Телеграм канал «Kali Linux»

⚡️ Мах ворует личные фото из переписок - пользователи нашли серьезную уязвимость.

Оказалось, что если отправить изображение в чат или даже сохранить его в «Избранное», файл можно открыть без авторизации. Достаточно зайти в веб-версию сервиса, посмотреть код страницы, скопировать прямую ссылку на файл и открыть её в браузере.

Такая ссылка работает напрямую и не требует входа в аккаунт.

Из-за этого теоретически доступ к файлам могут получать боты, парсеры и любые сторонние сервисы. А значит под угрозой оказываются любые отправленные изображения - документы, личные фотографии и другие файлы.

⚠️ GPT-5.4 впервые получил статус “высокого киберугрозы” среди универсальных AI-моделей.

GPT-5.4 - официально признана high cybersecurity risk.

Это означает, что модель уже способна самостоятельно планировать и выполнять сложные кибератаки на симулированные корпоративные сети.

Основание для такой оценки - тесты Capture the Flag (CTF).

В индустрии кибербезопасности CTF - это соревнования по взлому систем.
Участники должны проникнуть в симулированную сеть, найти уязвимости, взломать сервисы и добыть скрытые данные - так называемые *flags*.

Для этого требуется:
- взламывать шифрование
- делать reverse engineering программ
- находить уязвимости в веб-приложениях
- строить сложные цепочки атак

По результатам официальных тестов GPT-5.4 набрал 88% в профессиональных CTF-сценариях.

Это очень высокий показатель.

Фактически это означает, что модель уже умеет:
- находить уязвимости в системах
- писать эксплойты
- строить стратегии взлома

Если AI способен проходить профессиональные hacking-челленджи, значит он обладает теми же навыками, которые используют реальные хакеры для взлома корпоративных инфраструктур.

Главная проблема - масштабирование атак.

Если раньше хакеру нужно было вручную искать слабые места, то теперь AI может автоматически анализировать систему и находить уязвимости.

Это резко ускоряет и удешевляет кибератаки.

Именно поэтому GPT-5.4 стал первой универсальной AI-моделью, официально получившей высокий уровень киберриска в системной карте безопасности.

deploymentsafety.openai.com/gpt-5-4-thinking/gpt-5-4-thinking.pdf

⚛️ React2Shell Scanner - Эксплуатация уязвимости CVE-2025-55182

Интерактивный инструмент для эксплуатации уязвимости в Next.js, позволяющий выполнять команды, загружать файлы и эскалировать привилегии. Обеспечивает удобный интерфейс и автоматизацию процессов для тестирования безопасности.

🚀 Основные моменты:
- Однофайловый исполняемый файл без внешних зависимостей.
- Полноценный интерактивный терминал с историей команд.
- Авто-эскалация привилегий с помощью инъекций.
- Надежные операции с файлами и кодирование для обхода фильтров.

📌 GitHub: https://github.com/ula7i921011/React2Shell-Scanner

Когда инфраструктура меняется быстрее, чем успевают обновляться процессы ИБ — теории уже недостаточно. Нужна практика.

Positive Education приглашает на практикумы по кибербезопасности для инженеров и руководителей ИБ.

Формат построен на методологиях экспертов Positive Technologies и включает разбор реальных сценариев атак, расследований и архитектурных решений.

Ближайшие потоки этой весны:
📌 10 марта — Мониторинг и реагирование на инциденты
📌 16 марта — Архитектура сетевой безопасности предприятия
📌 23 марта — Безопасность приложений: практикум для инженеров
📌 6 апреля — Построение SOC 2.0: от концепции до реализации
📌 20 апреля — Предотвращение атак на АСУ ТП

🎯Успейте изучить программы практикумов записаться!🎯
Количество мест на практикумах ограничено.

⚡️ Вышла интересная модель для безопасности кода - VulnLLM-R-7B.

Это reasoning-LLM, специально обученный искать уязвимости так, как это делает пентестер.

Главная особенность:

Модель не просто ищет подозрительные паттерны.
Она рассуждает по потокам данных и логике выполнения, чтобы понять, где именно возникает риск.

Что умеет VulnLLM-R-7B:

— Анализирует data flow и control flow, а не только синтаксис
— Проводит пошаговый разбор уязвимости
— Объясняет почему код опасен простым языком
— Работает с реальными сценариями, а не только с учебными примерами

По результатам тестов:

— Показывает state-of-the-art на наборах PrimeVul и Juliet
— Обходит CodeQL, традиционные статические анализаторы и даже крупные коммерческие LLM
— При этом модель компактная — всего 7B параметров, быстрее и дешевле в использовании

Безопасность кода постепенно переходит от «поиска шаблонов» к логическому анализу поведения программы.
И небольшие специализированные модели начинают выигрывать у больших универсальных.

Модель: huggingface.co/UCSB-SURFI/VulnLLM-R-7B

🐬Flipper Zero - не единственный вариант, если хочется поэкспериментировать с железом и безопасностью.

Разработчик собрал open-source альтернативу на базе Raspberry Pi — проект RaspyJack. По цене он примерно в два раза дешевле оригинала и при этом полностью повторяем своими руками.

RaspyJack ✅ это компактное устройство для тестирования сетей и изучения безопасности. С его помощью можно анализировать трафик, проверять конфигурации, искать уязвимости и использовать в задачах аудита и пентеста в своей инфраструктуре или лабораторной среде.

Что уже есть в проекте:
- открытый исходный код
- готовые инструкции по сборке
- 3D-модель корпуса для печати
- полный набор софта на GitHub

Электронику придётся собрать самостоятельно — компоненты можно найти на обычных маркетплейсах.

Подойдёт тем, кто интересуется:
hardware-проектами, кибербезопасностью, Raspberry Pi и практикой ethical hacking.

GitHub: https://github.com/7h30th3r0n3/Raspyjack
Видео: https://youtu.be/i4CnRoA7Mt4?si=z6vSqJHmsl2bcQrj

Open-source делает дорогие нишевые устройства доступными для DIY.