Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
AI
Соцсети
Телеграм
Право
Крипто
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Chumikov Sec

Новости кибербезопасности за неделю 27 января - 2 февраля 2025

Новости кибербезопасности за неделю 27 января - 2 февраля 2025

Все самое интересное из мира кибербезопасности /** с моими комментариями

1) Apple выпустила обновление iOS (и всех своих других операционных систем), устраняющее ряд уязвимостей безопасности в своих продуктах, включая уязвимость нулевого дня, которая, по словам компании, активно используется в реальных атаках.

Новости кибербезопасности за неделю 27 января - 2 февраля 2025

Уязвимость, обозначенная как CVE-2025-24085, позволяет вредоносному приложению, уже установленному на устройстве, повышать привилегии.

/** Несанкционированное повышение привилегий — очень опасная тема. Приложение, которое получает root-права, может самостоятельно и без уведомлений пользователя: изменять системные настройки, скачивать и сохранять программы из интернета, получить доступ к камере, микрофону и GPS, получить полный доступ к файлам системы и пр. Настоятельно рекомендую обновить ваши устройства!

2) В начале 2025 года наблюдается значительный рост интереса среднего и крупного бизнеса к методикам и сервисам безопасной разработки (DevSecOps). По сравнению с IV кварталом 2024 года в январе 2025 года спрос увеличился на 29,7%, а доля компаний, впервые обращающихся за такими услугами, выросла на 14,5%. Источник.

Новости кибербезопасности за неделю 27 января - 2 февраля 2025

/** Сама по себе новость очень хорошая и своевременная. Со своей стороны хочу подсветить для вас следующее: повышение безопасности разработки существенно повышает её стоимость. Стоимость растёт, потому что нужно:

  • закупать специализированное ПО (DAST, SAST сканеры и пр.), под это ПО нужно выделять инфраструктуру и поддерживать её;
  • нанимать сотрудников, которые хорошо разбираются в этом специализированном ПО и в целом, в информационной безопасности;
  • повышать качество и количество сотрудников DevOps, которые будут эти инструменты внедрять, поддерживать, обновлять и автоматизировать CI\CD процессы с их использованием;
  • постоянно проводить периодическое обучение информационной безопасности всех разработчиков. А хорошее обучение в ИБ - очень дорогое.

Каждой компании скоро придётся искать баланс "безопасность разработки - затраты", что очень не просто.

3) В ABC проанализировали 29 миллионов ПИН-кодов, опубликованных на одном из ресурсов, посвященных утечкам персональных данных. Исследование показало, что пользователи зачастую выбирают самые простые комбинации, которые легко угадать или подобрать.

Новости кибербезопасности за неделю 27 января - 2 февраля 2025

/** 1234, 1111, 0000 ) Я не сильно удивился. Не вижу прикладного использования данной статистики, но это лишний раз говорит о том, что очень часто люди ПИН-коды и пароли выбирают те, которые легко запомнить. Поэтому всегда включайте и настраивайте себе двухфакторную авторизацию.

4) И закончить хочу самой, наверное, горячей темой недели - хайп вокруг DeepSeek.

Новости кибербезопасности за неделю 27 января - 2 февраля 2025

27 января - чёрный понедельник для технологического сектора США. Акции ведущих американских технологических компаний резко упали на фоне стремительного успеха нового китайского чат-бота DeepSeek. Приложение, выпущенное на прошлой неделе, за считаные дни стало самым скачиваемым бесплатным приложением в США, обогнав #ChatGPT от OpenAI.

/** Что после этого началось... Конечно же, это огромный удар по самолюбию ключевых американских и европейских игроков. А начали твориться - "честная конкуренция" и "демократия":

1) На следующий же день их начали жутко DDOSить из-за чего DeepSeek ограничил регистрацию новых пользователей, а существующие пользователи на протяжении всей недели периодически наблюдали сообщение, формата "Сервера перегружены, попробуйте позже";

2) Взломать DeepSeek начали пытаться все кому не лень и все, кому лень, но кому заплатили ) И вроде бы даже успешно, т.к. нашли какую-то открытую БД с кучей приватной информации (пруфов, как и дампа самой базы, я нигде не нашёл);

3) Все начали выяснять как китайцам удалось совершить такой прорыв. Тут конечно же сразу основной версией стало то - что они всё украли у OpenAI - нашли способ как быстро и дёшево красть информацию у ChatGPT. Верить подобному или нет - каждый решает сам для себя;

4) Италия запретила DeepSeek на своей территории;

5) Пентагон запретил сотрудникам пользоваться DeepSeek, что, в принципе, логично и правильно;

6) "Хайпанули" и многие сотрудники DeepSeek, т.к. их профили и персональные данные начали гулять по сети;

7) В субботу вышла информация, что какие-то ушлые хакеры попытались сыграть на хайпе и выпустили заразные библиотеки с использованием DeepSeek в названии.

В общем, DeepSeek на этой неделе прошёл очень серьёзный security check. Очень надеюсь, что они всё быстро исправят и вернутся к стабильной работе.

Я давно подписан на новости и слежу за развитием DeepSeek, т. к. их нейронки уже не первый раз создают шумиху на рынке. Поэтому я сразу скачал их мобильное приложение, которое вышло 8 января этого года и всячески его рекомендую попробовать вам (если регистрацию открыли)! Конкуренция, особенно в такой дорогой сфере как AI - это очень хорошо, и как подтверждение - на этой неделе экстренно вышел большой апдейт GPT-4o:

  • Знания нейронки обновили до июня 2024 года;
  • Математика и код, по заявлению разработчиков, дается ему намного легче;
  • Прокачано машинное зрение;
  • Советуем заглянуть в персонализацию бота, обновили меню;
  • Веб поиск работает быстрее и точнее.

Но API-доступ к DeepSeek всё равно пока существенно дешевле, чем у ChatGPT и полностью обратно совместим. Будем следить за этой битвой дальше.

Безопасной вам недели!

Подписывайтесь на мой Телеграм!

Предыдущая неделя <-- week Sec News --> Cледующая неделя

2
Начать дискуссию