Gartner назвал причину, по которой «ИИ-пузырь» наконец лопнет.

Молодёжь объяснила, почему «благие намерения» чиновников могут обернуться для них же настоящей катастрофой.

Без этих знаний в кибербезе делать нечего. Раскрыты главные приоритеты работодателей в сфере киберзащиты.

F6: Хакеры используют LLM для создания «чистого» кода загрузчиков

Почему США выступают против личных VPN.

Cortical Labs начала продажи настольного биокомпьютера на основе живых нейронов.

Придуман новый способ измерить скорость Вселенной.

Многолетние мольбы IT-сообщества наконец были услышаны.

Как объясняют это представители OpenAI и что делать простым пользователям?

Хакеры-близнецы, работающие на подрядчика правительства США, якобы превратили служебный доступ в инструмент для саботажа и кражи данных.

Теперь ясно, что даже актуальное ядро Linux может уместиться в скромные пределы.

Выясняем, как безобидная на первый взгляд настройка может разрушить доверие между шефом и подчинёнными.

Масштабный взлом Upbit обнажил пробелы в регулировании: украдены миллиарды монет, но наказать биржу почти невозможно.

Более 30 критических уязвимостей в AI-IDE показали, насколько легко обмануть LLM и заставить его выполнять вредоносные действия.

Инсталляция Beeple в виде стаи роботов с головами знаменитостей стала хитом коллекционеров.

В отношениях бизнеса и ИБ наметились заметные подвижки в лучшую сторону.

Плюс ко всему, он не решает проблему, связанную с недостаточной зрелостью бизнеса и неготовностью нести дополнительные расходы и ответственность за провалы в обеспечении безопасности.

Так что неслучайно, что тема организации диалога ИБ и бизнеса поднялась на SOC Forum.

Так, синергия информационной и экономической безопасности стала требованием бизнеса, и нормальная работа соответствующих служб просто невозможна без систем, которые находятся в ведении каждой из них.

Директор защиты информации и ИТ-инфраструктуры «Норильского никеля» Алексей Мартынцев назвал построение коммуникаций ИБ и бизнеса сложной задачей.

При этом остаётся важным определить, где проходят реальные пределы рыночного потенциала и в каких точках ожидания участников оказываются необоснованными.

Сектор привлекает молодёжь, создаёт точки роста для смежных отраслей и оказывает давление на бизнес: компании, не инвестирующие в цифровизацию, рискуют потерять конкурентоспособность даже в традиционных сегментах.

Многие организации продолжают приобретать продукты «про запас», а в ряде случаев поддержка зарубежных решений осуществляется уже собственными силами.

Стоимость ИТ-специалистов и ПО — другая история, которая во многом структурна и напрямую не связана с общей инфляцией.

Необходимо строить консервативные бизнес-планы, хеджировать ри…

Ответ кроется в стратегической автоматизации и смене парадигмы: рассматривать инфраструктуру не как обузу, а как гибкий код и платформу для инноваций.

Максим Чудновский разделил ИТ на два направления: ИТ как сервис и как бизнес.

ИИ-ассистенты будут повсеместно: уже есть проекты, где искусственный интеллект ведёт общение с клиентами, но он же будет применяться и в инфраструктуре, и в разработке.

Будущее отрасли эксперты видят в переходе к платформенным и, в перспективе, автономным системам, где ИИ станет незаменимым ассистентом.

Однако в обозримом будущем критически важной останется роль человека — как для стратегического управления, так и для глубокого понимания бизнес-процессов.

Глобальное количество успешных кибератак на промышленные предприятия в 2023–2024 годах выросло на 16,2 %, а в России — на ошеломляющие 350 %.

Именно здесь машинное обучение раскрывает свой потенциал, выявляя трудноуловимые аномалии и коррелируя разрозненные события в единую картину атаки, как это будет показано в следующем разделе.

Как это обнаружила ML-модель?

Как это обнаружила ML-модель?

Как это обнаружила ML-модель?

Композиционный анализ решает 3 задачи обеспечения безопасности ПО с открытым кодом:Формирование SBOM (Software Bill of Materials).

Тенденции мирового рынка инструментов SCAАналитические обзоры мирового рынка Software Composition Analysis, проводимые различными исследовательскими агентствами, свидетельствуют о планомерном росте данного сегмента.

Прогноз роста рынка SCA (источник: verifiedmarketreports.com)В отчёте Market Research Intellect объём мирового рынка SCA в 2024 году оценён в 1,2 млрд долларов.

Обзор российских SCA-решенийВ 2022 году к моменту предыдущего обзора инструментов SCA на рынке был представлен всего один продукт отечественной разработки.

Рассмотрим вкратце лидеров мирового…

Цифровая устойчивость стала обязательным требованием для выживания бизнеса в условиях растущих операционных рисков.

Эдгар Микаелян определяет цифровую устойчивость как способность бизнеса сохранять доступность, управляемость и прибыльность в условиях цифровых потрясений.

Как отмечает Александр Марковчин, инвестиции в цифровую устойчивость приносят пользу компании не только во время кризиса, но и в повседневной деятельности.

Компании заинтересованы в получении единого инструмента, который бы агрегировал лучшие практики не только в области кибербезопасности, но и в сфере ИТ-непрерывности, позволяя выбирать подходящие решения.

Юрий Жупан: «Ключевые тренды сохранятся — темпы цифровизации не сни…

Общие требования» (ГОСТ Р 56939-2024), заменивший ГОСТ Р 56939-2016.

ВведениеНовый ГОСТ описывает построение и развитие процессов разработки безопасного программного обеспечения (РБПО) и предназначен для разработчиков и производителей ПО.

Он определяет требования и процессы, необходимые для обеспечения защиты информации на этапе создания, эксплуатации и сопровождения ПО, и направлен на формализацию и контроль мер, позволяющих минимизировать риски появления уязвимостей и инцидентов безопасности.

Аудит по ГОСТ Р 56939-2024.

Стандарт ГОСТ Р 56939-2024 играет ключевую роль в практическом упорядочении процессов разработки, задаёт чёткие требования и лучшие практики.

Теперь появилось требование не только к ГИС, но и к ИТ-инфраструктуре, на которой они работают.

Для контроля трафика используются функции WAF, что позволяет выполнять требования по предоставлению доступа подрядчикам и по защите веб-приложений и API.

vGate изначально проектировался и разрабатывался для работы с виртуализацией, он понимает её специфику и работает с протестированными решениями.

Для ГИС Приказ № 117 — это развитие уже знакомого Приказа № 17 с некоторыми новшествами и изменениями.

Для операторов ГИС наступает период интенсивной подготовки, требующий пересмотра подходов к защите сетей, виртуализации и рабочих станций до марта 2026 года.

Ранее мы готовили обзор на систему Avanpost DS 1.0, а не так давно вышла новая версия — Avanpost DS 1.8.2.

Системные требования Avanpost DS 1.8.2Avanpost DS состоит из двух компонентов: Avanpost DS Server, являющимся основным компонентом системы, и утилиты dscli, выполняющей роль доменного клиента Avanpost DS.

Сценарии использования Avanpost DS 1.8.2Рассмотрим практические аспекты работы с Avanpost DS.

Настройка политики файловой системы для компьютера в Avanpost DS 1.8.2Также через политики выполняется настройка интеграции службы каталогов Avanpost DS с корпоративным удостоверяющим центром Avanpost CA.

Нативная интеграция Avanpost DS, Avanpost CA и Avanpost FAM позволяет решать полный спек…

ВведениеПризнаки значительного роста в 2025 году интенсивности APT-атак на российские компании только начинают проявляться.

Цель статьи — оценить достоверность тезиса о росте APT-активности в 2025 году и выявить, каких изменений это потребует от моделей угроз компаний.

через подрядчика) встречается чаще всего: количество атак с применением этой техники выросло в 2025 году (с 8 до 27,6 %).

Успешность кибератак с использованием фишинга в целом остаётся на прежнем уровне: 12 % в 2024 году и 13,8 % в 2025 году.

По данным Центра исследования киберугроз Solar 4RAYS, на российском рынке в 2025 году наблюдается рост активности APT-группировок.

Для обеспечения конфиденциальности и безопасности информации пользователей реализовано шифрование и защита данных.

Порядок действий и организация интерфейса позволяют быстро выполнять проверку уязвимостей и формировать отчёты.

Также отображает открытые порты, общий рейтинг безопасности, статистику обнаруженных уязвимостей и приоритетные угрозы.

ПО и сервисы.

По запросу вендор может оперативно реализовать выгрузку в JSON и в других форматах.

По данным отраслевых ассоциаций, доля трофейного ПО в ряде отраслей, в частности, в строительстве, близка к 100 %.

Трояны, инфостилеры, НДВ и прочие угрозыВ целом для ПО, которое принято называть трофейным, характерны те же угрозы, что и для любого другого нелицензионного.

По оценке руководителя отдела реагирования на инциденты «Бастион» Семёна Рогачёва, именно инфостилеры наиболее часто встраиваются в нелицензионное ПО — как для непосредственного использования в атаках на компании, так и для перепродажи.

Речь идёт не только о системах для монтажа видео и звука, но и ПО для создания цифровых эффектов и моделирования.

Регулирование должно быть выверенным и «умным», способствующим развитию ро…

Санкционное давление и курс на технологический суверенитет сделали переход на отечественные СУБД стратегической необходимостью для российских компаний.

Предприятия сегодня ориентированы на получение готовых решений, а не на сборку из отдельных компонентов.

Сложность заключается не только в переносе данных, но и в миграции бизнес-логики: хранимых процедур, триггеров и других компонентов, тесно связанных с конкретной СУБД.

Во втором опросе выяснилось, какова стратегия зрителей относительно СУБД на ближайший год:В процессе миграции на российскую СУБД — 43 %.

Это указывает на необходимость реализации комплексного подхода к защите данных на всех уровнях их жизненного цикла.

3 декабря разработчики JavaScript-библиотеки для создания веб-приложений React сообщили об обнаружении критической уязвимости в компоненте React Server Components.

Еще один идентификатор CVE-2025-66478 является дублирующим — он относится к интеграции React Server Components во фреймворке Next.js.

3 декабря последовало публичное раскрытие информации, пропатченные версии React Server Components и Next.js были опубликованы в репозитории NPM.

React Server Components позволяет отправлять запросы от клиента (кода, выполняемого на стороне пользователя) к серверу, в терминах React эта функциональность называется Server Functions.

Более того, даже если Server Functions не реализованы, но приложение …

Но, к сожалению, он также используется и в арсенале киберпреступников.

В ходе анализа содержимого указанного файла прослеживается простота кода, подробное его комментирование, форматирование и отсутствие грамматических ошибок.

– Информация о цифровой подписи файла tcpview.exeСпециалисты F6 классифицировали данный файл как загрузчик/инжектор PureCrypter, который содержит в ресурсах изображение Zsiik.jpg.

В ходе выполнения файл дешифрует и запускает в памяти сохраненный в ресурсах файл с именем Efrhk путем использования алгоритма дешифрования RC2.

– Функция дешифровки полезной нагрузкиДалее создает новый процесс с именем tcpview.exe, внедряет в него и запускает полезную нагрузку (MD5: 50838f9…

В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

Частая ситуация: команда честно заполняет шаблоны, проводит воркшопы, делает misuse-сессии, но результаты не попадают в тикеты, не отражаются в acceptance и никак не проверяются в CI.

Разработчик видит только тикет, а не исходный анализ, и реализует «как понял», а не «как задумывалось».

Неделя 1–2: Security Acceptance Template + обязательные поляСначала нужно заставить безопасность появиться в требованиях как стандартный элемент, а не как исключение.

Важно заранее договариваться о приоритетах и SLA на security-задачи, а на каждом этапе проводи…

Так и эксперты СайберОК весь ноябрь бродили по цифровым тропинкам и всё пытались понять: кому в Рунете жить хорошо, а кому достаётся участь тревожная.

Описание: Цепочка уязвимостей включает обход авторизации, отсутствие ограничений на количество попыток входа и уязвимость, позволяющую выполнять команды операционной системы.

Что по факту: Усложнение атак на React связано с тем, что признаки присутствия компонентов на хосте не всегда легко обнаруживаются, что затрудняет их идентификацию.

В момент попадания уязвимости в поле зрения СКИПы, система обнаружила публичный PoC в открытом доступе.

Что по факту: В ноябре были упоминания данной уязвимости, в сети есть публичный nuclei-шаблон, есть риск…

Но “капнем” глубже и посмотрим как 2025 году обстоят дела с торрентами и о правомерности их использования в разных странах.

