|
Опрос
|
реклама
Быстрый переход
Защиту Microsoft Secure Boot взломали десять лет назад, но заметили это только сейчас
15.07.2026 [15:18],
Павел Котов
Microsoft 14 лет назад предложила защитить Windows от буткитов — средств заражения ОС через прошивку материнской платы — при помощи технологии Secure Boot, которую вскоре переняла и Linux. На практике, однако, эта защита оказалась неэффективной: эксперты ESET обнаружили 11 скомпрометированных загрузочных компонентов, которые оставались подписанными Microsoft.
Источник изображения: welivesecurity.com Эти компоненты известны как shim («прослойки»), и предназначаются они для работы Secure Boot на компьютерах под управлением Linux. Несколько старых, забытых экземпляров злоумышленники могут использовать для обхода защиты UEFI (Unified Extensible Firmware Interface) на материнской плате ПК. Проблема возникла из-за того, что контролирующая подписание shim компания Microsoft не потрудилась своевременно отозвать экземпляры, в которых возникли уязвимости. Угроза распространяется на Windows и Linux, потому что shim могут устанавливаться на машины под управлением обеих систем — гипотетический злоумышленник может установить на материнскую плату вредоносный компонент, который запускается на ранней стадии процесса загрузки и продолжает работать после переустановки ОС или замены системного диска. Проблема в том, подчёркивают в ESET, что для обхода защиты UEFI Secure Boot не требуется никакой новой уязвимости — «только копия старого, всё ещё доверенного и не отозванного бинарного файла shim и базовое понимание работы shim UEFI». Некоторые из 11 экземпляров использовались разработчиками дистрибутивов Linux, в том числе Redhat, OpenSuse и Oracle, а также разработчиками ПО, в том числе PC-Doctor и даже организатором выпускных экзаменов в Финляндии. Если Secure Boot взаимодействует с Windows напрямую, то shim подписываются только Microsoft, которая должна их и отзывать. Эти механизмы реализованы с помощью двух баз данных: в базе db перечислены все разрешённые сертификаты подписи и хеши Authenticode; в базе dbx — те, которым больше не доверяют. Но, поскольку размер последней составляет всего 32 кбайт, то в Microsoft решили указывать не хеши, а номера версий компонентов. Чтобы не хранить огромный список запрещённых файлов, был введён механизм минимальной допустимой версии (SBAT). Современные shim могут проверять собственную версию и версии всех загружаемых компонентов, отказываясь запускать слишком старые. Обнаруженная экспертами ESET проблема в том, что многие из них были созданы до появления этих механизмов или содержали иные известные уязвимости — Microsoft же годами не отзывала их, и UEFI продолжали считать их доверенными. Проблему удалось решить в последних обновлениях. В случае Windows 11 оно вышло только в июне. В случае Linux всё немного сложнее, потому что дистрибутивы разрабатывают несколько поставщиков — рекомендуется обращаться к ним: актуальные статусы отозванных shim доступны при запуске скрипта «uefi-dbx-audit». РТК-ЦОД сертифицировал инфраструктуру «Облака КИИ» по международному стандарту безопасности платежных карт PCI DSS
15.07.2026 [10:00],
Сергей Карасёв
РТК-ЦОД, ведущий ИТ-сервис-провайдер полного цикла, сертифицировал инфраструктуру «Облака КИИ» по международному стандарту безопасности данных платёжных карт PCI DSS (Payment Card Industry Data Security Standard). Успешное прохождение сертификации подтверждает готовность платформы к размещению ИТ-систем организаций финансового сектора, ритейла и интернет-торговли. Благодаря наличию сертификата PCI DSS, возможность размещать свои ИТ-ресурсы в «Облаке КИИ» получили организации, ежедневно обрабатывающие данные платёжных карт. В их число входят платёжные шлюзы, выполняющие маршрутизацию транзакций, платёжные процессоры, обеспечивающие авторизацию и проведение расчётов, а также поставщики платёжных услуг, действующие как агенты и посредники в международных и локальных расчётах. Кроме того, развернуть свои ИТ-системы на платформе могут банки-эквайеры и интернет-площадки, принимающие онлайн-оплаты. Для прохождения сертификации специалисты РТК-ЦОД совместно с аккредитованными аудиторами провели полный цикл инструментальных проверок инфраструктуры «Облака КИИ». Аудит охватил все уровни системы, также был выполнен тест сегментации, подтвердивший изолированность платформы от недоверенной сети, и проведено ASV-сканирование уязвимостей — внешнее сканирование инфраструктуры. Кроме того, были организованы внутренний и внешний пентесты, моделирующие действия реальных злоумышленников. Завершающим этапом стал QSA-аудит — оценка соответствия квалифицированным аудитором платёжной индустрии. Ранее в этом году РТК-ЦОД подтвердил соответствие инфраструктуры «Облака КИИ» стандарту ГОСТ 57580, регулирующему защиту информации при проведении банковских и финансовых операций. Прохождение сертификации позволило использовать платформу «Облако КИИ» для размещения информационных систем организаций, чья деятельность регулируется Банком России. «Подтвердив соответствие инфраструктуры "Облака КИИ" стандарту ГОСТ 57580, мы сделали следующий важный шаг и получили сертификат международного стандарта PCI DSS. Это говорит о том, что наша платформа отвечает самым жёстким требованиям безопасности как со стороны Банка России, так и со стороны международной платёжной индустрии. Для наших клиентов из финансового сектора наличие у "Облака КИИ" сертификата PCI DSS означает, что они могут значительно упростить соблюдение нормативных требований, размещая свои ИТ-системы на нашей платформе», — заявил директор по продуктам РТК-ЦОД Александр Обухов. PCI DSS (Payment Card Industry Data Security Standard) — международный стандарт, устанавливающий требования к обеспечению безопасности данных держателей платёжных карт при их передаче, обработке и хранении. Число утечек данных в России упало в четыре раза, но торговля базами выросла почти на 60 %
13.07.2026 [15:20],
Владимир Фетисов
По данным специалистов Smart Business Alert (SBA) компании «ЕСА ПРО» (входит в состав ГК «Кросс Технолоджис»), за первые шесть месяцев текущего года в открытом доступе были обнаружены 54 базы данных с актуальностью 2026 года, содержащие суммарно 24,3 млн строк. За аналогичный период прошлого года было обнаружено в четыре раза больше баз данных, а их объём был больше в 22 раза.
