SecLabNews

Когда облако рвётся — ломается всё Четвергу суждено было стать днём архитектурных откровений. Сбой в Google Cloud обнажил фундаментальную проблему современных распределённых систем. Казалось бы, Cloudflare с его глобальной сетью точек присутствия должен был изолировать пользователей от локальных неполадок. Однако реальность оказалась жестче теории. Ключ к пониманию масштаба катастрофы кроется в архитектуре Workers KV. Этот распределённый накопитель, который должен обеспечивать отказоустойчивость через репликацию, оказался критически зависим от инфраструктуры стороннего поставщика. Когда узел us-central1 в Айове дал сбой, 90 процентов запросов к хранилищу ключей потерпели неудачу. В результате система репликации не справилась с нагрузкой. Парадокс современных облачных решений в том, что они создают иллюзию независимости, скрывая глубокие взаимозависимости. Когда провайдер услуг защиты от атак сам становится жертвой архитектурных просчётов, это сигнализирует о необходимости пересмотра принципов построения критически важных систем. Возможно, пора вспомнить о достоинствах истинно децентрализованных решений. #инфраструктура, #сбой, #облака

Переводы под заморозку — МВД предлагает 10-дневный лимит на сомнительные транзакции МВД продвигает идею экстренной блокировки переводов, доступа к звонкам и банковской информации без ожидания санкций. Ключевая идея — преступления происходят мгновенно, а реагировать приходится по старым, затянутым правилам. С технической точки зрения замысел логичен. Время реакции становится ключевым фактором, и старая правовая модель с её многоступенчатым согласованием перестаёт справляться. Однако новая система предполагает доступ без внешней проверки и делает риски ошибочного вмешательства значительно выше. Предложение о десятидневной приостановке переводов меняет саму философию платежных систем. Вместо принципа "разрешено все, что не запрещено" мы получаем "подозрительно все, пока не доказано обратное". Это революционный сдвиг, который затронет не только мошенников, но и обычных пользователей. Любая крупная сделка может попасть под подозрение и заморожена на полторы недели. #финансоваябезопасность, #кибермошенничество, #праваграждан

ИИ под статьёй: УК РФ пополнился когнитивными функциями Минцифры разработало поправки в УК, которые впервые вводят понятие «искусственный интеллект» в уголовное право. Теперь кража, мошенничество и вымогательство с использованием ИИ будут караться штрафами до 2 млн рублей и лишением свободы до 15 лет. Законопроект дает четкое определение ИИ как «комплекса технологических решений, имитирующих когнитивные функции человека». Под действие закона попадут не только дипфейки, но и любые системы обработки данных, способные выдавать результаты, сопоставимые с человеческим интеллектом. Интересный момент: ответственность исключается, если ИИ использовался против заблокированных в России ресурсов. Получается легализация кибератак на «недружественные» платформы? При ущербе от дистанционных хищений в 197 миллиардов рублей за год инициатива выглядит вполне оправданной. #ИИ #Кибербезопасность #УголовноеПраво

До 2 миллионов за «не тот» майнинг: в КоАП вводят новую статью Государство перестаёт церемониться с майнерами. Минцифры предложило новую статью в КоАП — 15.49, которая вводит прямую административную ответственность за незаконный майнинг, неучтённую крипту и расчёты вне правового поля. Штрафы — до 2 млн рублей, плюс конфискация всего намайненного. Даже за участие в пуле без регистрации теперь можно схлопотать 200 тысяч и остаться без крипты. Особый акцент — на отчётности: все майнеры обязаны передавать данные о кошельках и добытых средствах в Росфинмониторинг. Не сдал — штраф такой же, как за сам майнинг. Под ударом и владельцы оборудования — инфраструктурщики без реестра приравниваются к нелегалам. Это уже не просто регулирование, а установка контроля по китайской модели: хочешь майнить — вставай на учёт, плати налоги, отчитывайся. Всё остальное — вне закона. #майнинг #штрафы #цифроваявалюта

‍ Librarian Ghouls: хакеры освоили график "сова" для максимального урона Российские производства и технические вузы столкнулись с атаками строго по расписанию — злоумышленники "выходят на работу" в час ночи и завершают смену к пяти утра. Пунктуальность, которой позавидуют многие. Четырехчасовое окно используется максимально эффективно: автоматический сбор учетных данных, выкачка ключей криптокошельков, установка майнера и полное уничтожение следов через планировщик задач. Хирургическая точность операций. Утро для жертвы начинается с выключенного компьютера — и пустого кошелька. Ваши секреты украли, на вашем железе еще и майнят. Цинизм нового уровня. #кибербезопасность #хакеры #Россия