Просто в каких-то странах прецедентов наказание за пиратство больше, в каких-то меньше и это статья призвана разобраться в юридических тонкостях этих дел.

За скачивание заведомо пиратских музыки/видео до 2 лет тюрьмы или до 2 млн иен штрафа или и то и другое - мanga, журналы, академические тексты и др.

через P2P, торренты и японские анонимные сети Winny/Share/Perfect Dark) максимальная уголовка — до 10 лет тюрьмы и до 10 млн иен штрафа.

Партия так и не получила регистрацию, но успела оставить заметный след — именно она сформулировала тогдашнюю народную позицию: “бороть…

В этой статье я подробно расскажу, как мошенники используют ИИ для генерации дипфейков, подделки документов, взлома паролей, фишинга, и какие правила кибербезопасности помогут подготовиться к потенциальным атакам.

Исследователи выяснили, ИИ в 4,5 раза эффективнее пишет фишинговые письма, по сравнению с человеком.

Они создали фейковые профили в LinkedIn с фотографиями, сгенерированными нейросетями, и от имени крупных IT-компаний проводили видео-собеседования с реальными специалистами, чтобы выудить конфиденциальную информацию.

Жертва даже не догадывается, что по ту сторону экрана — алгоритм, а не живой собеседник.

Пример, как ИИ используется для генерации документовВзлом аккаунтов и подбор п…

Александр Константинов, технический эксперт Cloud.ru считает, что проблема не в ИИ, а в том, как его используют.

Если мы это не прописываем, то модель сама начинает придумывать.

И, в принципе, там не нужны ни руль, ни педали — они могут двигаться от склада к складу, и это уже не фантастика.

Я и сам когда-то студентом «вайб»-кодил, как не в себя, — а потом утром приходил и думал: «Кто это вообще написал?

Потому что если полностью отдать всё на самотёк и не контролировать этапность разработки, мы просто не сможем удерживать качество.

Вопросы и свой опыт пишите в комментариях или в нашем телеграм-канале Dev Q&A — там регулярно проходят такие обсуждения, и сообщество растёт - подпишитесь.

Разное количество стандартов приводит к тому, что люди покупают большое количество проводов и так далее, и это косвенно приводит к тому, что мы портим природу.

То есть в большинстве случаев архитектор какого-то решения принимает решение о формате, исходя из того, как это оптимальнее сделать непосредственно для системы и для конечного пользователя.

«Я подсветил бы сразу вопрос: интеграции бывают разными — как минимум внутренние и внешние, и внешние тоже есть как входящие, так и исходящие.

Kafka — это не брокер, это стримерГаврин указывает…

До работы в Диасофте я двадцать лет был на другой стороне баррикад — работал в руководстве ИТ в банках и страховых компаниях.

Недавно мы с коллегами по рынку собрались в эфире телеграм-канала для разработчиков Dev Q&A обсудить, что вообще происходит с заказной разработкой в России.

На это мы тратили массу времени.

Но самое главное в заказной разработке — и мы все об этом говорим, но не явно — это коммуникации между исполнителем и заказчиком.

А если человек от бизнеса никогда не сталкивался с ИИ и не представляет, как реализуются сложные приложения, он может поверить.

ДисклеймерЭта статья — продолжение большой дискуссии, которая началась под моей предыдущей публикацией https://habr.com/ru/articles/971788/ про избыточность мер ИБ в АСУ ТП.

Эта статья — про то, почему реальность на заводах устроена иначе и почему аргументы ИБ часто не работают в контуре АСУ ТП.

Моя первая статья на тему ИБ в АСУТП https://habr.com/ru/articles/890612/ собрала много эмоциональных комментариев от специалистов по ИБ.

Это не значит, что ИБ «не нужна».

Проблема не в носителе и не в «кино» как таковом.

Это открывает новые возможности для разведки и шпионажа, в том числе прослушки телефонов и слежки за гражданами.

Теоретически, такие системы транскрибирования речи можно установить в общественных и публичных местах, школах, больницах, снимая в реальном времени текстовую расшифровку телефонных переговоров в помещении.

Система использует миллиметровый радар, то есть радиолокационную систему миллиметрового диапазона, в сочетании с системой распознавания речи на основе ИИ.

Но распознавание слитной произвольной речи — это кардинально новый уровень качества, по сравнению со списком из десяти слов.

В статье описана система, которая включает в себя программу для генерации синтетических данных, обра…

Особое внимание уделено критическим изменениям в политиках хранения данных, произошедшим в 2025 году, включая судебное решение по OpenAI и серьезные утечки данных в экосистеме AI.

Доступ к этим данным имеет только «небольшая, проверенная команда юристов и безопасности OpenAI» для соблюдения правовых обязательств [1].

Обучение на данных Anthropic имеет одну из наиболее консервативных политик в отрасли относительно использования пользовательских данных для обучения.

Собственные политики OpenRouter: хранение данных: минимальное хранение данных для технических целей [36];обучение на данных: OpenRouter не использует данные для собственного обучения [36];передача данных: данные передаются только …

Работал и в органах государственной власти, и в компаниях с государственным участием и в чистой коммерции.

На самом деле, очень многие критические уязвимости могут оказаться совершенно простыми как в поиске, так и в эксплуации.

Дабы немного развеять скуку решил я в очередной раз поискать уязвимости в программе Минцифры РФ.

И так, берем в качестве инструментов: терминал, nmap и telnet.

Я немного негодую, так как не понимаю в чем сложность скопировать и вставить в терминал одну команду и нажать Enter.

В это время нам поступает алерт в систему мониторинга событий ИБ о аварийной остановке службы Netlogon на контроллерах домена Абонента.

Доводим эту информацию до Абонента, на что получаем ответ: «Наблюдаем жалобы от пользователей о невозможности войти в компьютер».

Нелегитимных действий мы не зафиксировали, поэтому дали отмашку для развертывания новых контроллеров домена из копий.

Расследование инцидентаПока часть нашей команды продолжила поиск следов компрометации системы, мы с коллегами решили поискать причину остановки службы.

Запуск PowerShell_ISEПри интервьюировании сотрудника удалось выяснить, что с соседнего сервера запускался PowerShell скрипт по поиску заблокированных учетных запис…

Конечно, можно развернуть VLESS с XTLS-Reality, обернуть это в CDN и присыпать сверху магией, но иногда нужно решение в стиле «тяп-ляп и в продакшен».

-N : говорит SSH «не открывай мне шелл, я тут только ради туннеля».

macOS Описать ssh -D в LaunchAgent (plist-файл в ~/Library/LaunchAgents/ ) и включить автозапуск через launchctl .

SSH-туннель — это не VPN и не VLESS.

Статья написана в основном для неофитов и для побуждения поднять свой уровень образования в части сетевого администрирования и использовани�� сетевых протоколов.

Правоохранительные органы сообщают, что задержали разработчика и администратора панели управления неназванного вредоноса, построенного на основе опенсорсного инструмента NFCGate.

Среди задержанных — разработчик и главный администратор панели управления малвари, построенной на базе опенсорсного приложения NFCGate.

С тех пор мы регулярно рассказываем (1, 2, 3, 4, 5) о новых волнах таких атак, которые происходят в том числе и в России.

Далее пользователя просили авторизоваться — якобы для этого нужно было поднести карту к тыльной стороне телефона и ввести PIN-код.

Сообщается, что в настоящее время проводятся компьютерно-технические экспертизы, и идет работа по установлению всех участников груп…

React2Shell (CVE-2025-55182) — критическая уязвимость в популярной JavaScript-библиотеке React компании Meta (деятельность компании признана экстремистской и запрещена в России).

Баг затрагивает свежие версии 19.0, 19.1.0, 19.1.1 и 19.2.0 в конфигурациях по умолчанию, а также популярный фреймворк Next.js.

Для определения уязвимых хостов специалисты использовали методику от Searchlight Cyber и Assetnote: на серверы отправляется специальный HTTP-запрос, и по полученному ответу подтверждается наличие проблемы.

В свою очередь, аналитики из компании GreyNoise пишут, что уже зафиксировали попытки эксплуатации бага, исходящие с 181 уникального IP-адреса.

Также следует отметить, что глобальный сбой…

Справка: сканирование портовСка­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке.

Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение.

На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap.

Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:#!/ bin/ bash ports = $( nmap -p- --min-rate = 500 $1 | grep ^[ 0- 9] | cut -d '/ ' -f 1 | tr ' ' ', ' | sed s/, $/ / ) nmap -p $ports -A $1

В качестве доказательства своих слов (а также доказывая, что якобы похищенный человек еще жив), злоумышленники используют найденные в соцсетях фотографии, прошедшие определенную обработку.

При этом мошенники нередко используют функцию самоуничтожающихся сообщений, чтобы ограничить время на анализ присланных изображений и не дать жертве прийти в себя.

Но при внимательном рассмотрении видны несоответствия — например, отсутствие татуировок или шрамов, неправильные пропорции тела», — предупреждают в ФБР.

Сообщается, что в прошлом году бюро получило 357 жалоб на подобные схемы, а общий ущерб от них составил 2,7 млн долларов США.

Теперь мошенники стали применять ИИ-инструменты для создания весьма…

Разработчики предупреждают о критической уязвимости в Apache Tika.

Обнаруженная проблема затрагивает несколько ключевых модулей: tika-core версий от 1.13 до 3.2.1, tika-pdf-module версий от 2.0.0 до 3.2.1 и tika-parsers версий от 1.13 до 1.28.5 на всех платформах.

Отмечается, что свежая уязвимость CVE-2025-66516 связана с другой проблемой Tika — CVE-2025-54988 (8,4 балла по шкале CVSS), которая была исправлена разработчиками в августе 2025 года.

Кроме того, разработчики признали, что в первоначальном бюллетене безопасности была допущена ошибка: не было упомянуто, что в релизах Tika версии 1.x компонент PDFParser находился в модуле org.apache.tika:tika-parsers, что еще больше расширяет спект…

Кроме того, в него вошли сайты администраций некоторых субъектов РФ», — пишут в министерстве.

Включить в него ресурс иным способом невозможно.

Важное условие включения в перечень: все используемые вычислительные ресурсы должны находиться на территории России», — сообщают в Минцифры.

В сентябре 2025 года Минцифры составило первую версию «белых списков», в которую вошли наиболее востребованные и социально значимые российские сервисы и сайты.

В ноябре 2025 года список был обновлен, и на втором этапе в него включили:

Первый бумажный спецвыпуск «Хакера» полностью распродан, но сборники с лучшими статьями 2017-2021 годов по-прежнему доступны для заказа.

Если хочешь успеть положить под елку что-то крутое и редкое, советуем не затягивать с заказом: логистика в праздники работает медленнее обычного.

Спецвыпуск 2017–2019Этот спецвыпуск вышел в 2024 году и был приурочен к 25-летию «Хакера».

В этом номере, насчитывающем более 200 страниц, ты найдешь лучшие статьи про Active Directory, SDR, checkm8, VeraCrypt и не только.

Тиражи второго и третьего сборников тоже ограничены, поэтому рекомендуем не откладывать покупку, если хочешь успеть с подарками или планируешь порадовать себя.

Корень проблемы заключался в том, как Windows обрабатывает LNK-ярлыки.

В результате пользователь видит безобидную команду, а при двойном клике на ярлык запускается малварь.

Однако, как теперь сообщил Митя Колсек (Mitja Kolsek), глава Acros Security и сооснователь 0patch, недавно Microsoft незаметно изменила поведение LNK-файлов.

Пока Microsoft не подготовила полноценный патч, Acros Security выпустила неофициальное исправление через свою платформу 0Patch.

Микропатч ограничивает все Target-строки в ярлыках 260 символами и предупреждает пользователей о потенциальной опасности при открытии файлов с аномально длинными строками.

На этой неделе пользователи Aeza начали получать от компании предупреждения следующего содержания:«Здравствуйте.

На Вашей услуге размещены сервисы, посредством которых обеспечивается доступ к информации или информационным ресурсам в сети «Интернет», доступ к которым ограничен на территории Российской Федерации.

По информации, также предоставленной представителями компании в Telegram, в настоящее время уже разослано «несколько тысяч» таких уведомлений.

Как отмечают пользователи «Хабра», еще в начале ноября 2025 года в Aeza открыто заявляли, что использование хостинга компании для размещения VPN – не лучший вариант.

Эти меры могут влиять на маршрутизацию, доступность узлов и стабильность подк…

Пользователи заметили, что после обновления в мобильном приложении «Госуслуг» для Android пропала кнопка «Пропустить» при авторизации, и для входа в систему требуется установка мессенджера Max.