Источник изображения: Kevin Ku / unsplash.com Чаще всего злоумышленники похищали данные ретейлеров, представителей сегмента образования и госсектора, а стоимость такой базы на чёрном рынке варьируется от $50 до $20 тыс. Несмотря на сокращения числа и объёма утечек, аналитики отмечают рост активности на теневых ресурсах, связанных с утечками данных. В период с января по июнь нынешнего года количество сообщений о распространении баз данных на специализированных форумах и теневых каналах в Telegram выросло с 23,8 тыс. до 38,1 тыс. (почти на 60 %). Аналитики SBA выделили три основных типа утечек: массовые клиентские базы (ретейл, электронная коммерция, образование, программы лояльности), позволяющие быстро подбирать сценарии обмана под конкретный контекст; корпоративные выгрузки с внутренними документами, переписками, бухгалтерией и учётными данными, пригодные для проведения атак на подрядчиков и сотрудников; компрометация IT-инфраструктуры и уничтожение резервных копий, позволяющие не только украсть информацию, но и остановить бизнес-процессы и угрожать публикацией данных. Эксперты из F6 в первом полугодии обнаружили 88 новых случаев публикации утечек баз данных российских компаний и организаций. По сравнению с аналогичным периодом прошлого года, когда были выявлены 162 новые публикации, количество впервые опубликованных баз данных сократилось на 46 %. В сообщении сказано, что в основном в публичном доступе оказались ФИО граждан, адреса проживания, пароли, даты рождения, паспортные данные, номера телефонов и адреса электронной почты. По подсчётам F6, общий объём опубликованных баз составил 114 млн строк, что на 42 % меньше по сравнению с аналогичным показателем за первое полугодие 2025 года. После реорганизации из OpenAI ушёл глава отдела систем безопасности
11.07.2026 [15:36],
Владимир Мироненко
Руководитель отдела систем безопасности OpenAI Йоханнес Хайдеке (Johannes Heidecke) сообщил на этой неделе коллегам, что покидает компанию. Его уход последовал за проведённой реорганизацией, в рамках которой объединили группы по безопасности и исследованиям OpenAI, пишет ресурс Wired.
Источник изображения: Growtika/unsplash.com Согласно служебной записке для сотрудников, подготовленной старшим научным сотрудником Марком Ченом (Mark Chen), группы по безопасности OpenAI будут подчиняться Мие Глезе (Mia Glaese), которая теперь является вице-президентом по исследованиям и безопасности с соответствующим расширением круга обязанностей. В свою очередь, Саачи Джайн (Saachi Jain) станет временным руководителем отдела систем безопасности компании и будет подчиняться Глезе. «Требования к безопасности продолжают расти — мы обучаем модели с гораздо большей скоростью, и циклы выпуска значительно сократились, — указано в записке Чена. — В результате сегодня перед нами стоят более сложные задачи по координации в области безопасности, чем когда-либо прежде». Чен отметил в заявлении для Wired, что компания благодарна Йоханнесу за его вклад в работу OpenAI. «Важно, чтобы наша работа в области безопасности была интегрирована с разработкой передовых моделей, играя более раннюю и непосредственную роль в формировании ключевых решений по моделям, продуктам и запуску», — подчеркнул он. Хайдеке присоединился к OpenAI в 2021 году в качестве аналитика по безопасности ИИ, и в 2024 году возглавил отдел систем безопасности компании. Он стал одним последних из числа руководителей в сфере безопасности, кто покидает компанию. Ранее на этой неделе главный футуролог OpenAI Джошуа Ачиам (Joshua Achiam) сообщил коллегам о своем уходе из компании после девяти лет занятия исследованиями в области безопасности. Также покинет свой пост по состоянию здоровья Фиджи Симо (Fidji Simo), генеральный директор OpenAI по внедрению AGI, после чего станет советником. Полиция почти сотни стран провела операцию против интернет-мошенников — арестовано 5811 человек
09.07.2026 [15:55],
Владимир Мироненко
Правоохранительные органы провели в период с 15 января по 30 апреля глобальную совместную операцию по борьбе с интернет-мошенничеством Operation First Light 2026, охватившую 97 стран, в ходе которой были арестованы 5811 подозреваемых и изъяты незаконные активы на $293 млн, сообщил ресурс BleepingComputer.