‍ Android подслушан: Pixel и Метрика пробили приватность через порты Как утверждают исследователи, Meta и Яндекс внедрили обход приватности: их нативные Android-приложения прослушивали порты localhost, получая данные от встроенных скриптов Pixel и Метрики прямо с сайтов. Даже если вы в инкогнито, без логина и без cookie — ID устройства и история посещений всё равно улетали. Механизм у Meta — через WebRTC и cookie _fbp, у Яндекса — через шифрованный HTTP. Данные шли на фиксированные порты: 12580–12585 у Meta, 29009 и др. у Яндекса. Проверка показала: уязвимы Chrome, Firefox, Edge. Brave и DuckDuckGo — в безопасности. Передача на localhost отключена только в июне 2025. До этого скрипты на тысячах сайтов связывали сессии браузера с аккаунтами. Без уведомлений, без разрешений. Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ. #отслеживание #приватность #мобильные

Импортозамещение в логине: вход только через .ru Второй пакет антимошеннических мер фактически национализирует авторизацию: владельцы российских сайтов смогут принимать для входа только адреса в национальной доменной зоне. Если инициативу примут, Gmail, Outlook и прочие зарубежные почтовые сервисы могут попасть под запрет при авторизации. Бизнесу придётся доработать формы, добавив обязательные поля для российских ящиков. Последствия двойственны. Мошенникам с анонимными адресами станет сложнее, но миллионы пользователей вынуждены будут менять привычки и создавать дублирующие аккаунты. Цифровой суверенитет требует жертв. #кибербезопасность #импортозамещение #цифровойсуверенитет

Российские ОС на каждый ноутбук: бизнес предложил, Минцифра поддержала На ЦИПР-2025 управляющий партнёр Fplus Алексей Мельников предложил ввести правило: все ноутбуки, поступающие в розницу — от DNS до Ozon и Wildberries — должны иметь хотя бы одну российскую ОС. В списке — Astra Linux, Red OS и «Альт». Windows — можно, но не вместо, а в дополнение. Шадаев идею поддержал, но с оговоркой: только ноутбуки. Смартфоны — под вопросом из-за рисков для импорта. Тем временем «Группа Астра» и «Ред софт» рапортуют о готовности к массовым поставкам, а Wildberries уже торгует устройствами на «Авроре». Пока доля российских ОС в ритейле — 2–3%. Даже с принудительной установкой без экосистемы и нормальной поддержки пользователь, скорее всего, выберет знакомое. Протекционизм — инструмент, но без удобства и доверия он не взлетит. #российскиеОС #ноутбуки #Минцифра

VK готовится стать новым госокном Более 90 миллионов россиян ежедневно обмениваются сообщениями в зарубежных сервисах — и в Минцифры явно считают, что пора менять расстановку сил. Максут Шадаев доложил президенту о развитии российского мессенджера от VK — с машинным обучением, открытой платформой и прицелом на интеграцию с госуслугами. В мессенджере планируется поддержка цифровых документов — для предъявления прав, студенческих, подтверждения возраста или заселения в гостиницу. Также рассматривается возможность подписания простых договоров через «Госключ» и перенос школьных чатов с функцией получения оценок и заданий напрямую из электронных дневников. Путин дал зелёный свет и напомнил, что без интернета всё это не взлетит. Теперь мяч на стороне чиновников: либо мессенджер станет цифровым суперприложением, либо останется ещё одним ярлычком на рабочем столе. #мессенджер #госуслуги #VK

Не гаджет, а гауптвахта: северокорейский Android следит, исправляет и доносит Свобода слова — не про этот смартфон. Тайно вывезенное устройство показало: каждый экран тут — как окно в допросную. Интерфейс — как у Huawei, но с духом Пхеньяна. Приветствие — флаг партии, функции — строго по инструкции ЦК. Автозамена «оппа» на «товарищ», подмена Южной Кореи на «марионеток», встроенное предупреждение за «не те» слова — всё это не сбои, а запрограммированная идеология. Скриншот каждые 5 минут, сохранённый в тайную папку, недоступную пользователю — уже не просто контроль, а цифровая слежка с партийным лицом. Даже в офлайн-режиме система держит пользователя на коротком поводке. Здесь каждое нажатие клавиши — повод для отчёта, а любое отклонение от линии — личное дело в досье. #КНДР #цензура #цифровоепорабощение