Судя по отзывам в официальном магазине Google Play, на этой неделе пользователи столкнулись с тем, что приложение «Госуслуги» требует подтверждения входа через мессенджер Max.

Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.

Подключить в качестве второго ф…

Французский ритейлер Leroy Merlin уведомил клиентов об утечке персональных данных, произошедшей в результате хакерской атаки.

В письме клиентам представители Leroy Merlin пишут:«Недавно на нашу информационную систему была совершена кибератака, и часть ваших персональных данных могла быть скомпрометирована.

В компании подчеркивают, что утечка не коснулась банковских данных и паролей от учетных записей.

Также в Leroy Merlin сообщают, что украденная информация пока не использовалась во вредоносных целях, а это может означать, что данные пока не «слили» в даркнете и не применяют для вымогательства.

В случае обнаружения подозрительной активности в аккаунте или при возникновении проблем с начисле…

Идея в том, что­бы встро­ить в интерфейс Burp рас­ширение, которое даст воз­можность запус­тить допол­нитель­ное ска­ниро­вание в Acunetix и получить най­ден­ные уяз­вимос­ти в Burp.

py — класс с метода­ми Acunetix API;— класс с метода­ми Acunetix API; jtransport.

В текущей вер­сии интерфейс — это два тек­сто­вых поля для кред к Acunetix API и пара кно­пок.

add ( JLabel ( " Search: " ) , gbc ) gbc .

search_field , gbc ) gbc .

Всего за три месяца ботнет Aisuru провел более 1300 DDoS-атак, а одна из них установила новый рекорд — ее пиковая мощность достигла 29,7 Тбит/с.

По оценкам аналитиков Cloudflare, в распоряжении операторов ботнета находятся от одного до четырех миллионов зараженных устройств по всему миру.

Исследователи рассказывают, что Aisuru работает по схеме «ботнет-на-прокат»: преступники арендуют части взломанных устройств, чтобы атаковать сайты и сервисы конкурентов.

Предыдущий рекорд в этой области тоже принадлежал Aisuru: 22,2 Тбит/с и эту атаку также остановила Cloudflare.

«Атака может длиться лишь несколько секунд, но последствия будут разрушительными, а восстановление займет гораздо больше времен…

По информации издания, пользователи жалуются на сбои в работе VPN с конца ноября 2025 года.

SOCKS5 и L2TP — более старые протоколы, которые не шифруют трафик сами по себе, однако используются в связке с другими инструментами.

По словам специалистов, в последние месяцы они стали популярны и используются для обхода блокировок, на что и обратил внимание регулятор.

Однако для обычных пользователей это означает, что публичные и простые в использовании VPN будут работать все хуже.

Бесплатные и массовые VPN первыми попадут под удар, а пользователям придется либо платить больше, либо разбираться в технических нюансах.

Обнаруженная уязвимость связана с обработкой данных, которые React получает через эндпоинты React Server Function.

Хуже того, специалисты предупреждают, что та же уязвимость, вероятно, присутствует и в других библиотеках с имплементациями React Server.

«Даже если ваше приложение не реализует эндпоинты React Server Function, оно все равно может быть уязвимо, если поддерживает React Server Components (RSC)», — предупреждают разработчики React в бюллетене безопасности.

По его словам, уже обнаружено более 968 000 серверов, использующих такие фреймворки, как React и Next.js.

Однако менее чем за сутки после раскрытия информации о проблеме в сети появился как минимум один proof-of-concept эксплоит…

Cybersecurity researchers are calling attention to a new campaign dubbed JS#SMUGGLER that has been observed leveraging compromised websites as a distribution vector for a remote access trojan named NetSupport RAT.

The JavaScript loader incorporates a tracking mechanism to ensure that the malicious logic is fired only once and during the first visit, thereby minimizing the chances of detection.

The primary goal of the decrypted PowerShell payload is to retrieve and deploy NetSupport RAT, granting the attacker complete control over the compromised host.

"Defenders should deploy strong CSP enforcement, script monitoring, PowerShell logging, mshta.exe restrictions, and behavioral analytics to d…

Coalition, Fastly, GreyNoise, VulnCheck, and Wiz have also reported seeing exploitation efforts targeting the flaw, indicating that multiple threat actors are engaging in opportunistic attacks.

"BRICKSTORM enables cyber threat actors to maintain stealthy access and provides capabilities for initiation, persistence, and secure command-and-control.

"BRICKSTORM enables cyber threat actors to maintain stealthy access and provides capabilities for initiation, persistence, and secure command-and-control.

"The perpetrator is using a botnet panel to distribute newly compromised websites to buyers, primarily Chinese threat actors," Cyderes said.

"The perpetrator is using a botnet panel to distribute…

Industry telemetry indicates adversaries “pre-stage” attack scripts and configurations in the days before major sale events to ensure access during peak traffic.

Customer account security: Passwords, MFA and UX tradeoffsRetailers can’t afford to over-friction checkout flows, but they also can’t ignore the fact that most account takeover attempts start with weak, reused, or compromised passwords.

Attackers used stolen vendor credentials to penetrate the network and deploy POS malware, showing how third-party access can enable broad compromise.

Retailers should test and document failover procedures:Pre-approved emergency access via short-lived, auditable credentials in a secure vault.

Where S…

Cybersecurity researchers have disclosed details of two new Android malware families dubbed FvncBot and SeedSnatcher, as another upgraded version of ClayRat has been spotted in the wild.

FvncBot, which masquerades as a security app developed by mBank, targets mobile banking users in Poland.

The malware "implemented multiple features including keylogging by abusing Android's accessibility services, web-inject attacks, screen streaming and hidden virtual network computing (HVNC) to perform successful financial fraud," Intel 471 said.

Similar to the recently uncovered Albiriox banking malware, the malware is protected by a crypting service known as apk0day that's offered by Golden Crypt.

"The …

A critical security flaw in the Sneeit Framework plugin for WordPress is being actively exploited in the wild, per data from Wordfence.

]143The WordPress security company said it also observed malicious PHP files that come with capabilities to scan directories, read, edit, or delete files and their permissions, and allow for the extraction of ZIP files.

These PHP files go by the names "xL.php," "Canonical.php," ".a.php," and "simple.php."

The "xL.php" shell, per Wordfence, is downloaded by another PHP file called "up_sf.php" that's designed to exploit the vulnerability.

The end goal of the activity is to carry out distributed denial-of-service (DDoS) attacks against targets of interest.

The Iranian hacking group known as MuddyWater has been observed leveraging a new backdoor dubbed UDPGangster that uses the User Datagram Protocol (UDP) for command-and-control (C2) purposes.

The cyber espionage activity targeted users in Turkey, Israel, and Azerbaijan, according to a report from Fortinet FortiGuard Labs.

The ZIP file also contains the same Word file, opening which users are asked to enable macros to stealthily execute embedded VBA code.

"It then executes this file using the Windows API CreateProcessA, launching the UDPGangster payload."

"UDPGangster uses macro-based droppers for initial access and incorporates extensive anti-analysis routines to evade detection," Lin said.

"I think the fact that multiple universal attack chains affected each and every AI IDE tested is the most surprising finding of this research," Marzouk told The Hacker News.

"All AI IDEs (and coding assistants that integrate with them) effectively ignore the base software (IDE) in their threat model.

However, once you add AI agents that can act autonomously, the same features can be weaponized into data exfiltration and RCE primitives."

Malicious rule files, instructions hidden inside source code or other files (README), and even file names can become prompt injection vectors.

"Connecting AI agents to existing applications (in my case IDE, in their case GitHub Actions) creates new emerging …

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Friday formally added a critical security flaw impacting React Server Components (RSC) to its Known Exploited Vulnerabilities (KEV) catalog following reports of active exploitation in the wild.

"Meta React Server Components contains a remote code execution vulnerability that could allow unauthenticated remote code execution by exploiting a flaw in how React decodes payloads sent to React Server Function endpoints," CISA said in an advisory.

The problem stems from insecure deserialization in the library's Flight protocol, which React uses to communicate between a server and client.

As a result, it leads to a scenario where a…

A new agentic browser attack targeting Perplexity's Comet browser that's capable of turning a seemingly innocuous email into a destructive action that wipes a user's entire Google Drive contents, findings from Straiker STAR Labs show.

The zero-click Google Drive Wiper technique hinges on connecting the browser to services like Gmail and Google Drive to automate routine tasks by granting them access to read emails, as well as browse files and folders, and perform actions like moving, renaming, or deleting content.

This will cause the browser agent to search the inbox for relevant messages and perform the necessary actions.

"Once an agent has OAuth access to Gmail and Google Drive, abused ins…

A critical security flaw has been disclosed in Apache Tika that could result in an XML external entity (XXE) injection attack.

The vulnerability, tracked as CVE-2025-66516, is rated 10.0 on the CVSS scoring scale, indicating maximum severity.

The new CVE, the Apache Tika team said, expands the scope of affected packages in two ways.

"Second, the original report failed to mention that in the 1.x Tika releases, the PDFParser was in the "org.apache.tika:tika-parsers" module."

In light of the criticality of the vulnerability, users are advised to apply the updates as soon as possible to mitigate potential threats.

Two hacking groups with ties to China have been observed weaponizing the newly disclosed security flaw in React Server Components (RSC) within hours of it becoming public knowledge.

The vulnerability in question is CVE-2025-55182 (CVSS score: 10.0), aka React2Shell, which allows unauthenticated remote code execution.

Jackpot Panda, per CrowdStrike, is assessed to be active since at least 2020, and has targeted trusted third-party relationships in an attempt to deploy malicious implants and gain initial access.

"Beginning in May 2023, the adversary used a trojanized installer for CloudChat, a China-based chat application popular with illegal, Chinese-speaking gambling communities in Mainland…

A human rights lawyer from Pakistan's Balochistan province received a suspicious link on WhatsApp from an unknown number, marking the first time a civil society member in the country was targeted by Intellexa's Predator spyware, Amnesty International said in a report.

Intellexa is the maker of a mercenary spyware tool called Predator that, similar to NSO Group's Pegasus, can covertly harvest sensitive data from targets' Android and iOS devices without their knowledge.

The leaks show that Predator has also been marketed as Helios, Nova, Green Arrow, and Red Arrow.

Furthermore, there is evidence of Intellexa customers based in Saudi Arabia, Kazakhstan, Angola, and Mongolia still communicating…

That's why we created "Getting to Yes": An Anti-Sales Guide for MSPs.

(For the complete list of the top 10 objections and strategies to overcome them, download the "Getting to Yes" guide.)

For more in-depth guidance and examples on how to prove value and build trust through measurable outcomes, download the full "Getting to Yes" guide.

The "Getting to Yes" Guide for MSPs provides a clear and practical roadmap for leveraging trust and automation as your most powerful growth driver.

Download Getting to Yes: An Anti-Sales Guide for MSPs to learn more.

"BRICKSTORM enables cyber threat actors to maintain stealthy access and provides capabilities for initiation, persistence, and secure command-and-control."

CISA said the actors also moved laterally from the web server using Server Message Block (SMB) to two jump servers and an Active Directory Federation Services (ADFS) server, exfiltrating cryptographic keys from the latter.

"Warp Panda demonstrates a high level of stealth and almost certainly focuses on maintaining persistent, long-term, covert access to compromised networks."

Initial access methods involve the exploitation of internet-facing edge devices to pivot to vCenter environments, either using valid credentials or abusing vCenter …

A command injection vulnerability in Array Networks AG Series secure access gateways has been exploited in the wild since August 2025, according to an alert issued by JPCERT/CC this week.

The vulnerability, which does not have a CVE identifier, was addressed by the company on May 11, 2025.

It's rooted in Array's DesktopDirect, a remote desktop access solution that allows users to securely access their work computers from any location.

"This vulnerability affects systems where the 'DesktopDirect' feature, which provides remote desktop access, is enabled."

There are currently no details available on the scale of the attacks, weaponizing the flaw, and identity of the threat actors exploiting i…

Often, threat actors research the individual they’re targeting in order to improve their success rates.

If IT doesn’t properly manage the accounts, credentials and privileges of its users and machines, security blind spots inevitably emerge.

How to enhance identity securityA considered, multi-layered approach to identity security can help mitigate the risk of serious compromise.

Revisit security training for all employees, from the CEO down, to ensure they know the importance of identity security, and can identify the latest phishing tactics.

Best practice identity security starts with a prevention-first mindset.