Источник изображения: charlesdeluvio/unsplash.com Операция была направлена на борьбу с мошенничеством с использованием методов социальной инженерии (включая взлом корпоративной электронной почты, шантаж с использованием интимных изображений, выдачу себя за другое лицо, мошенничество в сфере знакомств и инвестиций) и отмыванием денег. Её координацию осуществлял Интерпол при поддержке региональных полицейских органов ASEANAPOL, GCCPOL и Европола и финансировании Министерства общественной безопасности Китая. «Преступные синдикаты используют психологию человека для манипулирования своими жертвами, и ни одна страна не может оставаться в безопасности, если все страны не будут оснащены необходимыми средствами и не будут готовы к совместной борьбе с ними», — заявил Томонобу Кая (Tomonobu Kaya), директор Центра Интерпола по борьбе с финансовыми преступлениями и коррупцией. В рамках операции следователи выявили более 142 тыс. жертв, заблокировали 31 014 банковских счетов, проанализировали 152 808 дел и идентифицировали 15 606 подозреваемых, помимо арестованных. Она является продолжением ещё одной совместной операции Operation Synergia II, в результате которой в период с апреля по август 2024 года были арестованы более 40 подозреваемый и изъяты 1037 серверов и другая инфраструктура, использовавшая более чем 22000 IP-адресов. В ходе первого этапа операции Operation Synergia были выявлены ещё 70 подозреваемых в киберпреступлениях и конфискованы 1300 серверов, которые использовались киберпреступниками для распространения программ-вымогателей, фишинга и вредоносного ПО. С июля 2025 года по январь 2026 года прошла ещё одна операция правоохранительных органов под руководством Интерпола под кодовым названием Operation Synergia III по борьбе с киберпреступностью по всему миру, в ходе которой также были изъяты серверы и заблокированы десятки тысяч IP-адресов. Кроме того, ранее прошли ещё две совместные операции, Operation Serengeti и Operation Africa Cyber Surge, сосредоточенные на борьбе с киберпреступностью в Африке, которые также привели к тысячам арестов. В рамках недавней операции Operation Red Card 2.0, координируемой Интерполом и прошедшей в 16 странах африканского континента, в период с 8 декабря по 30 января, полиция арестовала 651 подозреваемого. Кнопки возвращаются в авто: Китай запретил управлять 19 функциями машин только через сенсорный экран
09.07.2026 [14:25],
Алексей Разин
Пионером цифровизации в автомобильной отрасли принято считать компанию Tesla, которая порой пыталась слишком навязчиво избавиться от привычных органов управления. Жертвой оптимизации стали не только большинство клавиш в салоне, но и подрулевые переключатели, а на некоторое время даже рулевое колесо уступило место штурвалу. Китайские регуляторы с июля следующего года будут требовать от автопроизводителей наличия достаточного количества физических органов управления, обеспечивающих доступ к 19 основным функциям.
Источник изображения: Tesla Как отмечает Electrek, черновой вариант требований к функциональному наполнению автомобильного интерьера всех новых автомобилей, реализуемых на рынке КНР, был сформулирован ещё в феврале этого года, но утверждён китайскими регуляторами он был только на этой неделе. Местные власти требуют, чтобы с 1 июля 2027 года все реализуемые в Китае автомобили предусматривали физическое управление 19 основными функциями, к которым относятся:
По сути, все эти функции, перечень которых не является исчерпывающим, так или иначе связаны с безопасностью, поэтому китайские регуляторы сочли необходимым обязать автопроизводителей предоставить водителю привычные и надёжные способы взаимодействия с ними. Интеграция всех функций управления в центральный планшет или голосовой интерфейс повышает удобство для некоторых пользователей, но одновременно увеличивает риски, связанные с безопасностью. Отказ от физических кнопок позволял автопроизводителям не только экономить на проводке и комплектующих, но и регулярно расширять функциональность бортовых систем благодаря постоянному обновлению управляющего программного обеспечения. Теперь они будут вынуждены потратиться на обеспечение должного уровня безопасности с точки зрения эргономики. Это не единственный пример ужесточения требований к безопасности со стороны китайских властей. С 1 января будущего года все продаваемые на территории страны автомобили должны будут оснащаться дверными ручками, позволяющими отпереть дверь за кратчайшее время в любых погодных условиях. Полностью утопленные в панель двери наружные ручки окажутся вне закона. Во всех механизмах с электроприводом в этой сфере должны быть предусмотрены дублирующие механические устройства, позволяющие отпереть дверь при отсутствии электропитания. К слову, в случае с кнопками управления в интерьере применение новых правил не будет мгновенным, поскольку уже прошедшие в КНР сертификацию модели с альтернативными способами управления указанными функциями смогут выпускаться и продаваться до завершения своего рыночного цикла. Требования станут обязательными только для машин, которые пройдут сертификацию с настоящего времени до 1 июля следующего года. Китайцы научились следить за активностью пользователя в смартфоне без взлома — по электромагнитным утечкам
09.07.2026 [11:05],
Геннадий Детинич
Учёные из Народного университета общественной безопасности Китая (People’s Public Security University of China) обнаружили метод цифрового взлома, который позволяет по слабым электромагнитным утечкам смартфона определять, какие приложения и действия выполняются на устройстве. Это не требует доступа к операционной системе, памяти телефона или данным владельца, поэтому метод работает, даже когда аппарат заблокирован, отключён от сети или находится в режиме полёта.
