CODE BLOG

Разбогатевшие⁠

Австралийский файрвол пал под натиском школьников В Австралии вступил в силу громкий закон о запрете социальных сетей для лиц младше 16 лет, но цифровой апокалипсис продлился меньше суток. Подростки массово вернулись в соцсети, используя элементарные методы социальной инженерии и современные технологии, пока правительство праздновало «победу» световым шоу на мосту Харбор-Бридж. Оказалось, что хваленые системы верификации возраста бессильны перед смекалкой зумеров. В ход пошли дипфейки для обмана биометрии, документы родителей и генерация лиц несуществующих 40-летних людей через нейросети. Самые ленивые просто указывали 2000 год рождения при регистрации новых аккаунтов, так как старые оказались заблокированы лишь частично. Технически закон возложил ответственность за фильтрацию на сами платформы, но те явно не справляются с наплывом «взрослых» новорегов. Вместо защиты детей власти получили урок по кибербезопасности от 14-летних, которые теперь знают про подмену личности и дипфейки больше, чем министры.

Шутка говорит сама за себя #ithumor@codeblog

Windows 10 без ESU лишилась возможности откладывать обновления На компьютерах с Windows 10 без программы расширенных обновлений безопасности (ESU) кнопка «Приостановить обновления на 7 дней» стала неактивной. Скорее всего, это баг системы. Внутренняя система оценки Windows Update, похоже, ошибочно определяет некоторые устройства как «просроченные» и переводит их в режим принудительного обновления. Новая логика разделения устройств с ESU и без неё даёт сбои. Бонус — если случайно кликнуть на обновление до Windows 11, отменить его тоже не получится. Microsoft пока не прокомментировала ситуацию.

немного подождите ;)

Госдума рассматривает блокировку всех сервисов Google в России Депутаты обсуждают полное ограничение Google в России. Повод — компания до сих пор хранит персональные данные россиян за границей, а новые поправки к закону о персональных данных ужесточают требования к трансграничной передаче. По словам Андрея Свинцова, это создаёт угрозу экономике и безопасности: бизнес держит в облаках Google финансовые данные, технологии и сделки — по сути, всю коммерческую тайну. Депутаты считают, что такие данные могут использоваться для мониторинга российской экономики и корректировки санкций. Российские аналоги, уверяют парламентарии, уже ничем не уступают западным, а многие даже лучше. Переход планируют делать постепенно — через замедление и усложнение сервисов Google, чтобы дать время на миграцию.

Поэтому java никому не нравится

Неисправленная уязвимость в Gogs привела к взлому 700 серверов Критическая 0-day уязвимость в Gogs позволяет удалённо выполнять произвольный код. Из более чем 1400 публично доступных серверов свыше 700 уже скомпрометированы. Патча до сих пор нет. Проблема CVE-2025-8110 связана с path traversal в API PutContents — атакующие используют символические ссылки для перезаписи файлов за пределами репозитория, обходя предыдущее исправление. Перезаписывая конфигурационные файлы Git, хакеры выполняют произвольные команды. Признак компрометации — репозитории со случайными 8-символьными названиями. Рекомендуется срочно отключить Open Registration и ограничить доступ к серверу. Self-hosted, говорили они. Безопаснее, говорили они.

Когда фиксишь баги в самый последний момент

В спецификации PCIe нашли три уязвимости Исследователи Intel обнаружили три бреши в протоколе PCIe IDE, который отвечает за шифрование и проверку целостности данных между компонентами. Проблемы затрагивают спецификацию PCIe 5.0 и выше, но для эксплуатации требуется физический доступ к железу, поэтому угроза оценена как низкая — 1,8–3,0 балла по CVSS. Суть багов в некорректной обработке порядка пакетов и таймаутов, что позволяет подменить или переупорядочить трафик между PCIe-устройствами. Среди подтверждённо уязвимых продуктов — Intel Xeon 6 с P-ядрами и AMD EPYC 9005. Nvidia, Dell и ряд других вендоров заявили, что их железо не затронуто. Исправления уже разосланы производителям, обновления ожидаются в ближайшее время. Хорошая новость — хакеру придётся буквально залезть внутрь сервера. Плохая — в дата-центрах бывают и не такие гости.

Отличный вопрос

Энтузиаст создал полностью автономного ИИ-ассистента на базе Raspberry Pi 5 Пользователь GitHub Симоне Марцулли представил проект Max Headbox — умный дисплей с локальным искусственным интеллектом, который работает без обращения к облакам. Главная цель разработки заключалась в создании приватного голосового помощника, где все данные обрабатываются исключительно на устройстве, а взаимодействие происходит через анимированный аватар или тач-интерфейс. Железо проекта включает Raspberry Pi 5 с 8 или 16 ГБ памяти, USB-микрофон и комплект GeekPi с экраном и кулером. Программный стек построен на Ollama: за логику отвечает модель Qwen3 1.7b, а за «живость» диалога — Gemma3 1b. Голосовой ввод обрабатывают Vosk и faster-whisper, при этом скрипты написаны на Python и JS. Автор выложил подробный гайд, так что собрать своего карманного Джарвиса может любой желающий. Главное, чтобы «малинка» не расплавилась от такого напряжения, пытаясь осознать смысл бытия.

И так сойдет

Охотников за уязвимостями из Knownsec самих взломали через три 0-day Китайская компания Knownsec, специализирующаяся на поиске уязвимостей в чужих системах, признала взлом собственной инфраструктуры. В ноябре в сеть утекло около 12 тысяч внутренних документов, однако сам инцидент произошёл ещё в августе 2023 года — злоумышленники проникли в облачную систему через три 0-day эксплойта. Knownsec входит в двадцатку ключевых игроков китайского рынка кибербезопасности, а её CSO SuperHei годами лидировал в мировых рейтингах по обнаружению брешей в продуктах Microsoft и Tencent. США включили компанию в санкционный список «китайских военных компаний» ещё в 2021 году. В своём заявлении Knownsec назвала произошедшее «чрезвычайно прискорбным», признав что технологии атакующих оказались слишком изощрёнными для оценки полного объёма утечки. Те, кто зарабатывает на чужих брешах, два года не могли оценить масштаб дыры в собственной обороне — классический сапожник без сапог.

Не жили богато, и нечего начинать

AI Overviews и AI Mode могут оказаться под запретом? ЕС начал расследование против Google Google вновь оказалась под прицелом европейских регуляторов: против компании открыто свежее расследование об антимонопольных нарушениях. Во вторник представители Евросоюза объявили, что изучают, каким образом компания использует онлайн-контент для своих ИИ-моделей и связанных с ними сервисов — и не нарушает ли при этом конкуренцию. Еврокомиссия, главный антимонопольный орган объединения из 27 стран, уточнила: проверка касается того, не нарушает ли Google правила честной конкуренции, привлекая материалы издателей и контент, загружаемый пользователями на YouTube, для обучения и работы своих ИИ-систем. Регуляторов тревожит, что компания могла создать несправедливое преимущество, используя этот контент сразу в двух своих поисковых режимах — AI Overviews и AI Mode — без компенсаций издателям и без возможности для них отказаться от такого использования. Overviews автоматически выдает краткие сводки поверх обычной поисковой выдачи, а Mode отвечает на запросы в манере разговорного чат-бота, будто подменяя собой традиционный поиск. Отдельно проверяется, не применяет ли Google видео, загруженные на YouTube, на таких же условиях — чтобы обучать собственные генеративные модели, фактически перекрывая доступ конкурентам, которые разрабатывают ИИ-системы. «Подобные претензии могут задушить инновации в отрасли, которая сегодня конкурентнее, чем когда-либо, — заявили в Google. — Европейцы заслуживают доступа к передовым технологиям, и мы будем продолжать работать с новостными и креативными индустриями, пока они осваивают новую эпоху ИИ». Комиссия — исполнительный орган ЕС — проводит проверку по старым, давно действующим антимонопольным правилам, а не по более свежему Закону о цифровых рынках (Digital Markets Act), который специально создавался, чтобы ограничить попытки техногигантов монополизировать интернет-пространство. «ИИ приносит Европе невероятный прилив инноваций и множество преимуществ — и для людей, и для бизнеса. Но прогресс не должен разрушать те принципы, на которых держатся наши общества, — подчеркнула в заявлении Тереса Рибейра, вице-председатель Еврокомиссии, курирующая вопросы конкуренции. — Именно поэтому мы и выясняем, не навязывала ли Google издателям и создателям контента несправедливые условия, одновременно ставя разработчиков конкурирующих моделей ИИ в заведомо проигрышное положение — что противоречит антимонопольным правилам ЕС». Брюссель неограничен какими-либо сроками для завершения дела. Но если нарушения будут доказаны, компании может грозить санкция в размере до 10% от ежегодной мировой выручки — наказание, которое в индустрии считают весьма ощутимым.

Ухх... Не стоило этого делать

Россияне массово скупают видеокарты на фоне ИИ-хайпа Россияне этой осенью устроили настоящий набег на магазины электроники, сметая видеокарты с полок. По статистике Wildberries & Russ продажи GPU в стране выросли на 400% по сравнению с прошлым годом, а в Санкт-Петербурге зафиксирован аномальный скачок почти на 800%. Ритейлеры связывают ажиотаж с опасениями по поводу роста цен, возможного дефицита и всеобщим интересом к локальному запуску нейросетей. Тенденцию подтверждают и другие игроки рынка, включая «М.Видео-Эльдорадо» и «Авито», где спрос вырос на 60% и 64% соответственно. Примечательно, что интерес к остальной бытовой технике снижается, поэтому закупка графических ускорителей выглядит как инвестиция «на черный день».

Таким можно и похвастаться

Шпионский софт Predator заражает смартфоны через простой показ рекламы Правила цифровой гигиены больше не спасают — расследование вскрыло новый вектор атак от компании Intellexa под кодовым названием «Аладдин». Теперь для заражения смартфона шпионом Predator не нужно переходить по ссылкам, достаточно просто загрузить страницу с вредоносным рекламным баннером. Атака реализуется через мобильные рекламные сети (DSP) с точечным таргетингом по IP-адресу, превращая обычный веб-серфинг в минное поле. В утекших документах также нашли упоминание эксплойта «Тритон», заточенного под Samsung на чипах Exynos — он бьет через уязвимости модема с принудительным даунгрейдом сети до 2G. Google называет Intellexa одним из главных поставщиков коммерческих zero-click решений, против которых бессильна осторожность пользователя. Единственным рабочим решением остаются жесткие режимы блокировки вроде Lockdown Mode или полный отказ от смартфона в пользу голубиной почты.