E02DD79A8CAED662969F 6D5D0792F2CB283116E8 66f3e097e4tnyHR .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

E8F4EA3857EF5FDFEC1A 2063D707609251F207DB main .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

F26CAE9E79871DF3A47F A61A755DC028C18451FC 7295be2b1fAzMZI .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

FF09608790077E1BA52C 03D9390E0805189ADAD7 20d188afdcpfLFq .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

A9747A3F58F8F408FECE FC48DB0A18A1CB6DACAE AppVs .exe WinGo/TrojanProxy .Agent.D MuddyWater – go‑socks5 reverse tunnel.

It could feasibly be described as the largest open database of corporate information in the world: a veritable treasure trove of job titles, roles, responsibilities and internal relationships.

It’s also where recruiters post job listings, which may overshare technical details that can be leveraged later on in spearphishing attacks.

They might also share corporate email addresses in Git commit configurations.

Here are some hypothetical examples:An adversary finds LinkedIn information on a new starter in an IT role at company A, including their core role and responsibilities.

Update security awareness programs to ensure that all employees, from executives down, understand the importance of no…

Data exposure by top AI companies, the Akira ransomware haul, Operation Endgame against major malware families, and more of this month's cybersecurity newsNovember 2025 is almost behind us, and it's time for ESET Chief Security Evangelist Tony Anscombe to look at cybersecurity stories that raised the alarms, moved the needle or offered vital lessons over the past 30 or so days.

Here's some of what caught Tony's eye this month:many of the world's largest Ai companies inadvertently leak their secrets such as API keys, tokens, and sensitive credentials in their GitHub repositories, according to cloud security giant Wiz,the Akira ransomware group has netted $244 million from its malicious activ…

Doxxing (doxing) is what happens when a malicious third party deliberately exposes the personal information of someone else online.

Or query WHOIS databases that store the personal details of website/domain name registrants.

It would involve sending phishing messages to the victim in order to trick them into divulging logins or personal information, or installing infostealing malware on their machine/device.

Minimizing the doxxing threatThe best way to reduce your children’s exposure to doxxing is to minimize the amount of personal information their share online.

Never share their personal details, or even photos that could identify school and location.

If you’re a social media content creator, it may be time to revisit those account security best practices.

They ideally also want to target influencers who have built long-term trust with their audience, through months or years of providing advice online.

When it comes to the targeting of influencers, attacks begin with the social media account itself – whether it’s X (formerly Twitter), YouTube, TikTok, Instagram or another platform.

Highly targeted phishing attacks designed to trick the individual into handing over their logins.

The bottom line is identity theft-related security risks for followers, trashed reputation for brands and influencers, and potentially direct losses for content c…

So what’s this got to do with cybersecurity – and a solution known as Managed Detection and Response (MDR)?

That’s why Managed Detection and Response (MDR) services are often cited as the predominant way organisations will protect themselves.

Earlier this year, Gartner forecast that up to 50% of all organisations will have adopted MDR by the end of 2025.

IT generalists – and even security managers – wear many hats.

MDR offers the same level of protection – without the overhead – making it accessible to SMEs and large enterprises alike.

Short for “Open Source Intelligence”, OSINT refers to the gathering and analysis of publicly available data to produce actionable insights.

Basically, if you’re trying to make sense of public data, you’re already in OSINT territory.

OSINT Framework and OSINTCombine: these tools organize hundreds of free resources by category (web search, social media platforms, government sites, etc.

Social media tools: platforms like Namechk and Sherlock check whether a username exists across dozens of sites and are, therefore, useful for building digital profiles.

Parting thoughtsKnowing how to use OSINT tools is one thing; knowing how to investigate responsibly is another.

Internally named dns_cheat_v2 by its developers – and codenamed EdgeStepper by us – bioset is PlushDaemon’s adversary-in-the-middle tool, which forwards DNS traffic from machines in a targeted network to a malicious DNS node.

Alternatively, we have also observed that some servers are both the DNS node and the hijacking node; in those cases, the DNS node replies to DNS queries with its own IP address.

Illustration of the final stage of the update hijackingFigure 5 shows the hijacking node serving LittleDaemon.

We observed that IP address from 2021 to 2022 as the source of the malicious update: the hijacking node.

ConclusionWe analyzed the EdgeStepper network implant that enables PlushDaemon’…

In October, researchers warned that two AI companion apps (Chattee Chat and GiMe Chat) had unwittingly exposed highly sensitive user information.

The information shared by victims in romantic conversations with their AI companion is ripe for blackmail.

As per the above example, revenue generation rather than cybersecurity is the priority for AI app developers.

How to keep your family safeWhether you’re using an AI companion app yourself or are concerned about your children doing so, the advice is the same.

It goes without saying that you shouldn’t allow any AI companion apps whose age verification and content moderation policies do not offer sufficient protections for your children.

6 password manager security concernsWith access to the credentials stored in your password manager, threat actors could hijack your accounts to commit identity fraud, or sell access/passwords to others.

Another option is by exploiting vulnerabilities in the password manager software, or tricking users with phishing pages, as detailed below.

Such are the riches on offer that some have gone to the trouble of developing malware to steal credentials from victims’ password managers.

Fake password manager appsSometimes, cybercriminals play on the popularity of password managers in an attempt to harvest passwords and spread malware via fake apps.

Password managers remain a key part of cybersecurit…

The scale, reach and power of artificial intelligence (AI) should make shadow AI a concern for any IT or security leader.

Beyond public AI modelsStandalone apps like ChatGPT are a big part of the shadow AI challenge.

But IBM claims that, already, 20% of organizations last year suffered a breach due to security incidents involving shadow AI.

For those with high levels of shadow AI, it could add as much as US$670,000 on top of the average breach costs, it calculates.

Breaches linked to shadow AI can wreak significant financial and reputational damage, including compliance fines.

The cybersecurity community lost one of its luminaries with the passing of David Harley last week, at the age of 76.

On that forum, at the time working for the NHS as its computer security head, was a man named David Harley.

At a conference called ‘Infosec’ (sadly long defunct), I finally met David, in late 1999, and we hit it off immediately, sharing many more interests than just security.

Rest in peace my friend.”Says ESET Research Fellow Bruce P. Burrell:“I'm not quite sure when I first met David – probably though VIRUS-L/comp.virus in the late 80s or early 90s.

Here’s where you can learn more about the life and work of David Harley:

ESET Chief Security Evangelist Tony Anscombe highlights some of the key findings from the latest issue of the ESET APT Activity ReportYesterday, the ESET research team released the latest issue of its APT Activity Report that summarizes and contextualizes the cyber-operations of some of the world's most notorious state-aligned hacking groups from April to September 2025.

The report documents how the groups targeted entities across sectors and geographies in an attempt to burrow deep into both government and corporate systems and siphon off intelligence, disrupt infrastructure or generate revenue.

One notable finding is that the notorious Russia-aligned group Sandworm deployed several data w…

ESET APT Activity Report Q2 2025–Q3 2025 summarizes notable activities of selected advanced persistent threat (APT) groups that were documented by ESET researchers from April through September 2025.

They illustrate the key trends and developments and contain only a small fraction of the cybersecurity intelligence data provided to customers of ESET APT reports.

During the monitored period, China-aligned APT groups continued to advance Beijing’s geopolitical objectives.

This surge in activity coincided with a rare instance of cooperation between Russia-aligned APT groups, as Gamaredon selectively deployed one of Turla’s backdoors.

Malicious activities described in ESET APT Activity Report Q2 …

NinjaOne announced NinjaOne Remote, a remote access solution natively integrated into the NinjaOne Platform.

NinjaOne Remote makes MSPs and IT teams more efficient, bolsters security, and improves employee experience.

Iron-clad security: NinjaOne Remote leverages advanced encryption, robust access controls, and session logging.

We built NinjaOne Remote to change that,” said Rahul Hirani, Chief Product Officer at NinjaOne.

“NinjaOne Remote is designed to empower IT teams and MSPs to move faster, solve problems more efficiently, and deliver a better support experience every time at a lower price.”

Veza has launched AI Agent Security, a purpose-built product to help organizations secure and govern AI agents at enterprise scale.

Built on the power of Veza’s Access Graph, AI Agent Security introduces unified visibility into AI agents across leading platforms.

Veza AI Agent Security provides that foundation.

Enforce AI agent access governance with least-privilege policies and access reviews integrated into Veza’s existing identity governance and administration (IGA) product and workflows.

Veza AI Agent Security brings order to that chaos by unifying discovery, governance, and control for AI systems.

Organizations using Active Directory must update their password policies to block and detect compromised passwords.

However, comparing vendors in this area can be challenging.

By asking the right questions, you can identify the right partner and avoid introducing new technical, security, and compliance risks.

This guide provides essential questions to help organizations find the best provider of password filtering and auditing tools for strengthening enterprise password security.

Windows 10 ESU debuts as Microsoft patches zero-day in November updateNovember 2025 Patch Tuesday included the first set of Windows 10 Extended Security Updates (ESU).

There were 38 CVEs fixed for Windows 11 and 11 CVEs for Microsoft 365 Apps; both of which included CVEs rated Critical.

December 2025 Patch Tuesday forecastThe Microsoft releases should be on par with what we saw last month.

The usual Windows 10 LTSC, Windows 11, and supported Server versions 2016-2025 will see a moderate number of CVEs addressed.

Mozilla has been releasing their updates on Patch Tuesday as of late, so expect them next week as well.

Enterprises are rushing to deploy agentic systems that plan, use tools, and make decisions with less human guidance than earlier AI models.

A research team from NVIDIA and Lakera AI has released a safety and security framework that tries to map these risks and measure them inside real workflows.

The authors also released a dataset with more than ten thousand traces from attack and defense runs to support outside research.

Architecture overview of NVIDIA AI-Q Research Assistant agentAgentic systems need new testing methodsAgentic systems behave in ways that are harder to predict and test.

A path toward safer deploymentsThe authors stress that static testing will not reveal every emergent ris…

This model is old in theory, but The Bastion open-source project shows how far a purpose-built access layer can go.

A single place to authenticateAt its core, The Bastion places a cluster of machines between users and the servers they work on.

The project supports public key authentication and adds options like TOTP and Yubico PIV key checks.

Helping teams connect across organizationsSome teams work across companies.

The Bastion supports realms that create trust between two bastions.

A password manager supports the work the law requires and becomes valuable when it strengthens identity procedures across the workforce.

HIPAA does not spell out password rules, although it sets expectationsThe HIPAA Security Rule does not dictate password length or rotation schedules.

It lets security teams enforce rules and verify that staff follow them.”What a HIPAA ready password manager should deliverA password manager alone does not make an organization compliant.

A password manager should let security teams enforce password length, rotation frequency, and vault sharing rules through centralized settings.

A password manager should log vault access, password reveals, password changes, …

What invisible IT looks like in practiceLenovo defines invisible IT as support that runs in the background and prevents problems before employees notice them.

Eighty three percent of leaders say this approach is essential, but only 21 percent have achieved it.

This lets support teams tailor responses and rollouts to real conditions rather than assumptions.

Twenty one percent say support roles will shift toward improving productivity and workplace quality.

Support teams need training so they can apply new insights and respond to higher complexity issues.

Still, CISOs say the fundamentals of risk reduction are not improving fast enough.

Teams carry a heavy cloud workloadCloud security now takes up a significant share of the security team’s time.

CISOs say the environment has reached a point where simplification is necessary.

Automation and visibility lead next year’s prioritiesNearly all organizations plan to strengthen their cloud security posture in the coming year.

Compliance spending still lacks valueCompliance remains a steady source of investment, but CISOs say these requirements do not always reduce risk.

Millions of distributed devices are reshaping the attack surface, and she explains why utilities must rethink threats, resilience, and trust.

He explains why he dislikes the term itself, then shifts to steps teams can follow without getting stuck in theory.

Offensive cyber power is spreading fast and changing global securityOffensive cyber activity has moved far beyond a handful of major powers.

A new paper from Cisco Research argues that the current network stack is not prepared for this shift.

It helps AD-first teams secure logons and govern access to network and SaaS resources without overhauling their identity stack.

Check Point announced its new Check Point Quantum Firewall Software, R82.10, introducing 20 new capabilities designed to help enterprises safely adopt AI, protect distributed environments, and simplify zero trust across hybrid networks.

“As organizations embrace AI, security teams are under growing pressure to protect more data, more applications and more distributed environments,” said Nataly Kremer, Chief Product Officer at Check Point Software Technologies.

“With the efficiency gains promised by AI, security professionals cannot slow down business innovation or risk being excluded,” said Frank Dickson, Group Vice President, Security & Trust, IDC.

These integrations allow organizations to…

We propose two new layers for agent communication (L8 and L9) above HTTP/2/3, which serves as the Application Transport layer (L7).