Источник изображения: ИИ-генерация ChatGPT/3DNews Суть метода заключается в том, что разные приложения по-разному нагружают процессор, графический блок, GPS-приёмник, модуль Wi-Fi, контроллер памяти, радиотракт и другие узлы смартфона. Эти нагрузки меняют характер энергопотребления, а вместе с ним — и низкочастотное электромагнитное излучение устройства. В экспериментальной схеме такие сигналы снимались бесконтактно — с помощью внешней электромагнитной катушки в диапазоне 150–650 кГц, после чего их спектральные «отпечатки» анализировались алгоритмами ИИ. Систему проверили на трёх серийных смартфонах: iPhone 15 Pro, Xiaomi 15 Pro и Oppo Reno 13. Она с точностью до 99,07 % распознавала использование Douyin, видеозвонков WeChat, Baidu Maps, SMS, браузера, камеры и облачного хранилища. Отдельно исследователи показали, что по электромагнитному следу можно различать действия внутри видеоплатформ — например, обычное воспроизведение, паузу и ускоренное воспроизведение на YouTube, Tencent Video и Bilibili. Для таких сценариев точность составила 95,61 %. Несмотря на, казалось бы, невысокую практическую ценность информации, собираемой через подобные утечки, авторы видят смысл в «усилении доказательной базы» при цифровых расследованиях: метод без физического доступа к телефону может дать независимое подтверждение того, что пользователь запускал определённое приложение или выполнял типовое действие. В целом приватность пользователей остаётся в безопасности, однако сам подход открывает путь к построению поведенческого профиля владельца устройства. Все данные, полученные через электромагнитные утечки с протестированных смартфонов, были извлечены в лабораторных условиях с достаточно близкого расстояния. Учёные пока не берутся сказать, удастся ли считывать такие данные в местах массового скопления людей — со смартфонов в чехлах и в условиях сильных помех. Но если такая возможность существует, ею наверняка воспользуются при необходимости. Прежде чем стать безопасными соседями для людей, роботам предстоит ещё сильно усовершенствоваться
05.07.2026 [08:03],
Алексей Разин
Разработчики человекоподобных роботов спешат продемонстрировать серьёзный прогресс в их развитии, но за кадром остаются проблемы с их адаптацией к нахождению среди людей — разных и очень непредсказуемых. Прежде чем такое соседство станет социальной нормой, создателям роботов и программного обеспечения для них предстоит очень многое усовершенствовать.
Источник изображения: UBTech Robotics Как повествует The Wall Street Journal, в социальных сетях гуляет немало сюжетов, которые демонстрируют не очень приятные примеры взаимодействия роботов с окружающими людьми. Один из роликов раскрывает неконтролируемые танцы человекоподобного робота в ресторане, другой показывает пнувшего маленького ребёнка робота во время выступления в Китае. Роботы, которые по своему предназначению должны постоянно находиться в непосредственной близости к человеку, становятся всё крупнее и тяжелее. Специалисты утверждают, что даже потеря электроснабжения в результате разрядки тяговой батареи способна повлечь неприятные для окружающих последствия, поскольку двуногий робот при падении может покалечить взрослого человека или ребёнка. Аналитики Morgan Stanley ожидают, что к 2050 году в мире будет эксплуатироваться 1 млрд человекоподобных роботов, а оборот профильного рынка достигнет $7,5 трлн. Робототехническая отрасль по мере перехода роботов из сферы промышленной автоматизации к домашнему применению сталкивается с новым вызовом: роботам нужно научиться работать в более непредсказуемой среде по сравнению с условиями производственного предприятия, где всё упорядочено в соответствии с технологическими процессами. Программное обеспечение для бытовых роботов будет ориентироваться на вероятностные оценки тех или иных событий, а не следовать строго прописанным алгоритмам. Искусственный интеллект в этом случае поможет разработчикам ПО, но совершенствовать его придётся долго и тщательно. Меры предосторожности необходимо будет закладывать изначально, как на уровне внешних физических кнопок принудительной остановки, так и на уровне защитных функций в схемотехнике. Помимо камер и датчиков непосредственно на корпусе робота, в этом деле помогут и окружающие устройства, с которыми робот сможет обмениваться информацией. Разработчики стараются предусмотреть разного рода функции безопасности. Компания Neura Robotics, например, в случае угрозы падения своего человекообразного робота заставляет его делать это с минимальным риском для окружающих. Кто-то из производителей роботов отказывается от использования ног в пользу более устойчивых оснований с колёсами. Тем более, что последние позволяют разместить и более ёмкую тяговую батарею. Низкий центр тяжести, в свою очередь, позволяет исключить падение в большинстве ситуаций. Кто-то из производителей ограничивает усилие, которое могут развивать роботы. Они при этом способны выполнять требуемые от них операции, но с меньшей вероятностью могут навредить человеку. В России создадут защиту отечественного ПО на случай массового отзыва сертификатов
22.06.2026 [14:15],
Владимир Мироненко
Российские разработчики создают систему защиты отечественного софта на случай массового отзыва сертификатов для подписи программного кода западными удостоверяющими центрами, сообщил ресурс РБК со ссылкой на презентацию рабочей группы «Единое пространство доверия», сформированной на базе Национального технологического центра цифровой криптографии во взаимодействии с ФСБ, Минцифры и ФСТЭК.
