Sachok

Много вопросов услышал про «Руссикй кибербез». Подождите ребята, готовимся, скоро всем официально ответим. Была проблема — нет желающих. Появилась проблема — слишком много желающих.

МТС позвали на свою вечеринку. Летний вайб, много людей из кибербеза и приятная атмосфера. @cybersachok

Google пятикратно увеличит выплаты за обнаруженные в системах и приложениях ошибки в рамках программы bug bounty. Теперь максимальный размер выплаты составит $151 515.

Не прошло и месяца В начале месяца стало известно об уязвимости RegreSSHion в серверном компоненте OpenSSH. После ее анализа, на новую брешь вышел специалист Александр Песляк(Solar designer). Новая уязвимость(CVE-2024-6509) в наборе программ для шифрования связи может привести к удаленному выполнению кода в случае эксплуатации. CVE-2024-6409 связана с выполнением кода в дочернем процессе privsep. «Основное отличие новой бреши от CVE-2024-6387 — наличие состояния гонки и возможность удалённого выполнения кода в дочернем процессе privsep, который работает с пониженными правами», — говорит Песляк. «Таким образом, можно сделать вывод, что риски эксплуатации существенно снижаются. Однако киберпреступники всё равно могут предпочесть эксплуатацию CVE-2024-6387 в определённых условиях». @cybersachok

«Сохраняй спокойствие и обвиняй русских хакеров» Надпись на футболке отлично иллюстрирует настроения в зарубежном ИБ-сообществе. Ирония заняла место серьезным обвинениям.

С конца мая каждый день выгляжу, как Бен Аффлек — комфортная одежда, стакан айс латте(в последнее время айс капучино, потому что доля эспрессо в нем больше) в руках и тревога и тщетность бытия в глазах. А у зумеров, оказывается, появился тренд — лето в стиле Бена Аффлека. Тут получается, все отделы SOC в тренде.

В копилке джелбрейка GPT-4 пополнилось. Исследователи показали способ, при котором изображения блок-помогают обойти запреты GPT-4o и заставить ее создавать вредоносный текст. С GPT-4o вероятность успешной атаки составила 92,8%. Для атаки парни разработали автоматизированную платформу, которая сначала генерировала изображения блок-схем из вредоносного текстового приглашения и передавала его в модель для получения результата. Для создания изображений блок-схем использовали 520 вредоносных моделей поведения из набора данных AdvBench. Модель просили дать детальной описание того, что происходит на картинке, иногда скармливая ей подсказки на английском языке. Ну и как всегда есть нюансы: сгенерированные блок-схемы были менее эффективны, чем созданные вручную. А это значит, что автоматизировать процесс джелбрейка будет сложно. Другое же исследование подтвердило, что эффективнее для джелбрейка GPT мультимодальные данные с текстом и изображением. Про то, как GPT-4o давала рецепт по изготовлению метамфетамина(там ее тоже, по-русски говоря, наебали), мы помним. @cybersachok

Очень уж похоже эта база на обычный вброс с целью запугивания населения и хода в игре информационных баталий.

Взломы касаются и близких Мама позвонила и сказала, что ее аккаунт в WhatsApp взломали. Переходила ли по левым ссылкам? Нет. Использовала веб-версию WhatsApp и, кажется, авторизовалась в мессенджере, который использует для работы, через фишинговую версию. Наконец-то перешла на Telegram. @cybersachok

Кстати, грустные новости в субботу вечером. Новости позавчерашние. Секси милфу Наумову уволили. За что — не знаем. А начиналось как! Русский кибербез делают одни бабы. А закончилось как! Опять мужика поставили. Ну чистый сексизм.