFhzNEY5MHBjcERZWFJibmdxUnpBRApFZk9nai9GVmVkSG44OEdlZWtmeGlHSGFlQ1ZzVjhxcEhkSEM4U1ZRTjJNSGl3V0tFMTZFMUJzQ0F3RUFBUT09Ci0tLS0tRU5EIFBVQkxJQyBLRVktLS0tLQo=

Расшифровываем еще по частям:

price_950-username_archiaxx-worker_Imeeal.1757541626

Ну тут видимо какая-то мето информация о том кого пытаются развести

Вторая часть - что-то бинарное, видимо ключ шифрования или то что относится именно в JWT

А вот и третья часть:

-----BEGIN PUBLIC KEY-----
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAOCKsLNPpylXs4F90pcpDYXRbngqRzAD
EfOgj/FVedHn88GeekfxiGHaeCVsV8qpHdHC8SVQN2MHiwWKE16E1BsCAwEAAQ==
-----END PUBLIC KEY-----

Тут еще и публичный ключ... Но зачем?

Так как дальше я не переходил, но и сути развода я не в курсе. Может кто сталкивался, что там дальше? СМС-ку попросят ввести или паспорт? )