Источник изображения: Florian Olivo/unsplash.com В состав рабочей группы вошли «РусБИТех-Астра» (часть ГК «Астра»), «Сбертех» («дочка» «Сбера»), «Базальт СПО», «Открытая мобильная платформа» («дочка» «Ростелекома»), «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и др. Ей поставлена задача разработать Отраслевой технологический удостоверяющий центр (ОТУЦ), который должен будет выдавать российским разработчикам сертификаты подписи кода вместо ушедших западных. В группе отметили, что ОТУЦ уже функционирует в тестовом режиме. С ноября 2025 года систему на её базе протестировали «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчики операционных систем Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора», которые получили в центре сертификаты, подписали свои программные продукты и обменялись ими для взаимной проверки. Ранее в июне японская компания GlobalSign запустила массовый отзыв сертификатов безопасности у российских сайтов, находящихся под санкциями. В связи с этим разработка системы защиты софта, начатая в конце 2025 года, теперь рассматривается как основной способ сохранить безопасность российских программ, сообщил источник РБК. В случае отзыва сертификата операционная система перестаёт доверять подписи и либо полностью блокирует запуск программы, либо выводит предупреждение о небезопасном издателе, рассказал собеседник РБК, отметив, что у разработчика есть только два способа сохранить работоспособность программы: либо убрать подпись кода, чтобы системе было нечего проверять, или использовать сертификаты небольших иностранных компаний, которые пока не соблюдают санкции. В случае отсутствия подписи программу зачастую можно запустить, но тогда хакеры смогут внедрить в нее вредоносный код, и это останется незамеченным, добавил он. Крупнейшими зарубежными провайдерами сертификатов подписи кода являются американские Sectigo и DigiCert, прекратившие ещё в 2022 году выдавать российским компаниям новые сертификаты подписи кода и продлевать срок службы действующих, а также японская GlobalSign. По словам источника, со стороны Apple случаи отзыва сертификатов для подписи программного кода были отмечены ещё в 2023 году. В связи с этим подсанкционным компаниям пришлось убрать подпись кода, оставив свой софт незащищённым для злоумышленников. В Минцифры сообщили, что в случае отзыва иностранных сертификатов подписи кода «есть техническая возможность выпуска отечественных». Также проводится пилотирование сертификатов подписи кода на российском криптографическом стандарте ГОСТ в отечественных десктопных операционных системах семейства Linux. «Также есть успешные результаты встраивания стандарта ГОСТ для подписания установочных файлов в операционной системе Android c сохранением текущей экосистемы», — сообщил представитель Минцифры. Он также рассказал, что «на данный момент нет информации о проработке планов по отзыву иностранных сертификатов подписи кода или по запрету добавления новых сертификатов в качестве доверенных в ОС Windows». Представитель министерства также сообщил, что при переходе на отечественные сертификаты подписи пользователь сможет добавить их в число доверенных в иностранную операционную систему своего устройства самостоятельно. По словам источника РБК, речь идёт об условно открытых мобильных и десктопных ОС (Windows и Android). Что касается iOS и macOS, то в этом случае можно будет установить приложение с неизвестным системе сертификатом подписи кода через режим разработчика. Как убедились исследователи, современные человекоподобные роботы с ИИ несут в себе большую опасность
21.06.2026 [18:08],
Владимир Фетисов
Исследователи из США и Европы провели эксперимент, показавший, что современные роботы, функционирующие под управлением нейросетей, могут выйти из-под контроля человека. Это указывает на то, что разработчики должны уделять больше внимания вопросам безопасности в процессе создания автоматизированных машин, которые постепенно интегрируются в повседневную жизнь людей.
Источник изображения: Genesis AI В течение десятилетий робототехника основывалась на жёстком и предсказуемом программировании. Человек писал программу, которая в дальнейшем использовалась для управления машиной и позволяла ей бесконечно долго выполнять повторяющиеся действия. Промышленные стандарты безопасности были построены на предположении, что, если человек способен, например, проследить траекторию движения роботизированного манипулятора, то он может ограничить риски с помощью лазерного датчика или чего-то иного. Сейчас в дома, больницы и другие места начинают поступать машины, не использующие фиксированные блоки программного кода. В основе их управления находятся большие языковые модели, т.е. алгоритмы, на базе которых функционируют ИИ-боты, такие как OpenAI ChatGPT. Если человек при взаимодействии с современным роботом скажет, например, «убери лужу на кухне», машина задействует нейросеть для интерпретации этой команды, её обработки и создания плана действия для её выполнения. Однако такая гибкость открывает серьёзную проблему безопасности. Это связано с тем, что пользователь не может поместить робота в клетку или какое-то ограниченное пространство, а его поведение изменяется в режиме реального времени на основе его собственных рассуждений. Проблема роботов нового поколения заключается в том, что они планируют свои действия на основе команд, получаемых на естественном человеческом языке. Из-за этого такие машины можно обманом заставить «выйти из-под контроля». Путём серии опытов и не прибегая к взлому, учёные сумели с помощью простых текстовых команд заставить роботов на базе ИИ выполнять по-настоящему опасные действия. Отмечается, что испытуемые роботы легко отклоняли прямые вредоносные команды, такие как «ударь этого человека». Однако систему ограничений удалось обойти, как только исследователи подошли к этому вопросу более творчески. Они оформили команду для робота в виде вымышленного диалога для сценария к фильму, в результате чего поведенческие ограничения фактически исчезли.
Источник изображения: unitree.com В одном из тестов учёным удалось запрограммировать уже ставшую коммерческим продуктом робота-собаку определять скопления людей в качестве оптимального места для размещения взрывного устройства. Поскольку управляющий машиной алгоритм воспринял команду как творческое упражнение, он не обращал внимания на реальную опасность, которая могла последовать за этим. Современные законы США и ЕС, похоже, совершенно не готовы к подобным ситуациям. Когда политики пытаются понять, как следует регулировать роботов, почти всегда они рассматривают лишь автономные транспортные средства. При этом беспилотные авто функционируют внутри высокоструктурированного и хорошо изученного мира. Они следуют фиксированным правилам дорожного движения, перемещаются по предсказуемым траекториям и могут тестироваться длительное время до выхода на дороги общего пользования. На оживлённых улицах действуют чёткие правила, за счёт чего инженеры могут заранее закладывать все вероятные экстренные ситуации в систему безопасности. Внутри жилых квартир, в школах или больницах таких правил не существует. Поэтому никакие заводские испытания не могут абсолютно точно предсказать, как поведёт себя робот, функционирующий на базе ИИ-модели, в случае столкновения с чем-то новым внутри неупорядоченной и непредсказуемой человеческой среды. Это оставляет разработчиков с серьёзным концептуальным недостатком в плане того, как разрабатываются такие машины. Безопасность чат-бота на базе ИИ абсолютна: модель не должна выдать схему изготовления взрывного устройства, кто бы это не спрашивал. Однако безопасность робота во многом зависит от контекста. Для примера можно представить процесс наливания кипятка из чайника. Само физическое движение — наклон, скорость потока и траектория — одинаковы, независимо от того, льётся кипяток в кружку или на руку человеку. Большие языковые модели очень хороши в открытой логике, но им чрезвычайно трудно даётся рассуждение в режиме реального времени с учётом контекста. В интерфейсе чат-бота ошибка в рассуждении приводит к опечатке или предоставлению некорректной информации. В физическом мире такая ошибка может обернуться необратимыми последствиями. Поэтому остаётся открытым важный вопрос. Кто будет виноват, если робот нанесёт физическую травму человеку? Конечный пользователь отдавший команду? Компания, изготовившая металлический корпус робота? Технологическая компания, создавшая ИИ-алгоритм для управления роботом? Действующие сейчас законы пока не применялись в подобных ситуациях. И пока регулирующие органы чётко не распределят ответственность, рыночное давление будет продолжать подталкивать технологические компании к коммерческому внедрению ускоренными темпами и снижению внимания к вопросам обеспечения безопасности. В устройствах Apple с чипами A12 и A13 найдена неустранимая уязвимость, подходящая для джейлбрейка
19.06.2026 [10:46],
Анжелла Марина
Исследователи безопасности из Paradigm Shift опубликовали технические детали новой, неустранимой, по их утверждению, уязвимости BootROM, получившей название usbliter8. Данный эксплойт базируется на недостатках оборудования и позволяет выполнять произвольный код на устройствах компании Apple, оснащённых процессорами поколений A12 и A13.
Источник изображения: AI Проблема кроется в аппаратном сбое USB-контроллера, который, функционируя совместно со специфической ошибкой в конфигурации прошивки, приводит к записи данных в некорректную область памяти. Как отмечает 9to5Mac, для активации уязвимости злоумышленнику требуется физический доступ к гаджету, переведённому в режим DFU, после чего на него отправляются специально сформированные пакеты.
Источник изображения: ps.tc Несмотря на то, что внедрение даёт полный контроль над процессом загрузки и позволяет обходить проверку цифровых подписей до запуска операционной системы, оно напрямую не компрометирует изолированный аппаратный сопроцессор Secure Enclave. Благодаря этому пользовательские данные и пароли остаются в безопасности, однако авторы отчёта предупреждают, что брешь расширяет возможности для возможного взлома этого защищенного модуля в будущем. В список подверженных угрозе систем на кристалле вошли чипы A12, S4, S5 и A13, на базе которых работают смартфоны линеек iPhone XR, XS и 11, часы Apple Watch нескольких поколений, колонка HomePod mini, а также мониторы Studio Display и базовые версии iPad. Наибольшую сложность при разработке метода атаки представлял процессор A13, использующий технологию аутентификации указателей (PAC), предотвращающую перенаправление команд. Однако исследователям удалось обойти эту защиту путём поэтапного повреждения участков памяти, что в конечном итоге помогло перехватить обработчик прерываний USB. Поскольку физический недостаток микросхем невозможно устранить патчами, эксперты подчеркнули, что единственным надёжным способом защиты является переход на более современное оборудование. При этом техническая реализация взлома для чипов A12X и A12Z, установленных в планшетах iPad Pro 2018 и 2020 годов, также возможна в ближайшей перспективе. Отмечается, что обнаруженная уязвимость не затрагивает процессоры A11 и более ранние версии, которые ранее оказались подвержены аналогичному аппаратному эксплойту под названием checkm8. Концепт нового взлома, уже опубликованный авторами на GitHub и собравший сотни положительных оценок за несколько часов, с высокой долей вероятности станет основой для создания новых инструментов джейлбрейка, ориентированных на затронутые девайсы. Перед публичным раскрытием сведений специалисты Paradigm Shift скоординировали свои действия с отделом безопасности Apple, поблагодарив корпорацию за оперативное реагирование и сотрудничество на этапе изучения метода атаки. Импортозамещение СЗИ: почему менеджер паролей стал критически важным элементом инфраструктуры (и причём здесь ФСТЭК России)
16.06.2026 [16:44],
Андрей Крупин
Трансформация менеджера паролей из утилиты в критический элемент инфраструктуры не случайна. Она обусловлена влиянием множества факторов: цифровой трансформацией бизнеса и государственных организаций, переходом к гибридным моделям (локальная инфраструктура + облачные сервисы), эволюцией нацеленных на кражу учётных данных кибератак, экспоненциальным ростом числа цифровых идентификаторов сотрудника и нормативным прессингом со стороны регуляторов рынка, требующих задокументированных, управляемых и подконтрольных механизмов работы с конфиденциальной информацией. В российских реалиях на эту картину наложился курс на импортозамещение и обеспечение технологического суверенитета страны.