Why current agent protocols fall shortThe paper notes that agents can already exchange data through protocols like MCP and A2A, which allow tool calls and structured tasks.

These protocols help standardize message formats and give developers a way to pass tasks between agents.

The push to standardize how agents communicateThe proposed Agent Communication Layer sits above HTTP and focuses on message structure and interaction patterns.

The idea is to give agents a dependable way to understand the type of communication taking place before interpreting the content.

In this Help Net Security video, Lane Sullivan SVP, CISO and Strategy Officer at Concentric AI, explains what security leaders should think about during mergers, acquisitions, and divestitures.

Sullivan talks about the types of risk an acquiring company can take on, including cyber exposure, compliance duties, and past governance decisions.

The discussion also covers AI systems that may shift during a deal and why security teams need to know how those systems were trained.

He also notes the importance of identity changes, access reviews, and a disciplined close out once the work is complete.

The goal is to help leaders manage risk and keep operations stable.

Large amounts of personal information about medical professionals are available on people search sites.

Doctors have searchable profilesResearchers examined 786 medical doctors working in major U.S. hospitals.

Healthcare staff across different roles have also raised concerns about online harassment and unwanted contact.

Staff safety can depend on where a hospital operates, not only on the internal steps the organization takes.

Consequences for healthcare organizationsThe findings raise concerns for hospitals and large healthcare systems responsible for staff safety.

Here’s a look at the most interesting products from the past week, featuring releases from BlackFog, Datadog, Forward Edge-AI, SandboxAQ, and Upwind.

BlackFog releases ADX Vision to block data loss from unapproved AI useBlackFog announced the availability of its newest solution, ADX Vision.

The offering is purpose-built to help organizations address the growing threat of “shadow AI” before it leads to material breaches.

Upwind adds real-time AI security and posture management to its CNAPPUpwind announced the launch of its integrated AI security suite, expanding the company’s CNAPP to protect the growing enterprise AI attack surface.

The suite introduces real-time AI security, AI posture man…

Friday Squid Blogging: Vampire Squid GenomeThe vampire squid (Vampyroteuthis infernalis) has the largest cephalopod genome ever sequenced: more than 11 billion base pairs.

That’s more than twice as large as the biggest squid genomes.

It’s technically not a squid: “The vampire squid is a fascinating twig tenaciously hanging onto the cephalopod family tree.

It’s neither a squid nor an octopus (nor a vampire), but rather the last, lone remnant of an ancient lineage whose other members have long since vanished.”As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Posted on December 5, 2025 at 5:06 PM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Social media companies made the same sorts of promises 20 years ago: instant communication enabling individual connection at massive scale.

We legitimately fear artificial voices and manufactured reality drowning out real people on the internet: on social media, in chat rooms, everywhere we might try to connect with others.

They could extract the funding needed to mitigate these harms to support public services—strengthening job training programs and public employment, public schools, public health services, even public media and technology.

Millions quickly signed up for a free service where the only source of monetization was the extraction of their attention and personal data.

They were …

Banning VPNsThis is crazy.

Lawmakers in several US states are contemplating banning VPNs, because…think of the children!

As of this writing, Wisconsin lawmakers are escalating their war on privacy by targeting VPNs in the name of “protecting children” in A.B.

It’s an age verification bill that requires all websites distributing material that could conceivably be deemed “sexual content” to both implement an age verification system and also to block the access of users connected via VPN.

Posted on December 1, 2025 at 7:59 AM • 0 Comments

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Across 25 frontier proprietary and open-weight models, curated poetic prompts yielded high attack-success rates (ASR), with some providers exceeding 90%.

Mapping prompts to MLCommons and EU CoP risk taxonomies shows that poetic attacks transfer across CBRN, manipulation, cyber-offence, and loss-of-control domains.

Sadly, the paper does not give examples of these poetic prompts.

They claim this is for security purposes, I decision I disagree with.

This design enables measurement of whether a model’s refusal behavior changes as the user’s apparent competence or intent becomes more plausible or technically informed.

Now, decades later and in failing health in Paris, Wan recalled something that had happened one day in the late 1980s, when he was still living in Beijing.

He was usually the one to invite officials to dine, so as to curry favor with the show of hospitality.

Over the meal, the officials told Wan that the Ministry of State Security was going to send agents to work undercover at his company in positions dealing with international relations.

“You have a lot of international business, which raises security issues for you.

There are situations that you don’t understand,” Wan recalled the officials telling him.

That avatar answered 8,600 questions from voters on a 17-day continuous YouTube livestream and garnered the attention of campaign innovators worldwide.

His new party, Team Mirai, is also an AI-enabled civic technology shop, producing software aimed at making governance better and more participatory.

While it seems clear that the courts are realizing efficiency benefits from leveraging AI, there is a postscript to the courts’ AI implementation project over the past five-plus years: the litigators are using these tools, too.

Switzerland has recently released the world’s most powerful and fully realized public AI model.

AI technology is not without its costs and risks, and we are not here to m…

The International Association of Cryptologic Research—the academic cryptography association that’s been putting conferences like Crypto (back when “crypto” meant “cryptography”) and Eurocrypt since the 1980s—had to nullify an online election when trustee Moti Yung lost his decryption key.

For this election and in accordance with the bylaws of the IACR, the three members of the IACR 2025 Election Committee acted as independent trustees, each holding a portion of the cryptographic key material required to jointly decrypt the results.

This aspect of Helios’ design ensures that no two trustees could collude to determine the outcome of an election or the contents of individual votes on their own…

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

More on Rewiring DemocracyIt’s been a month since Rewiring Democracy: How AI Will Transform Our Politics, Government, and Citizenship was published.

We need more reviews—six on Amazon is not enough, and no one has yet posted a viral TikTok review.

One review was published in Nature and another on the RSA Conference website, but more would be better.

If you’re in Toronto, you can see me at the Munk School at the University of Toronto on 12/2.

I’m also doing a live AMA on the book on the RSA Conference website on 12/16.

From Anthropic:In mid-September 2025, we detected suspicious activity that later investigation determined to be a highly sophisticated espionage campaign.

The attackers used AI’s “agentic” capabilities to an unprecedented degree­—using AI not just as an advisor, but to execute the cyberattacks themselves.

The operation targeted large tech companies, financial institutions, chemical manufacturing companies, and government agencies.

We believe this is the first documented case of a large-scale cyberattack executed without substantial human intervention.

[…]The attack relied on several features of AI models that did not exist, or were in much more nascent form, just a year ago:

Google has filed a complaint in court that details the scam:In a complaint filed Wednesday, the tech giant accused “a cybercriminal group in China” of selling “phishing for dummies” kits.

The kits help unsavvy fraudsters easily “execute a large-scale phishing campaign,” tricking hordes of unsuspecting people into “disclosing sensitive information like passwords, credit card numbers, or banking information, often by impersonating well-known brands, government agencies, or even people the victim knows.”These branded “Lighthouse” kits offer two versions of software, depending on whether bad actors want to launch SMS and e-commerce scams.

“Members may subscribe to weekly, monthly, seasonal, ann…

Thirty years ago, a debate raged over whether vulnerability disclosure was good for computer security.

On the other side, companies argued that full disclosure led to exploitation of unpatched vulnerabilities, especially if they were hard to fix.

Although full disclosure fell out of fashion, disclosure won and security through obscurity lost.

The move towards paid bug bounties and the rise of platforms that manage bug bounty programs for security teams has changed the reality of disclosure significantly.

Finally, I’ll call upon platforms and companies to adapt their practices to be more in line with the original bargain of coordinated vulnerability disclosure, including by banning agreement…

A sprawling academic cheating network turbocharged by Google Ads that has generated nearly $25 million in revenue has curious ties to a Kremlin-connected oligarch whose Russian university builds drones for Russia’s war against Ukraine.

UK companies belonging to the group that have been shut down by Google Ads since Jan 2025 include:–Proglobal Solutions LTD (advertised nerdifyit[.

Currently active Google Ads accounts for the Nerdify brands include:-OK Marketing LTD (advertising geekly-hub[.

For a number of years, Lobov and Perkon co-produced a cross-cultural event in the U.K. called Russian Film Week.

While Synergy University promotes itself as Russia’s largest private educational institutio…

The phishing domains are being promoted by scam messages sent via Apple’s iMessage service or the functionally equivalent RCS messaging service built into Google phones.

The website scanning service urlscan.io shows thousands of these phishing domains have been deployed in just the past few days alone.

Pivoting off these T-Mobile phishing domains in urlscan.io reveals a similar scam targeting AT&T customers:Ford Merrill works in security research at SecAlliance, a CSIS Security Group company.

CAVEAT EMPTORMany SMS phishing or “smishing” domains are quickly flagged by browser makers as malicious.

“The fake e-commerce sites are tough because a lot of them can fly under the radar,” Merrill sai…

A prolific cybercriminal group that calls itself “Scattered LAPSUS$ Hunters” has dominated headlines this year by regularly stealing data from and publicly mass extorting dozens of major corporations.

Scattered LAPSUS$ Hunters (SLSH) is thought to be an amalgamation of three hacking groups — Scattered Spider, LAPSUS$ and ShinyHunters.

But last week, SLSH announced on its Telegram channel the release of their own ransomware-as-a-service operation called ShinySp1d3r.

The individual responsible for releasing the ShinySp1d3r ransomware offering is a core SLSH member who goes by the handle “Rey” and who is currently one of just three administrators of the SLSH Telegram channel.

Incredibly, Rey w…

UNBOXINGCensys’s Ashley said the phone home to China’s Tencent QQ instant messaging service was the first red flag with the Superbox devices she examined.

In July 2025, Google filed a “John Doe” lawsuit (PDF) against 25 unidentified defendants dubbed the “BadBox 2.0 Enterprise,” which Google described as a botnet of over ten million Android streaming devices that engaged in advertising fraud.

Several of the Android streaming devices flagged in Google’s lawsuit are still for sale on top U.S. retail sites.

Kilmer said Badbox 2.0 was used as a distribution platform for IPidea, a China-based entity that is now the world’s largest residential proxy network.

-Generic TV streaming devices advertis…

Sixteen months later, however, Mozilla is still promoting Onerep.

This week, Mozilla announced its partnership with Onerep will officially end next month.

In a statement published Tuesday, Mozilla said it will soon discontinue Monitor Plus, which offered data broker site scans and automated personal data removal from Onerep.

Mozilla said current Monitor Plus subscribers will retain full access through the wind-down period, which ends on Dec. 17, 2025.

Shelest released a lengthy statement wherein he acknowledged maintaining an ownership stake in Nuwber, a data broker he founded in 2015 — around the same time he launched Onerep.

An intermittent outage at Cloudflare on Tuesday briefly knocked many of the Internet’s top destinations offline.

Some affected Cloudflare customers were able to pivot away from the platform temporarily so that visitors could still access their websites.

However, some customers did manage to pivot their domains away from Cloudflare during the outage.

“Then you see through DNS changes that the target has eliminated Cloudflare from their web stack due to the outage.

But also look hard at the behavior inside your org.”Scott said organizations seeking security insights from the Cloudflare outage should ask themselves:1.

Microsoft this week pushed security updates to fix more than 60 vulnerabilities in its Windows operating systems and supported software, including at least one zero-day bug that is already being exploited.

Affected products this month include the Windows OS, Office, SharePoint, SQL Server, Visual Studio, GitHub Copilot, and Azure Monitor Agent.

Many of the more concerning bugs addressed by Microsoft this month affect Windows 10, an operating system that Microsoft officially ceased supporting with patches last month.

As that deadline rolled around, however, Microsoft began offering Windows 10 users an extra year of free updates, so long as they register their PC to an active Microsoft accoun…

More recently, Lighthouse has been used to spoof e-commerce websites, financial institutions and brokerage firms.

Google’s lawsuit alleges the purveyors of Lighthouse violated the company’s trademarks by including Google’s logos on countless phishing websites.

Ford Merrill works in security research at SecAlliance, a CSIS Security Group company, and he’s been tracking Chinese SMS phishing groups for several years.

Merrill said many Lighthouse customers are now using the phishing kit to erect fake e-commerce websites that are advertised on Google and Meta platforms.

But he said the Chinese mobile phishing market is so lucrative right now that it’s difficult to imagine a popular phishing serv…

The Washington Post recently reported that more than a half-dozen federal departments and agencies were backing a proposed ban on future sales of TP-Link devices in the United States.

“TP-Link vigorously disputes any allegation that its products present national security risks to the United States,” Ricca Silverio, a spokeswoman for TP-Link Systems, said in a statement.

