-
Похожий контент
-
Автор KL FC Bot
В конце января 2026 года цифровой мир охватила волна хайпа вокруг проекта Clawdbot — автономного AI-агента, который за 24 часа собрал более 20 000 звезд на GitHub и спровоцировал дефицит Mac mini в некоторых магазинах в США. Очень скоро Clawdbot по настоянию Anthropic из-за созвучности с Claude был переименован сначала в Moltbot, a затем, еще через несколько дней, — в OpenClaw.
Опенсорсный проект чудесным образом превращает компьютер Apple (и не только, но об этом позже) в умный и самообучающийся сервис у вас дома — он подключается к популярным мессенджерам, управляет всем, от чего у него есть API и токены, а еще он включен 24/7 и способен сам себе писать вайб-код под любую задачу, которую пока не знает, как выполнить. Звучит как именно то, с чего начнется восстание машин, но угроза — пока — в другом.
Эксперты по кибербезопасности обнаружили критические уязвимости, которые открывают путь к краже приватных ключей, API-токенов и иных данных пользователя и удаленному выполнению кода. К тому же для полноценного функционирования сервису необходим полный доступ к операционной системе и командной строке, что порождает риски как угробить всю систему, на которой он запущен, так и слить все свои данные при неправильной настройке агента (спойлер: это настройки по умолчанию). Сегодня мы рассмотрим нового ИИ-агента поближе, выясним, чем чревато его использование на данный момент, и дадим советы по безопасности тем, кто все-таки решит его запустить у себя дома.
Что такое OpenClaw
OpenClaw — опенсорсный ИИ-агент, который работает с автоматизацией на новом уровне. Все фичи, которые старательно продвигают крупные корпорации в своих умных ассистентах, теперь настраиваются вручную, не требуют выбора какой-то определенной экосистемы, а функционал и автоматизации могут быть полностью разработаны пользователем и расшарены с другими такими же энтузиастами. Каталог готовых «навыков» OpenClaw на момент публикации статьи уже содержит около шести тысяч готовых сценариев — благодаря невероятной популярности агента как среди энтузиастов, так и среди злоумышленников. Впрочем, «каталогом» его можно назвать с большой натяжкой — ни категоризации, ни фильтрации, ни модерации загруженных «навыков» в нем нет.
View the full article
-
Автор KL FC Bot
Чтобы внедрять в организации эффективные программы ИБ и сохранять глубокую вовлеченность ИБ-команды во все бизнес-процессы, ее руководитель должен регулярно показывать ценность этой работы высшему руководству. Для этого нужно говорить на языке бизнеса, но тех, кто искренне старается это делать, ждет опасная ловушка. ИБ-специалисты и высшее руководство используют одно и то же слово, но понимают под ним совершенно разные вещи. Иногда несколько схожих терминов используются как взаимозаменяемые. В результате топ-менеджмент не понимает, от каких угроз ИБ-команда старается защитить организацию, каков уровень киберустойчивости компании, во что будут вкладываться деньги и другие ресурсы. Поэтому, перед тем как демонстрировать эффектные дашборды и считать ROI ИБ-программ, стоит ненавязчиво проговорить важные терминологические нюансы.
Наведя в них порядок и сформировав общий словарь, CISO и совет директоров значительно улучшат свои коммуникации и в конечном счете повысят защищенность организации.
Почему словарь кибербезопасности важен для руководства
Разная трактовка терминов — это не просто неудобство, последствия могут быть весьма существенны. Непонимание деталей может приводить к:
Ошибкам распределения инвестиций. Руководство может одобрить покупку решения zero trust, не понимая, что это лишь часть долгосрочной комплексной программы со значительно большим бюджетом. Деньги потрачены, но ожидаемые руководством результаты не достигнуты. Или при миграции в облако руководство посчитает, что это автоматически означает передачу всей ответственности за безопасность провайдеру, и отклонит бюджет на обеспечение мер облачной ИБ. Принятию рисков вслепую. Руководители бизнес-подразделений могут принимать риски ИБ, не имея полного представления об их потенциальном воздействии. Дефициту управления. Не понимая терминологии, руководство не может задавать правильные, «неудобные» вопросы и адекватно распределять зоны ответственности. Когда случается инцидент, выясняется, что бизнес-заказчики считали, что защита была целиком в зоне ответственности CISO, а CISO не имел полномочий влиять на бизнес-процессы.