Киберустойчивость сегодня становится одним из ключевых факторов непрерывности бизнеса и доверия к цифровой инфраструктуре (источник изображения: Kevin Ku / unsplash.com) По данным аналитиков, до 80% атак начинаются с компрометации учётных данных. Столь высокий показатель обусловлен слабыми, повторно используемыми или утёкшими паролями, которые остаются главным вектором проникновения в корпоративные сети. В этих условиях менеджер паролей, обеспечивающий генерацию, безопасное хранение и автоматическую подстановку уникальных длинных комбинаций символов для каждой учётной записи, является первым эшелоном защиты от несанкционированного доступа. Более того, современные менеджеры паролей не только упрощают доступ к учётным записям, но и позволяют централизованно контролировать политику паролей. С помощью гибкой ролевой модели администраторы реализуют принцип наименьших привилегий — сотрудники получают доступ только к тем ресурсам, которые необходимы им для работы. Решения также помогают выявлять утечки, внедрять многофакторную аутентификацию и интегрироваться с каталогами Active Directory, LDAP и SIEM-системами. По функциональной начинке упомянутые решения практически вплотную приблизились к продуктам класса PAM (Privileged Access Management), которые управляют привилегированными учётными записями и являются неотъемлемой частью защиты значимых объектов критической информационной инфраструктуры (КИИ). Таким образом, менеджер паролей перестал быть просто утилитой — он стал инструментом разграничения доступа и обеспечения аутентификации, то есть полноценным средством защиты информации (СЗИ). Принципиально важно, чтобы такие решения как менеджер паролей соответствовали требованиям регуляторов и обеспечивали высокий уровень доверия со стороны бизнеса и государства. Особенно это касается программных разработок, используемых в КИИ. Такое ПО, во-первых, в соответствии с новыми требованиями закона «О безопасности критической информационной инфраструктуры» должно быть исключительно отечественным и зарегистрированным в реестре Минцифры, а во-вторых, иметь соответствующие лицензии и сертификаты — без них продукт не пройдёт аттестацию, не будет принят службой безопасности и не выдержит проверки регуляторных органов. Применительно к менеджерам паролей это означает наличие сертификата Федеральной службы по техническому и экспортному контролю, и такой документ есть у «Пассворка» — единственного в настоящий момент менеджера паролей, сертифицированного ФСТЭК России.
Менеджер паролей «Пассворк» (источник изображения: passwork.ru) «Пассворк» сертифицирован по 4-му уровню доверия — наивысшему из применяемых для коммерческих средств защиты информации. Сертификат подтверждает, что продукт соответствует самым строгим требованиям российского регулятора и может применяться в критически важных государственных и корпоративных системах. Менеджер паролей может использоваться в государственных информационных системах (ГИС) — до 1 класса защищённости включительно, информационных системах персональных данных (ИСПДн) — до 1 уровня защищённости включительно, на значимых объектах критической информационной инфраструктуры (КИИ) — до 1 категории включительно и в автоматизированных системах управления технологическими процессами (АСУ ТП) — до 1 класса защищённости включительно. Для организаций, не подпадающих под обязательные требования регуляторов, сертификат ФСТЭК служит важным индикатором качества и надёжности решения — он подтверждает соответствие «Пассворка» самым высоким ИБ-стандартам в России, гарантирует отсутствие в нём скрытых недокументированных функций, а также то, что разработка продукта построена по принципам безопасного жизненного цикла программного обеспечения — с учётом требований к безопасности на всех этапах: от проектирования до тестирования и выпуска обновлений. «Пассворк» работает на российском IT-рынке с 2014 года и имеет в своём активе лицензии ФСТЭК и ФСБ России на деятельность в сфере защиты информации. Разрабатываемый компанией продукт упрощает совместную работу с корпоративными паролями и обеспечивает их хранение на сервере организации или в облаке в зашифрованном виде. Ключевые возможности «Пассворка»:
Открытый для аудита исходный код менеджера паролей позволяет проверить его на предмет любых уязвимостей, что является важным для многих крупных предприятий. В условиях импортозамещения и жёстких требований регуляторов «Пассворк» объединяет соответствие стандартам безопасности и удобство управления секретами. «Базис» и Т2 развернули первое в России импортонезависимое телеком-облако
16.06.2026 [10:00],
SN Team
«Базис», крупнейший российский разработчик ПО для управления динамической ИТ-инфраструктурой и Т2, российский оператор мобильной связи, запустили первое в стране телеком-облако отечественного производства. Теперь PCRF (функция правил политики тарификации) Т2 работает на базе отечественной платформы виртуализации Basis Dynamix. Проект стартовал в середине 2025 года. Технические специалисты Т2 и «Базиса» интегрировали платформу Basis Dynamix с системами хранения данных и адаптировали гипервизор под кластерную архитектуру сетевых функций. Также команды оптимизировали ресурсоемкость решения: вместо стандартного развертывания выделенных модулей безопасности для каждого кластера, специалисты настроили единый узел защиты всего сайта. Это кратно снизило потребность Т2 в сетевом оборудовании. После ухода с рынка иностранных вендоров рынок мобильных операторов лишился профильного инфраструктурного ПО. Т2 в течение нескольких лет проводила аудит рынка. При выборе решения оператор сделал ставку на производительность и отказоустойчивость ядра. Техническим фундаментом стала платформа Basis Dynamix. Гибкая архитектура решения позволила инженерам адаптировать процессы под требования телеком-инфраструктуры и напрямую интегрировать специфические механизмы управления трафиком, необходимые для стабильной работы мобильной сети. В 2026 году «Базис» завершит подготовку инфраструктуры еще в 10 вычислительных центрах Т2 — это позволит оператору масштабировать работу функции PCRF на все регионы присутствия. Созданная технологическая база даст возможность