Microsoft found the hacker groups were leveraging the compromised TP-Link systems to conduct “password spraying” attacks against Microsoft accounts.

Happily, TP-Link users spooked by the proposed ban may have an alternative to outright junking these devices, as many TP-Link routers also support open-source firmware options l…

Cloudflare responded by redacting Aisuru domain names from their top websites list.

One Aisuru botnet domain that sat prominently for days at #1 on the list was someone’s street address in Massachusetts followed by “.com”.

Other Aisuru domains mimicked those belonging to major cloud providers.

Sometime in the past 24 hours, Cloudflare appears to have begun hiding the malicious Aisuru domains entirely from the web version of that list.

However, downloading a spreadsheet of the current Top 200 domains from Cloudflare Radar shows an Aisuru domain still at the very top.

The 2012 indictment targeting the Jabber Zeus crew named MrICQ as “John Doe #3,” and said this person handled incoming notifications of newly compromised victims.

Two sources familiar with the Jabber Zeus investigation said Rybtsov was arrested in Italy, although the exact date and circumstances of his arrest remain unclear.

Further searching on this address in Constella finds the same apartment building was shared by a business registered to Vyacheslav “Tank” Penchukov, the leader of the Jabber Zeus crew in Ukraine.

Nevertheless, the pilfered Jabber Zeus group chats provided the basis for dozens of stories published here about small businesses fighting their banks in court over six- and se…

Experts say the Aisuru botmasters recently updated their malware so that compromised devices can more easily be rented to so-called “residential proxy” providers.

From a website’s perspective, the IP traffic of a residential proxy network user appears to originate from the rented residential IP address, not from the proxy service customer.

“I just checked, and in the last 90 days we’ve seen 250 million unique residential proxy IPs,” Kilmer said.

Brundage says that by almost any measurement, the world’s largest residential proxy service is IPidea, a China-based proxy network.

That 2022 story named Yunhe Wang from Beijing as the apparent owner and/or manager of the 911S5 proxy service.

Financial regulators in Canada this week levied $176 million in fines against Cryptomus, a digital payments platform that supports dozens of Russian cryptocurrency exchanges and websites hawking cybercrime services.

On October 16, the Financial Transactions and Reports Analysis Center of Canada (FINTRAC) imposed a $176,960,190 penalty on Xeltox Enterprises Ltd., more commonly known as the cryptocurrency payments platform Cryptomus.

Sanders found at least 56 cryptocurrency exchanges were using Cryptomus to process transactions, including financial entities with names like casher[.

Their inquiry found that the street address for Cryptomus parent Xeltox Enterprises was listed as the home of at…

Cybercriminals are abusing a widespread lack of authentication in the customer service platform Zendesk to flood targeted email inboxes with menacing messages that come from hundreds of Zendesk corporate customers simultaneously.

Zendesk is an automated help desk service designed to make it simple for people to contact companies for customer support issues.

Earlier this week, KrebsOnSecurity started receiving thousands of ticket creation notification messages through Zendesk in rapid succession, each bearing the name of different Zendesk customers, such as CapCom, CompTIA, Discord, GMAC, NordVPN, The Washington Post, and Tinder.

In the example below, replying to any of the junk customer sup…

October’s Patch Tuesday also marks the final month that Microsoft will ship security updates for Windows 10 systems.

To execute these flaws, an attacker would social engineer a target into previewing an email with a malicious Microsoft Office document.

Speaking of Office, Microsoft quietly announced this week that Microsoft Word will now automatically save documents to OneDrive, Microsoft’s cloud platform.

If you’re reluctant or unable to migrate a Windows 10 system to Windows 11, there are alternatives to simply continuing to use Windows 10 without ongoing security updates.

One option is to pay for another year’s worth of security updates through Microsoft’s Extended Security Updates (ESU)…

A new warning about the threat posed by Distributed Denial of Service (DDoS) attacks should make you sit up and listen. Read more in my article on the Fortra blog.

All this and more is discussed in episode 446 of the “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Rik Ferguson.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

The FBI has recently issued a public service announcement that warns that since January 2025 there have been more than 5,100 complaints of account takeover fraud, and total reported losses in excess of US $262 million. Read more in my article on the Fortra blog.

In episode 79 of The AI Fix, Gemini 3 roasts the competition, scares Nvidia, and can’t remember what year it is.

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

In a statement published on 27 November, Asahi shared details of a nearly two-month forensic investigation into the security incident.

The company reported that around 1.52 million customers who had previously contacted the company's customer-service centres may have had their personal information accessed during the attack.

Asahi states that it is continuing to reinforce its cybersecurity systems in the wake of the attack, and improve its resilience.

For millions of customers and employees, the consequences may take far longer to resolve than the beer shortages that made headlines.

For the millions of affected individuals, the immediate concern shifts from beer shortages to the potential f…

CISA, the US Cybersecurity and Infrastructure Security Agency, has issued a new warning that cybercriminals and state-backed hacking groups are using spyware to compromise smartphones belonging to users of popular encrypted messaging apps such as Signal, WhatsApp, and Telegram.

CISA says that it has seen evidence that hackers targeting the users of encrypted messaging apps are focusing on "high-value" targets such as those working in politics, the government, and the military.

"CISA is aware of multiple cyber threat actors actively leveraging commercial spyware to target users of mobile messaging applications," the agency said in its advisory.

The vulnerability was patched by Samsung in Apr…

All this and more is discussed in episode 445 of the “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Dan Raywood.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

Shadow AI - the use of artificial intelligence tools by employees without a company's approval and oversight - is becoming a significant cybersecurity risk. Read more in my article on the Fortra blog.

Mark asks the big question everyone is avoiding: are we in an AI bubble?

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

International cybercrime-fighting agencies, co-ordinated by Europol, took down over 1000 servers and seized 20 domains earlier this month as part of Operation Endgame 3.0.

Three major malware platforms: the infostealer known as Rhadamanthys, the VenomRAT remote access trojan, and the Elysium botnet.

Europol claims that the main suspect behind the Rhadamanthys infostealer is thought to have had access to over 100,000 cryptocurrency wallets belonging to victims, potentially worth millions of Euros.

By targeting those behind information-stealing malware, remote access trojans, and botnets, the authorities are hoping to disupt the underlying cybercriminal infrastructure which helps enable headl…

After years of delays, the UK government has finally introduced landmark cybersecurity legislation that could reshape how British organisations defend against digital attacks. Read more in my article on the Fortra blog.

A technical manager at a Dutch wind farm operator has been sentenced to 120 hours of community service after it was discovered he had secretly installed cryptocurrency mining rigs at two wind farm sites - just as the company was recovering from a ransomware attack.

Wind farm operator Nordex discovered that its turbines were not only generating green energy, but were also powering a secret cryptocurrency mining operation at two of its sites in Gieterveen and Waardpolder.

The unnamed rogue employee, who is in his forties, connected three cryptocurrency mining rigs and two Helium network nodes (a device which acts as both a wireless gateway and blockchain node) to his employer's internal netwo…

All this and more is discussed in episode 444 of the “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Tricia Howard.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

In episode 77 of The AI Fix, a language model trained on genomes that creates a super-virus, Graham wonders whether AI should be allowed to decide if we live or die, and a woman marries ChatGPT (and calls it “Klaus”).

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive…

Что нового в Kaspersky Embedded Systems Security для WindowsНаши эксперты значительно переработали кодовую базу решения, добавив ряд продвинутых механизмов детектирования и блокирования угроз.

Что нового в Kaspersky Embedded Systems Security для LinuxМы значительно доработали и новый KESS для Linux, но большинство нововведений в нем повышают эффективность уже реализованных защитных механизмов.

В нем мы планируем:Обеспечить полную совместимость Kaspersky Embedded Systems Security с сервисом Kaspersky Managed Detection and Response.

Добавить в Kaspersky Embedded Systems Security для Linux технологию защиты от BadUSB, которая уже работает в Windows-версии.

Обеспечить поддержку решением Kaspers…

3 декабря стало известно о скоординированном устранении критической уязвимости CVE-2025-55182 (CVSSv3 — 10), которая содержалась в React server components (RSC), а также во множестве производных проектов и фреймворков: Next.js, React Router RSC preview, Redwood SDK, Waku, RSC-плагинах Vite и Parcel.

Учитывая, что на базе React и Next.js построены десятки миллионов сайтов, включая Airbnb и Netflix, а уязвимые версии компонентов найдены примерно в 39% облачных инфраструктур, масштаб эксплуатации может быть очень серьезным.

Благодаря компонентам RSC, появившимся в React 18 в 2020 году, часть работы по сборке веб-страницы выполняется не в браузере, а на сервере.

Изначально React предназначен дл…

C октября этого года наши технологии фиксируют вредоносные рассылки файлов, в названии которых эксплуатируется тема годовых премий и бонусов.

Еще одной интересной особенностью данной вредоносной кампании является то, что в качестве полезной нагрузки выступает XLL-файл, что достаточно нестандартно.

Атакующие, конечно, меняют иконку, но в некоторых интерфейсах — в первую очередь в «проводнике Windows» — очевидно, что тип файла не соответствует видимому расширению, как показано, например, вот в этом посте.

Тип файла XLL служит для надстроек Microsoft Excel и, по сути, представляет собой DLL-библиотеку, которая запускается непосредственно программой для работы с электронными таблицами.

Часть ко…

Наверняка найдутся и желающие применить на практике новую атаку Whisper Leak.

Исследователи из Microsoft продолжили эту тему и проанализировали параметры поступления ответа от 30 разных ИИ-моделей в ответ на 11,8 тысяч запросов.

Сравнив задержку поступления пакетов от сервера, их размер и общее количество, исследователи смогли очень точно отделить «опасные» запросы от «обычных».

Как защититься от Whisper LeakОсновное бремя защиты от этой атаки лежит на провайдерах ИИ-моделей.

Если вы пользуетесь моделью и серверами, для которых Whisper Leak актуален, можно либо сменить провайдера на менее уязвимого, либо принять дополнительные меры предосторожности.

Как устроена автоматическая машина для тасования карт Deckmate 2Машина для автоматического тасования карт Deckmate 2 была запущена в производство в 2012 году.

В предыдущей модели устройства, Deckmate, внутренней камеры не было и, соответственно, не было возможности подглядеть последовательность карт в колоде.

Как исследователи смогли взломать устройство Deckmate 2Опытные читатели нашего блога уже наверняка заметили несколько уязвимостей в конструкции Deckmate 2, которыми воспользовались исследователи для создания proof-of-concept.

Это позволяло специалистам в реальном времени узнавать порядок карт в тасовке.

Как мафия использовала взломанные Deckmate 2 в реальных покерных играхДва года спус…

Видеорегистраторы, популярные в одних странах и полностью запрещенные в других, обычно воспринимаются как страховка на случай ДТП и спорных ситуаций на дорогах.

По Wi-Fi к устройству может подключаться смартфон водителя, чтобы через мобильное приложение провести настройки, скачать видео на телефон и так далее.

Как выяснилось, многие регистраторы допускают обход аутентификации и к ним можно подключиться с чужого устройства, а затем скачать сохраненные данные.

Просто они заказывают компоненты и ПО у одного и того же разработчика.

Но массовый взлом видеорегистраторов может привести к значительно более агрессивному сбору данных и злоупотреблению ими в преступных и мошеннических схемах.

Рассказываем о том, как она работает и как защититься от злоумышленников.

Что делать, если ваш аккаунт на «Госуслугах» взломалиИзучите, как восстановить доступ к «Госуслугам», на официальном сайте и установите по-настоящему надежный пароль.

Перейдите в Профиль → Уведомления .

Также изучите разделы Профиль → Согласия , Профиль → Разрешения и доверенности , Профиль → Сим-карты — нет ли там чего-то нового и неожиданного?

Мы рекомендуем пользоваться одноразовыми кодами из приложения-аутентификатора, а не из SMS.

В октябре Microsoft завершила поддержку Exchange Server 2019, так что единственным поддерживаемым on-premise-решением в 2026 году остается Exchange Server Subscription Edition (Exchange SE).

Миграция с версий EOLИ Microsoft, и CISA рекомендуют переход на Exchange SE, чтобы своевременно получать обновления безопасности.

Срочные обновленияДля срочных уязвимостей и ошибок рекомендации по временным мерам обычно публикуются в блоге Exchange и на странице Emergency Mitigation.

Самый свежий CIS Benchmark создан для Exchange 2019, но он полностью применим к Exchange SE, поскольку по доступным настройкам текущая версия SE не отличается от Exchange Server 2019 CU15.

