SecureTechTalks

📱 Иллюзия безопасности Есть удобное убеждение, что если приложение попало в App Store, то значит, его проверили. А если его проверили, то значит, ему можно доверять. Именно на этом ощущении безопасности держится экосистема iOS. Firehound показывает, насколько это доверие ошибочно. 🔍 С чего все началось? История началась без эксплойтов, исследователи решили внимательно посмотреть, как iOS-приложения хранят пользовательские данные и куда они реально уходят. Выяснилось, что backend многих приложений живёт за пределами витрины App Store...

Представьте, вы аналитик в виртуальной компании. Офис, переговорка, серверная. Значит где-то внутри уже зреет инцидент😁. ⏱ У вас есть час, чтобы: - найти реальные риски; - сопоставить фреймворки; - переписать политику безопасности. Если ошибётесь, то инфраструктура компании «упадет». Вот такое научное исследование было представлено на ISSOTL 2025. На наш взгляд это один из самых любопытных экспериментов в обучении ИБ за последнее время. 🎮 Escape room вместо лекций Авторы из UNSW превратили дата-гавернанс и политики безопасности в игру Escape room (помните такие?)...

🤖 LLM-агенты всё чаще получают доступ к реальным корпоративным системам: базам данных, файловым шарам, внутренним API, SOC-инструментам. Проблема в том, что почти вся эта инфраструктура обычно строится вокруг Active Directory и Kerberos, а агенты работают с JWT и OIDC. ⚠️ Где возникает проблема 🔑 JWT отлично подходит для: ➖API ➖микросервисов ➖облачных workload’ов При этом Kerberos-инфраструктура: ❌ не понимает JWT ❌ требует строгой идентичности ❌ строится вокруг принципала, билета и KDC Поэтому архитектура почти всегда деградирует до простого решения: 🧨 агенту выдают сервисный аккаунт...

QR-коды давно перестали быть чем-то экзотическим: мы видим их в электронных письмах, на афишах, в меню ресторанов, на счетах и даже на экранах входа в сервисы. 🎯 Что такое quishing? 📌 Quishing - это разновидность фишинга, при которой злоумышленники используют QR-коды для перенаправления жертв на вредоносные URL. Поскольку QR-код скрывает реальный адрес до сканирования, традиционные механизмы защиты (например, шлюзы корпоративной почты) не могут проанализировать, куда ведёт код, и пропускают угрозу...

Рынок до сих пор делает вид, что с LLM происходит что-то знакомое: очередные инъекции и jailbreak’и. Мы делаем вид, что всё это лечится фильтрами, дообучением и правильными policy. Однако это удобная иллюзия. На самом деле мы имеем дело не с программой, а с системой, которая ведёт себя как человек, но лишена внутреннего сопротивления. У неё нет нет инстинкта самосохранения или понимания, что её могут использовать. 🧩 Уязвимость, созданная вручную Важно понимать, чтт LLM не «сломались». Их специально такими сделали...

В кибербезопасности есть странный перекос, мы отлично умеем искать уязвимости, формировать алерты и писать отчёты об инцидентах. Но как только разговор заходит о рисках, приоритетах и реальном состоянии ИБ-программы, всё внезапно возвращается к Excel и презентациям. CISO Assistant - это попытка улучшить именно эту часть ИБ через системное управление рисками, контролем и требованиями. Проект развивается как open-source Community Edition и ориентирован прежде всего на CISO,  security-менеджеров и  GRC-специалистов...

: чему учат будущих специалистов ИБ О кадровом голоде в кибербезопасности говорят давно. Вакансии не закрываются месяцами, бюджеты на безопасность растут, а компании продолжают жаловаться на нехватку «готовых» специалистов. Формально проблема выглядит как дефицит людей. Но если вникнуть, то становится ясно: людей выпускают много, но не тех 🤦‍♂. 📚 Красивые программы Учебные программы по кибербезопасности выглядят солидно. В них много академических слов, например «комплексный подход», «современные угрозы»...

В ИБ есть старая проблема: мы отлично умеем находить уязвимости, но плохо понимаем, что реально сломается при атаке. Сканеры показывают CVE, SIEM алерты, а red team раз в год отчёт о пентесте. Системная проверка «что будет, если атакующий действует прямо сейчас» зачастую отсутствует. Сегодня поговорим про OpenAEV (Open Adversarial Exposure Validation) - open-source платформу, которая пытается закрыть этот гэп. 🧠 OpenAEV OpenAEV является платформом для валидации экспозиции под реальными сценариями атак...

! 🎄 2025-й показал, каким станет будущее ИБ: ➖ИИ научился атаковать и защищаться, ➖дипфейки вышли за пределы соцсетей, ➖air-gap перестал быть абсолютной защитой, ➖данные и модели стали новой критической инфраструктурой. Спасибо, что весь этот год вы были с нами! Читали, поддерживали лайками и оставались внимательными к рискам...

Исследователи доказали, что «безантенные-устройства» могут принимать команды по воздуху В кибербезопасности есть догма: если устройство физически изолировано от сетей, то оно безопасно. Air-gapped системы десятилетиями считались защищенными на физическом уровне. В конце 2025 года эта догма дала трещину. Исследователи опубликовали работу, в которой показали: встраиваемые устройства без Wi-Fi, Bluetooth, NFC и даже без антенн могут принимать данные через радио сигналы. 🔍 Начало Поводом для исследования...

ИИ-агенты - это движки  автоматизации, RAG-конвейеры, workflow с внешними инструментами, критические бизнес-процессы. Но они имеют свои уязвимости и вектора атак, такие как: 🔓 prompt injection ⚠️ unsafe tool calls 🧠 model hallucinations 🔒 утечка PII/PHI и секретов Сегодня мы разберём продукт Superagent, который помогает перевести риски в контролируемую среду. 🛡 Что такое Superagent? Superagent - это open-source платформа (⭐ 6.3k ⭐ на GitHub) с целевыми guardrail-моделями. Решение позволяет:...

? Исследователи проверили, могут ли современные большие языковые модели независимо оценивать уязвимости, то есть определять их критичность по описанию. 📊 Как тестировали? Команда прогнала 31 000+ CVE-описаний через шесть крупных LLM: • GPT-4o • GPT-5 • Llama 3.3 • Gemini 2.5 Flash • DeepSeek R1 • Grok 3 ❗️Модели оценивали исключительно текст описания уязвимости. Им не давали: ✔ названия продуктов, ✔ версий ПО, ✔ идентификаторы CVE, ✔ данные поставщиков Это было сделано специально, чтобы исключить «поиск по шаблону» и заставить ИИ логически рассуждать на основе текста...