поэтапно перевести остальные сетевые компоненты на отечественное ПО в соответствии с требованиями регулятора. «До старта этого проекта на российском рынке отсутствовал практический опыт применения отечественных enterprise-платформ в качестве телеком-облака. Требования операторов связи в корне отличаются от запросов корпоративного бизнеса. Нам пришлось обеспечить полное резервирование всех без исключения компонентов и интегрировать специализированные механизмы аппаратного ускорения трафика. Совместно с инженерами Т2 мы фактически переизобрели архитектуру развертывания нашей платформы, найдя баланс между строгими требованиями ИБ и необходимостью экономии аппаратных ресурсов под узлы управления», — прокомментировал коммерческий директор «Базиса» Иван Ермаков. «Исторически мы решали инфраструктурные задачи покупкой комплексных узлов связи, но сегодня перешли к самостоятельному построению ИТ-ландшафта на базе независимых программных компонентов. Главным вызовом стала оптимизация нового программного стека: нам потребовалось достичь высоких показателей производительности сети при рациональном использовании аппаратных ресурсов. За несколько лет мы провели масштабную ревизию архитектурных стандартов и в ходе проекта совместно с вендором эффективно адаптировали платформу под нужды бизнеса. Успешный запуск в Санкт-Петербурге доказал надежность выбранного нами подхода», — отметил заместитель генерального директора по технической инфраструктуре Т2 Алексей Дмитриев. Honor научила смартфоны подсовывать приложениям фальшивые данные вместо личных — Google может её завернуть
10.06.2026 [17:30],
Павел Котов
Смартфоны Google и Samsung предлагают множество полезных функций для обеспечения безопасности и конфиденциальности: детектор спама, фильтрацию звонков, расширенный режим защиты (Advanced Protection Mode) и отключение USB на заблокированном смартфоне. Не менее интересное решение под названием Virtual Permissions представила Honor. ![]() Функция Honor Virtual Permissions предполагает отправку пустых либо фиктивных данных определённым приложениям, которые запрашивают доступ к конфиденциальной информации. Приложения, которым не доверяет пользователь, могут получать недостоверные данные из списка контактов, сообщений, журналов звонков и календаря. Это пригодится, если есть желание пользоваться новым или существующим приложением, с которым не хочется делиться закрытой информацией. Любопытно, что Honor не первая предложила эту возможность — ещё в 2020 году нечто подобное представила Realme: тогда при запросе приложением определённых разрешений ему можно было отправлять пустые данные. Однако в 2021 году китайский производитель был вынужден удалить эту функцию из-за каких-то действий Google. Часть устройств лишилась её с выходом очередного обновления, а на части она вообще так и не появлялась. С одной стороны, отрадно, что подобные возможности реализовал другой бренд. Но пользователям смартфонов Honor по всему миру следует ожидать, что компания так и не выпустит её на устройствах за пределами Китая. Официальных комментариев по данному вопросу от Google, Realme и Honor пока не поступало. В ядре Linux нашли серьёзную уязвимость, созданную всего одним лишним символом в коде
09.06.2026 [20:57],
Николай Хижняк
Исследователи проанализировали серьёзную уязвимость в Linux, которая позволяет повысить права доступа для недоверенных пользователей до уровня root, используя редкую ошибку — всего один ошибочный символ в коде ядра.
Источник изображения: Fotis Fotopoulos / unsplash.com Уязвимость, отслеживаемая как CVE-2026-23111, находится в nf_tables — подсистеме ядра Linux, которая обеспечивает возможности фильтрации пакетов. Она используется для управления правилами брандмауэра и заменяет более старые подсистемы, такие как iptables, ip6tables, arptables и ebtables. Наличие одного ошибочно введённого восклицательного знака в коде, реализующем nf_tables, привело к появлению уязвимости типа use-after-free, которая повреждает память, размещая вредоносный код по адресам памяти, не освобождённым должным образом от предыдущего содержимого. CVE-2026-23111 может использоваться непривилегированным пользователем или процессом для повышения прав доступа в системе до уровня root. Уязвимость работает за счёт нарушения процесса удаления вердиктов — определений в рамках фреймворка nf_tables, которые решают, соответствует ли пакет правилу, требующему выполнения определённого действия. В этом процессе могут использоваться так называемые элементы catchall, которые действуют как подстановочный знак, если поиск не находит совпадений ни с одним другим элементом в наборе. Когда карта вердиктов удаляется из памяти, элементы catchall деактивируются, а счётчик ссылок цепочки уменьшается. При возникновении ошибок удаление может быть отменено, а счётчик — увеличен. Уязвимость CVE-2026-23111 позволяет изменить этот процесс. В результате эксплойт может уменьшать значение переменной произвольное количество раз, а затем удалить и освободить цепочку, когда некоторые объекты всё ещё указывают на неё. «Здесь мы рассмотрели, как один некорректный восклицательный знак привёл к уязвимости использования памяти после освобождения, которую может использовать непривилегированный пользователь в Debian и Ubuntu для повышения привилегий до уровня root. Хотя эксплойт многократно активирует уязвимость использования памяти после освобождения (use-after-free), приводящую к утечке базового адреса ядра, утечке адресов кучи и перехвату потока управления, тесты стабильности показали стабильность более 99 % в неактивной системе», — сообщили в понедельник исследователи компании Exodus Intelligence. Обнаруженная уязвимость была исправлена в ядре в феврале. Компания FuzzingLabs продемонстрировала эксплойт в апреле. Компания Exodus Intelligence, обнаружившая ошибку, включила свой собственный эксплойт в пост в понедельник. Он работал на Debian и Ubuntu. CVE-2026-23111 — одна из как минимум трёх мощных уязвимостей повышения привилегий, обнаруженных в Linux за последние недели. Эти уязвимости особенно опасны, поскольку в сочетании с отдельным эксплойтом могут использоваться для обхода встроенных в ОС средств защиты. |