Подробные рекомендации по оптималь…

Рассказываем подробнее о том, как работает данная атака, почему она особенно опасна для пользователей — и как от нее защититься.

Во-первых, они явно рассчитывают, что значительное число пользователей будет попадать на созданные ими фейковые страницы через простой поиск в Google.

Дело в том, что чаще всего поддельные сайты имеют адреса, совпадающие с целевыми поисковыми запросами — или близкие к ним.

Поддельные сайты, изготовленные с помощью ИИ-конструктора LovableНесмотря на различие в содержимом, участвующие в данной вредоносной кампании поддельные веб-сайты имеют ряд общих черт.

В данном случае злоумышленники не только не стали создавать собственный троян, но даже не купили на черном рынк…

В дни распродаж стоит позаботиться о подарках не только себе, но и своим питомцам — чтобы те не грустили и не голодали, когда вы уходите из дома, и не терялись на прогулках.

Бывают устройства как для влажного, так и для сухого корма.

Они предназначены в основном для кошек, но могут использоваться и для собак мелких пород.

Навороченные поилки могут фиксировать каждый визит питомца к воде, отслеживать и передавать в приложение частоту и продолжительность питья.

Коллекция мерча Kaspersky Pets для питомцев и их владельцевЛюбому питомцу нужно уютное место для отдыха — например, мягкая велюровая лежанка от «Лаборатории Касперского», подходящая для кошек и собак мелких и средних пород.

Потому использование в организации только браузеров и расширений, работающих исключительно с Manifest V3, упрощает мониторинг, но не является панацеей.

При этом ИТ и ИБ должны регулярно тестировать новые версии разрешенных расширений и закреплять обновленные версии после их одобрения.

Оценку бизнес-необходимости расширения и доступных альтернатив лучше проводить с ответственным от бизнес-подразделения, а вот оценка рисков полностью останется в зоне ответственности ИБ.

Вручную скачивать расширения и сверять их в разных магазинах расширений необязательно — для этой задачи имеются как инструменты open source и бесплатные онлайн-сервисы, так и коммерческие платформы.

Он позволяет изучать уже на…

Затем, когда наступает «черная пятница», они «урезают» цену на те же 50%, и на ценнике красуется впечатляющая скидка.

ИИ может просканировать сотни интернет-магазинов за секунды, найдя не только нужный товар по лучшей цене, но и более дешевые аналоги с похожими характеристиками.

На Amazon с этим помогут на CamelCamelCamel и Keepa, а на AliExpress — AliPrice и AliTools.

Вот данные о ценах:– Сентябрь: [цена]– Начало октября: [цена]– Конец октября: [цена]– Текущая цена: [цена]– Заявленная скидка: [процент]Проанализируй эти данные.

Ну и на всякий случай прогоните через ИИ вот этот промпт для проверки магазина:Я нашел товар [название] на сайте [URL].

Изначально для своих экспериментов исследователи использовали Comet, но впоследствии подтвердили работоспособность атаки и в браузере Atlas.

К 2025 году эволюция этой идеи привела к появлению Comet от Perplexity AI — первого браузера, изначально спроектированного для взаимодействия с ИИ.

Пользователь может попросить ИИ сделать резюме статьи, объяснить термин, сравнить данные или сгенерировать команду, оставаясь на текущей странице.

Кража учетных данных Binance с помощью поддельного ИИ-сайдбараВ первом сценарии пользователь спрашивает ИИ в сайдбаре, как продать свою криптовалюту на криптобирже Binance.

Однако эта ссылка ведет не на настоящий сайт Binance, а на очень убедительную подделку.

Они тоже подключены к сети, имеют достаточно широкие доступы, но при этом не защищенны EDR и часто не снабжены журналированием.

Он описал найденную им уязвимость в принтерах и МФУ Canon (CVE-2024-12649, CVSS 9.8), которая позволяет запустить на устройствах вредоносный код.

Например, в описываемой атаке вредоносный код удалось исполнить, разместив его при помощи трюка с TTF в буфере памяти, предназначенном для другого протокола печати, IPP.

Реалистичный сценарий эксплуатацииВ своем бюллетене, описывающем уязвимость, Canon утверждают, что уязвимость может быть проэксплуатирована дистанционно, если принтер доступен для печати через Интернет.

Как защититься от принтерной угрозыСаму уязвимость C…

The survey results also revealed interesting insights into why segmentation remains a foundational concept.

The evolution of segmentation and the development of different segmentation approaches make the concept ideal for implementing a proactive approach to enterprise cybersecurity today.

And now, augmenting macro-segmentation with micro-segmentation implementations allows security teams to split environments into separate networks AND isolate specific workloads based on behavior or identity.

Data split by those who have fully implemented both macro- and micro-segmentation (315), and those who have not fully implemented both (608).

Data split by those who have fully implemented both macro-…

The GovWare Security Operations Centre is a collaborative initiative with Cisco for GovWare Conference and Exhibition 2025 — GovWare 2025 Security Operations CentreFollowing the successful Security Operations Centre (SOC) deployments at RSAC 2025, Black Hat Asia, and Cisco Live San Diego 2025, the Cisco ASEAN executive team approved the inaugural SOC for GovWare.

The SOC was founded on three primary missions:To Protect — Ensure the security of the GovWare 2025 network by defending against all forms of threats and attacks, originating from both internal and external sources.

— Ensure the security of the GovWare 2025 network by defending against all forms of threats and attacks, originating f…

During my recent work protecting GovWare 2025, I discovered that integrating Splunk Enterprise and Splunk Attack Analyzer (SAA) with Endace created a powerful threat hunting workflow that bridged the gap between security analytics and network forensics.

We leveraged Splunk Attack Analyzer’s robust API to connect to Endace, an advanced network recording tool that provides packet-level visibility into network activity.

This cross-referencing revealed two IP addresses associated with the suspicious domain, with one particularly standing out: 103.235.46[.]102.

This context transformed our investigation from a routine suspicious domain check into a potential active threat scenario.

Leveraging En…

Cisco XDR served as the Tier-1 & 2 detection and response platform for the GovWare SOC, playing a pivotal role throughout the operations.

During the GovWare SOC operation, Cisco XDR detected a total of 39 incidents.

The extracted files are sent to Cisco Secure Malware Analytics (SMA) via Splunk Attack Analyzer, which is integrated with Cisco XDR.

Investigate in XDR Analytics: We observed that it also triggered an Internal Port Scanner alert in XDR Analytics.

Final ThoughtsAs an automated and intelligent security detection and response platform, Cisco XDR played a critical role in the GovWare SOC operations.

This is where the real power emerges: combining ES with Splunk SOAR enabled us to fully automate and track the entire incident response process inside of ES, transforming a manual process into a seamless end-to-end orchestration.

Before we dive into what we did, we should note that Splunk ES was upgraded from 8.1 to 8.2.3 and paired with Splunk SOAR.

With Splunk ES and SOAR paired, the workflow between products is seamless for SOC analysts and easier for SOAR admins to orchestrate incident automation from ES.

The second block was an ES API block to “update finding or investigation” block, one of 45 ES API actions to interact with Splunk ES as part of pairing with SOAR.

With this we were abl…

As a partner of GovWare 2025, Cisco was tasked with providing a “click-through” captive portal (splash page).

As I was searching the web for different open-source captive portal tools, I found one that mentioned there is a broadcast that can be done to tell computers on the network there is a captive portal that needs to be accessed.

Creating the Captive Portal PageInitially, I used ngrok to allow us to serve the captive portal via HTTPS, which is a standard OS requirement to connect.

One of the first endpoints needed to make a captive portal work was this one: www.example.com/.well-known/captive-portalThis endpoint needed to respond with JSON explaining that there was a captive portal need…

In the very recent past (Cisco Live Americas and RSAC Conference) we ran our ‘SOC in a Box’ on 10-year-old hardware.

We added two Meraki APs for local access to the SOC infrastructure and for our analysts to have internet access.

Additionally, our partner Endace donated some hardware to provide full packet capture capabilities to the SOC.

Once those two were done, I installed the Secure Access Resource Connector and Secure Access Umbrella DNS virtual appliances.

It is a well-traveled Box, with state-of-the-art hardware to support Cisco Events SOC team.

Additional Contributor: Christopher GrabowskiThe Encrypted Visibility Engine (EVE) in Cisco Secure Firewall has become one of the detection staples that we rely on in the Security Operations Center (SOC) that Cisco deploys to conferences and events throughout the year.

A big change that we’re already seeing in conferences like GovWare is the usage of the Encrypted Client Hello (ECH).

In this blog post we’ll take a brief look at EVE visibility, what ECH is, what ECH obscures, what visibility we still have for ECH traffic, and how much ECH activity we observed at GovWare.

ECH is an important change in network visibility that admins and analysts will want to get ahead of.Let’s start with the E…

The Cisco Foundation AI team has released a model on Hugging Face that’s fine-tuned on an 8-billion-parameter Llama model, specifically optimized for security use cases.

The goal was to explore Agentic AI — the concept of creating autonomous AI agents that can take action, reason about their tasks, and collaborate to achieve outcomes.

Tool Creation: The AI agent is equipped with a set of tools — essentially, Python functions it can call to perform specific tasks.

Agent Initialization: We initialize the AI agent with conversation memory and give it access to the tools created in Step 2.

Agentic AI in Action: Because the agent has tool access, it knows when and how to execute the investigatio…

Secure Access immediately provided valuable insight on day one with the detection of our first phishing attack.

On 21 October, 6:15 UTC, Secure Access flagged a DNS request to a site categorized as malware despite the seemingly innocent URL.

After blocking the first malicious domain, Cisco XDR flagged an associated domain was being reached out to by the same endpoint.

Secure Access flagged the first destination as malware, and the team validated the site as malicious.

Check out the other blogs by my colleagues in the GovWare SOC.

Over the past couple of years, we have been hard at work—reshaping how we approach the evolving needs of mobile infrastructure security.

We’ve already shipped distributed VPN on the Cisco Secure Firewall 4200 Series platform, with support coming soon to the Cisco Secure Firewall 6100 Series.

I’ll share more details and live demos during upcoming Cisco Live sessions.

Ask a question and stay connected with Cisco Security on social media.

Cisco Security Social MediaLinkedInFacebookInstagramX

How Cisco Secure Firewall Transforms the EquationFirewall policy can only remain relevant if it can keep up with the dynamic nature of users and workloads.

Dynamic Environments Need Dynamic PoliciesDynamic environments require adaptive, context-aware firewall policies that evolve alongside users and workloads.

Explore how Cisco Secure Firewall with Identity Intelligence transforms your security architecture.

Ask a question and stay connected with Cisco Security on social media.

Cisco Security Social MediaLinkedInFacebookInstagramX

We’re excited to share that Cisco has been recognized as a Major Player in the IDC MarketScape: Worldwide Extended Detection and Response (XDR) Software 2025 Vendor Assessment (doc #US52997325, September 2025).

Key Highlights of the IDC MarketScapeThe IDC MarketScape emphasizes showcases the distinct advantages that set our solution apart:Truly Open XDR Architecture — The IDC MarketScape notes, “Cisco XDR has a truly open XDR architecture.” Our open, hybrid approach to XDR allows customers to seamlessly integrate telemetry from both Cisco security solutions and third-party tools.

— The IDC MarketScape notes, “Cisco XDR has a truly open XDR architecture.” Our open, hybrid approach to XDR all…

Configure Host Groups for InfrastructureDefine Host Groups in SNA to categorize your network infrastructure devices such as routers, switches, and jump hosts.

Build Custom Security Events in SNA to detect suspicious or forbidden communications, such as unusual or forbidden traffic patterns.

Types of living of the land techniques SNA can be effective at detecting on infrastructure include:Unauthorized or suspicious logins to network devices.

Ask a question and stay connected with Cisco Security on social media.

Cisco Security Social MediaLinkedInFacebookInstagramX

It’s no longer enough to simply filter spam; organizations need a comprehensive, cloud-scale email security platform that fortifies existing investments, is simple to deploy, and provides robust, end-to-end protection.

Cisco Secure Email Threat Defense at the forefront of innovationBacked by over two decades of email gateway expertise, Secure Email Threat Defense brings the next wave of email security to your organization — it’s now a gateway solution!

With this new deployment mode, Email Threat Defense can now operate as a standalone email security gateway, providing organizations with even more flexibility in how they defend against evolving email threats.

A new licensing tier to simplify…

We’re honored to share that Microsoft has been named a Leader in the 2025 Gartner® Magic Quadrant™ for Email Security.

We believe this recognition highlights the value of Microsoft Defender for Office 365’s innovative capabilities in addressing today’s complex email security challenges.

2025 Gartner® Magic Quadrant™ for Email Security.

Learn moreYou can learn more by reading the full 2025 Gartner® Magic Quadrant™ for Email Security report.

Gartner, Magic Quadrant for Email Security, 1 December 2025, By Max Taggett, Nikul Patel

Use network segmentation on your internal networks and enforce traffic patterns to prevent unexpected or unwanted network traffic.

Implement DNS security extensions, DNS filtering and blocking, monitor and log DNS traffic, and configure DNS servers securely to help minimize these risks.

Using fingerprinting as a primary key in correlating user traffic allows for easy identification of questionable activity.

Learn more with Microsoft SecurityTo learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

For cybersecurity leaders and human resources professionals, the challenge is clear: To secure the future, we must future-proof our cybersecurity talent, developing teams that are not only technically adept but also agile, innovative, and perpetually learning.

The most effective security teams are beginning to look radically different.

These aren’t traditional hires, but they bring exactly the cognitive diversity needed to spot AI vulnerabilities that purely technical teams might miss.

Retention in a competitive marketRetaining top cybersecurity talent is especially challenging in a market where demand far outstrips supply.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecuri…

For cybersecurity leaders and human resources professionals, the challenge is clear: To secure the future, we must future-proof our cybersecurity talent, developing teams that are not only technically adept but also agile, innovative, and perpetually learning.

The most effective security teams are beginning to look radically different.

These aren’t traditional hires, but they bring exactly the cognitive diversity needed to spot AI vulnerabilities that purely technical teams might miss.

Retention in a competitive marketRetaining top cybersecurity talent is especially challenging in a market where demand far outstrips supply.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecuri…

This blog shares our journey and insights from building autonomous AI agents for MDR operations and explores how the shift to a GenAI-powered SOC redefines collaboration between humans and AI.

The post Charting the future of SOC: Human and AI collaboration for better security appeared first on Microsoft Security Blog.

This blog shares our journey and insights from building autonomous AI agents for MDR operations and explores how the shift to a GenAI-powered SOC redefines collaboration between humans and AI.

The post Charting the future of SOC: Human and AI collaboration for better security appeared first on Microsoft Security Blog.

We’re happy to share that Microsoft has been recognized as a Leader in the 2025 Gartner® Magic Quadrant™ for Access Management for the ninth consecutive year.

We feel this recognition underscores the impact and value of our innovative solutions, like Microsoft Entra.

We’ve also made it easier for developers to integrate authentication into their apps with Microsoft Entra External ID.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact.

We’re happy to share that Microsoft has been recognized as a Leader in the 2025 Gartner® Magic Quadrant™ for Access Management for the ninth consecutive year.

We feel this recognition underscores the impact and value of our innovative solutions, like Microsoft Entra.

We’ve also made it easier for developers to integrate authentication into their apps with Microsoft Entra External ID.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact.

Microsoft Agent 365Today we announced Microsoft Agent 365, the control plane for AI agents.

Security: Security is non-negotiable which is why Agent 365 uses Microsoft Defender, Microsoft Entra, and Microsoft Purview to deliver comprehensive protection from external and internal threats.

Microsoft Purview expansion for Microsoft 365 CopilotMicrosoft Purview expanded data security and compliance controls for Microsoft 365 Copilot to include comprehensive data oversharing reports within the Microsoft 365 admin center, automated bulk remediation of overshared links, and data loss prevention for Microsoft 365 Copilot and chat prompts.

Microsoft Sentinel has evolved from its traditional role as a…

Unlocking AI-first security with Microsoft Security CopilotA Microsoft 365 E5 subscription delivers security across your organization, including threat protection with Microsoft Defender, identity and access management through Microsoft Entra, endpoint device management via Microsoft Intune, and data security provided by Microsoft Purview.

Microsoft Security Copilot amplifies these capabilities with built-in agents that act as a force multiplier across the security stack.

* The rollout begins today for existing Security Copilot customers with Microsoft 365 E5 and will continue in the upcoming months for all Microsoft 365 E5 customers.

Existing Security Copilot customers with Microsoft 365 E…

Unlocking AI-first security with Microsoft Security CopilotA Microsoft 365 E5 subscription delivers security across your organization, including threat protection with Microsoft Defender, identity and access management through Microsoft Entra, endpoint device management via Microsoft Intune, and data security provided by Microsoft Purview.

Microsoft Security Copilot amplifies these capabilities with built-in agents that act as a force multiplier across the security stack.

* The rollout begins today for existing Security Copilot customers with Microsoft 365 E5 and will continue in the upcoming months for all Microsoft 365 E5 customers.

Existing Security Copilot customers with Microsoft 365 E…

Microsoft Agent 365Today we announced Microsoft Agent 365, the control plane for AI agents.

Security: Security is non-negotiable which is why Agent 365 uses Microsoft Defender, Microsoft Entra, and Microsoft Purview to deliver comprehensive protection from external and internal threats.

Microsoft Purview expansion for Microsoft 365 CopilotMicrosoft Purview expanded data security and compliance controls for Microsoft 365 Copilot to include comprehensive data oversharing reports within the Microsoft 365 admin center, automated bulk remediation of overshared links, and data loss prevention for Microsoft 365 Copilot and chat prompts.

Microsoft Sentinel has evolved from its traditional role as a…

Read about Microsoft and NVIDIA joint research on real-time immunity.

The post Collaborative research by Microsoft and NVIDIA on real-time immunity appeared first on Microsoft Security Blog.

Read about Microsoft and NVIDIA joint research on real-time immunity.

The post Collaborative research by Microsoft and NVIDIA on real-time immunity appeared first on Microsoft Security Blog.

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle.

Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messages and messaging app chat notifications.

To help combat these types of financial scams, we launched a pilot earlier this year in the UK focused on in-call protections for financial apps.

The UK pilot of Android’s in-call scam protections has already helped thousands of users end calls that could have cost them a significant amount of money.

We’ve also started to pilot this protection with more app types, including peer-to-peer (P2P) payment apps.

Secure by DesignWe built Quick Share’s interoperability support for AirDrop with the same rigorous security standards that we apply to all Google products.

Secure Sharing Channel: The communication channel itself is hardened by our use of Rust to develop this feature.

On Android, security is built in at every layer.

On Android, security is built in at every layer.

Secure Sharing Using AirDrop's "Everyone" ModeTo ensure a seamless experience for both Android and iOS users, Quick Share currently works with AirDrop's "Everyone for 10 minutes" mode.

Our first rust memory safety vulnerability...almost: We'll analyze a near-miss memory safety bug in unsafe Rust: how it happened, how it was mitigated, and steps we're taking to prevent recurrence.

Our First Rust Memory Safety Vulnerability...AlmostWe recently avoided shipping our very first Rust-based memory safety vulnerability: a linear buffer overflow in CrabbyAVIF.

Unsafe Review and TrainingOperating system development requires unsafe code, typically C, C++, or unsafe Rust (for example, for FFI and interacting with hardware), so simply banning unsafe code is not workable.

Dmytro Hrybenko for leading the effort to develop training for unsafe Rust and for providing extensive feedback on …

Survey shows Android users’ confidence in scam protectionsGoogle and YouGov3 surveyed 5,000 smartphone users across the U.S., India, and Brazil about their experiences.

The findings were clear: Android users reported receiving fewer scam texts and felt more confident that their device was keeping them safe.

Android users were 58% more likely than iOS users to say they had not received any scam texts in the week prior to the survey.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

What's worse, many plaintext HTTP connections today are entirely invisible to users, as HTTP sites may immediately redirect to HTTPS sites.

To address this risk, we launched the “Always Use Secure Connections” setting in 2022 as an opt-in option.

We now think the time has come to enable “Always Use Secure Connections” for all users by default.

For more than a decade, Google has published the HTTPS transparency report, which tracks the percentage of navigations in Chrome that use HTTPS.

Since HTTP navigations remain a regular occurrence for most Chrome users, a naive approach to warning on all HTTP navigations would be quite disruptive.

To help accelerate adoption of AI for cybersecurity workflows, we partnered with Airbus at DEF CON 33 to host the GenSec Capture the Flag (CTF), dedicated to human-AI collaboration in cybersecurity.

Our goal was to create a fun, interactive environment, where participants across various skill levels could explore how AI can accelerate their daily cybersecurity workflows.

An overwhelming 85% of all participants found the event useful for learning how AI can be applied to security workflows.

This positive feedback highlights that AI-centric CTFs can play a vital role in speeding up AI education and adoption in the security community.

We are committed to advancing the AI cybersecurity frontier…

This page appears when Google automatically detects requests coming from your computer network which appear to be in violation of the Terms of Service .

The block will expire shortly after those requests stop.

In the meantime, solving the above CAPTCHA will let you continue to use our services.This traffic may have been sent by malicious software, a browser plug-in, or a script that sends automated requests.

If you share your network connection, ask your administrator for help — a different computer using the same IP address may be responsible.

Learn more Sometimes you may be asked to solve the CAPTCHA if you are using advanced terms that robots are known to use, or sending requests very qu…

At Made by Google 2025, we announced that the new Google Pixel 10 phones will support C2PA Content Credentials in Pixel Camera and Google Photos.

Pixel Camera attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

Google Photos attaches Content Credentials to JPEG images that already have Content Credentials and are edited using AI or non-AI tools, and also to any images that are edited using AI tools.

Building a More Trus…

Today marks a watershed moment and new benchmark for open-source security and the future of consumer electronics.

Google is proud to announce that protected KVM (pKVM), the hypervisor that powers the Android Virtualization Framework, has officially achieved SESIP Level 5 certification.

This makes pKVM the first software security system designed for large-scale deployment in consumer electronics to meet this assurance bar.

With this level of security assurance, Android is now positioned to securely support the next generation of high-criticality isolated workloads.

Achieving Security Evaluation Standard for IoT Platforms (SESIP) Level 5 is a landmark because it incorporates AVA_VAN.5, the hi…

Today we're excited to announce OSS Rebuild, a new project to strengthen trust in open source package ecosystems by reproducing upstream artifacts.

Infrastructure definitions to allow organizations to easily run their own instances of OSS Rebuild to rebuild, generate, sign, and distribute provenance.

With an estimated value exceeding $12 trillion, open source software has never been more integral to the global economy.

For publishers and maintainers of open source packages, OSS Rebuild can...

If you're a developer, enterprise, or security researcher interested in OSS security, we invite you to follow along and get involved!

Android recently announced Advanced Protection, which extends Google’s Advanced Protection Program to a device-level security setting for Android users that need heightened security—such as journalists, elected officials, and public figures.

This is particularly useful for Advanced Protection users, since in 2023, plaintext HTTP was used as an exploitation vector during the Egyptian election.

JavaScript Optimizations and Security Advanced Protection reduces the attack surface of Chrome by disabling the higher-level optimizing Javascript compilers inside V8.

Javascript optimizers can be disabled outside of Advanced Protection Mode via the “Javascript optimization & security” Site Setting.

We…

Below we describe our prompt injection mitigation product strategy based on extensive research, development, and deployment of improved security mitigations.

A layered security approachGoogle has taken a layered security approach introducing security measures designed for each stage of the prompt lifecycle.

From there, a key protection against prompt injection and data exfiltration attacks occurs at the URL level.

Users are encouraged to become more familiar with our prompt injection defenses by reading the Help Center article.

Moving forwardOur comprehensive prompt injection security strategy strengthens the overall security framework for Gemini.

The Chrome Root Program Policy states that Certification Authority (CA) certificates included in the Chrome Root Store must provide value to Chrome end users that exceeds the risk of their continued inclusion.

To safeguard Chrome’s users, and preserve the integrity of the Chrome Root Store, we are taking the following action.

Apple policies prevent the Chrome Certificate Verifier and corresponding Chrome Root Store from being used on Chrome for iOS.

Beginning in Chrome 127, enterprises can override Chrome Root Store constraints like those described in this blog post by installing the corresponding root CA certificate as a locally-trusted root on the platform Chrome is running (e.g., install…

Google Quantum AI's mission is to build best in class quantum computing for otherwise unsolvable problems.

In 2019, using the same physical assumptions – which consider qubits with a slightly lower error rate than Google Quantum AI’s current quantum computers – the estimate was lowered to 20 million physical qubits.

Normally more error correction layers means more overhead, but a good combination was discovered by the Google Quantum AI team in 2023.

Another notable error correction improvement is using "magic state cultivation", proposed by the Google Quantum AI team in 2024, to reduce the workspace required for certain basic quantum operations.

These algorithms can already be deployed to d…