View the full article
-
Автор retox
Попался на неприятный вирус который в режиме онлайн времени менял адресс криптокошелька на свой, начал проверять, при установке DrWeb выкидывало с браузера, так же с касперским. Попытался установить malwarebytes(Менял название файла потому что иначе не запускалось), теперь при диагностике показывается вроде все решено, но не могу удалить malwarebytes никак, хотя в службах показывается активная работа. Помогите пожалуйста, есть подозрение что много чего не задетектил
-
Автор KL FC Bot
За последние два месяца были обнаружены сразу три уязвимости, эксплуатация которых позволяет обходить аутентификацию в продуктах Fortinet с использованием механизма FortiCloud SSO. Причем если первые две, CVE-2025-59718 и CVE-2025-59719, были найдены экспертами компании при аудите кода (хотя CVE-2025-59718 уже успела попасть в каталог эксплуатируемых уязвимостей), то третья, CVE-2026-24858, была выявлена непосредственно в ходе расследования посторонней активности на устройствах. Эти уязвимости позволяют злоумышленникам с учетной записью FortiCloud логиниться в чужие аккаунты FortiOS, FortiManager, FortiAnalyzer, FortiProxy и FortiWeb, если на устройстве включена функция SSO.
Для защиты компаний, использующих нашу SIEM-систему KUMA и устройства Fortinet мы подготовили пакет правил корреляции, которые помогают обнаружить подобную вредоносную активность. Правила уже доступны клиентам для скачивания в репозитории KUMA; название пакета: [OOTB] FortiCloud SSO abuse package – ENG.
Состав пакета FortiCloud SSO abuse
В пакет входят три группы правил. Они служат для мониторинга:
индикаторов компрометации: IP-адреса источника, имени пользователя, создания новой учетной записи со специфичным именем; критичных действий администраторов, таких как вход с нового IP адреса, создание новой учетной записи, вход через SSO, вход с публичного IP адреса, экспорт конфигурации устройства; подозрительной активности: экспорта конфигурации или создания учетной записи сразу после подозрительного входа в систему. Правила с пометкой (info) потенциально могут генерировать ложные срабатывания, поскольку критичные для мониторинга атаки методом обхода аутентификации события могут быть вполне легитимными. Для снижения ложноположительных срабатываний необходимо добавлять IP-адреса или учетные записи, связанные с легитимной административной активностью в исключения.
По мере появления новых отчетов об атаках мы планируем дополнять новой информацией правила с пометкой IOC.
View the full article
-
Автор KL FC Bot
Далеко не все практикующие ИБ-специалисты считают целесообразным определять, кто именно стоит за вредоносным ПО, обнаруженном при атаке на их компанию. Типичный алгоритм действий при расследовании подобных инцидентов таков: нашли подозрительный файл → если антивирус его не заблокировал, проверили в «песочнице» → увидели вредоносную активность → добавили хеш в списки блокировки на средствах защиты информации (СЗИ) → пошли пить чай. Так поступают многие ИБ-специалисты, особенно когда у них нет достаточного времени на расследование инцидентов или не хватает знаний и навыков «раскрутить» по ниточке весь клубок хакерской атаки. Однако, когда речь идет о целевых атаках на компанию, это прямой путь к провалу, и вот почему.
Если злоумышленник настроен серьезно, он редко ограничивается единственным вектором атаки. Возможно, вредоносный файл, который вы обнаружили, к этому моменту уже сыграл свою роль в многоступенчатой атаке и более не представляет особой ценности для атакующего. А злоумышленник уже глубоко проник в вашу инфраструктуру и продолжает действовать при помощи других вредоносных инструментов. Для того чтобы гарантированно устранить угрозу, необходимо выявить всю цепь атаки и нейтрализовать ее.
Но как сделать это эффективно и быстро, пока злоумышленники не успели причинить реальный ущерб? Один из способов — погрузиться в контекст. По файлу определить, кто именно вас атакует; быстро выяснить, какие еще инструменты и тактики используются этими же злоумышленниками; проверить свою инфраструктуру на наличие связанных угроз. Для этих целей есть немало инструментов threat intelligence, но я покажу, как это работает, на примере нашего Kaspersky Threat Intelligence Portal.
Практический пример пользы от атрибуции
Допустим, вы загружаете на сайт найденный вами файл ВПО на портал Threat Intelligence и выясняете, что он используется, например, хакерской группировкой MysterySnail. Что вам дает это знание? Давайте посмотрим на доступную информацию:
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти