🔑Гейминг под контроль: кто и как будет рулить отраслью?

Российским разработчикам игр дали домашнее задание: к следующему совещанию представить предложения по стратегии всей индустрии. Один из ключевых пунктов — выбор госоргана, который будет отвечать за гейминг. Ранее АПРИОРИ уже предлагала свою версию стратегии: господдержка — только тем, кто работает на NAU Engine и предустанавливает VK-магазины. Вернутся ли к этим условиям — пока вопрос.

Ещё одна идея на столе — пускать в Россию только те зарубежные игры, что работают через российских издателей. Локализация? Безусловно. Но индустрия опасается, что зеркальные шаги не заставят себя ждать.

Всё идёт к созданию «дорожной карты» — то ли маршрута к росту, то ли кольцевой с односторонним движением.

#видеоигры #регулирование #локализация

@SecLabNews

📇 bitchat: офлайн-мессенджер, который не глушится

Когда сотовая сеть падает по аварии или приказу, коммуникация рушится первой. Разработчик jackjackbits предлагает иной маршрут: смартфоны образуют ячеистую цепь и сами передают сообщения, обходясь без вышек и провайдеров.

Связь держится на Bluetooth LE до 30 м, а каскад узлов увеличивает радиус. Бинарный протокол, адаптивное сжатие LZ4 и порог TTL = 7 ограничивают эфирную «болтовню». Ключи X25519 + AES-256-GCM шифруют, Ed25519 подписывает, фильтры Блума отсекают дубликаты, случайные идентификаторы и задержки скрывают метаданные.

Результат — автономный канал, устойчивый к обесточенным вышкам и DPI. Планируемые модули Wi-Fi Direct, LoRa и мосты Nostr расширят охват от квартиры до километров, не жертвуя шифрованием. Администраторам трафика придётся искать рычаги контроля уже вне привычной инфраструктуры.

#Bluetooth #локальнаяСеть #инфобез

@SecLabNews

🎭 Шесть нажатий Ctrl+C против всей системы защиты Linux

Механизмы шифрования, пароли на загрузчик и Secure Boot внезапно оказались бесполезны. Исследователь из ERNW Александр Мох показал, как с одним USB-накопителем и терпением можно получить контроль над системой — даже если она «максимально защищена». Виной тому — отладочная консоль, которая активируется при сбоях дешифровки root-раздела.

Ключевая проблема в том, что Secure Boot проверяет только ядро и модули, но не initramfs. Злоумышленник может вызвать шелл (например, на Ubuntu 25.04 — через ESC и шесть Ctrl+C), подключить внешний носитель с утилитами, изменить initramfs и внедрить вредоносные скрипты, которые выполнятся при следующей загрузке. Подписанные компоненты при этом остаются нетронутыми — система не видит подмены.

Решение — отключить отладочную оболочку через параметры ядра (panic=0, rd.shell=0), настроить пароль на сам процесс загрузки и зашифровать boot-раздел с помощью LUKS. Пока дистрибутивы не перейдут к единой подписанной сборке ядра и initramfs, уязвимость будет сохраняться.

#Linux #SecureBoot #initramfs

@SecLabNews

Остаётся ли в тайне ваш диалог с ИИ?

Большие языковые модели умеют многое — от помощи в аналитике до написания кода. Но за удобством скрываются риски: утечки данных, нарушение комплаенса, потеря интеллектуальной собственности.

🔐 На вебинаре 9 июля расскажем:

— Что происходит с вашими данными в ChatGPT, Claude, Perplexity, Gigachat и других.
— Как отличаются политики конфиденциальности вендоров.
— Что можно, а что нельзя отдавать внешним LLM.
— Как настроить корпоративные правила безопасного использования ИИ.
— Как защитить свои данные от попадания в обучающие датасеты.

🎯В финале — готовый шаблон политики + чеклист для компаний.
И всё это — на реальных кейсах.

👉 Присоединяйтесь: разберём, как использовать LLM с пользой и без риска.

🛡Белых хакеров снова загнали в тень

Госдума отклонила законопроект о легализации этичного хакинга в России. Профильный комитет по госстроительству признал инициативу сырой и рискованной для критической инфраструктуры.

Корень проблемы — в системных противоречиях. Депутаты требуют комплексных изменений в уголовном праве, которых до сих пор нет. Особую тревогу вызывает передача данных об уязвимостях зарубежным разработчикам из недружественных юрисдикций — прямая угроза нацбезопасности.

Отрасль остается в правовом вакууме. Проект обещают вернуть. Но пока что — белым хакерам всё так же нельзя.

#инфобез #bugbounty #госдума

@SecLabNews

🇷🇺 Персональные данные — только на отечественном

Минцифре, ФСБ и ФСТЭК поручено до декабря 2025 года подготовить поправки, по которым обрабатывать и хранить персональные данные можно будет только на российском софте. Включая СУБД. Крайний срок перехода — 1 сентября 2027 года. Под ударом — миллионы систем, от федеральных регистров до бухгалтерий в регионах.

Требование касается всех: от «Сбера» и Минтруда до микроклиник и ТСЖ. Вопрос не только в замене СУБД — придётся переделывать прикладные системы, процессы, интеграции. Особенно там, где Oracle и MS SQL — часть критичных IT-ландшафтов. На кону — совместимость, SLA, устойчивость к нагрузкам.

Вендоры уже предлагают open source с локальной поддержкой, а рынок ждёт реестр сертифицированных сборок. Но если подходы к категорированию операторов и техтребования не будут прозрачными, это обернётся хаосом. Переход возможен — но при условии технической зрелости, не лозунгов.

#импортозамещение #персональныеданные #СУБД

@SecLabNews

🤖Обнаружена опасная уязвимость Android: приложения могут делать уведомления невидимыми и получать конфиденциальные разрешения

Исследователи из TU Wien и Университета Байройта показали, что на Android можно обойти любые системные разрешения... не спрашивая ничего. Метод TapTrap маскирует вредоносные действия под анимации интерфейса, так что пользователь уверен: он нажимает на элемент в игре. А на деле — передаёт доступ злоумышленникам.

Фишка в прозрачной активности с кастомной анимацией: на экране вроде бы ничего нет, но касание уже передано другому приложению. Без наложений, без разрешений. Всё штатно, через startActivity(). Даже Android 16 на Pixel 8a не спасает.

76% приложений из Play Store потенциально уязвимы. Почти никто не учитывает, что анимации — это тоже вектор атаки. Google пообещал закрыть дыру, GrapheneOS уже готовит патч. А пока? Даже «непрошеное» касание может быть критичным.

#Android #TapTrap #MobileSecurity
@SecLabNews

🧠ИИ прочитал вас по сохранёнкам

Закрытие Pocket стало поводом для нетривиального эксперимента: инженер и бывший офицер ВВС решил скормить ИИ свой архив из 878 сохранённых ссылок за 7 лет — и получил в ответ точнейший личностный портрет. Без анкет, логов и метаданных — только URL, заголовки и время сохранения.

С помощью утилиты xsv и модели o3 он выяснил, что алгоритм способен вычислить не только возраст, доход и количество детей, но и уровень тревожности в ноябре, тягу к самодельным E-Ink-устройствам и циклы профессионального выгорания. Причём точность оказалась выше, чем у многих опросников: срез по ролям, привычкам и целям напоминал психологический паспорт.

Эксперимент напомнил: даже «песочница для ссылок» выдаёт нас с головой. Данные о чтении — это не просто интересы, это карты мышления. И чем глубже их анализируют ИИ-модели, тем острее вопрос: кто на самом деле знает нас лучше — мы или алгоритмы?

#личныеданные #ИИ #самоанализ
@SecLabNews

⚡️Крипта ≠ зарплата: даже частично — нельзя

Российским компаниям по-прежнему запрещено платить сотрудникам в криптовалюте — даже частично. Минтруд напомнил: зарплата по закону возможна только в рублях. Но бизнес не унимается — особенно те, кто работает с релокантами. После запуска режима трансграничных криптоплатежей в 2024-м многие решили: окно возможностей приоткрыто.

Формально цифровые активы не признаны платёжным средством. А значит, криптозарплата — не экономия, а риск: от налоговых до уголовных. Законопроект уже на подходе — штрафы до миллиона и конфискация средств.

Рынок зовёт к гибкости, регулятор — к дисциплине. И пока компромисс только один: цифровой рубль. Но в биткоин вы его не обменяете.

#зарплата #криптовалюта #штрафы

@SecLabNews

Июль приносит новые знания! Приглашаем на митап CyberCamp* — разберем работу с внешними цифровыми угрозами ⚡️

18 июля в 13:30 мск оставим в стороне классический TI* и поговорим про другие стороны киберразведки.

В программе:

⏩OSINT* активов компаний: как работают популярные инструменты

⏩Фишинг в 2025: как выжить, если злоумышленник уже давно пользуется AI*

⏩Применение обработки естественного языка в OSINT

⏩Поднимаем завесу: как происходит настоящий Intelligence* в даркнете

⏩Взлом через подрядчика: взгляд киберразведки

⏩«Я тебя по IP* вычислю!» — разбираем кейсы реальных атак и ищем их организаторов

⏩Ты — цель. Построение персонализированной модели угроз

Участвовать можно в двух форматах:
▶️ смотреть доклады онлайн
▶️ практиковаться в киберучениях (заявки принимаются до 15 июля)

Регистрация уже на сайте!🖱

*CyberCamp — Сайберкэмп
*TI — Киберразведка
*OSINT — Разведка по открытым источникам
*AI — Искусственный интеллект
*Intelligence — Разведка
*IP — Сетевой протокол

🔐 Центробанк закручивает гайки: криптография КС1, ГОСТ, биометрия и 3 часа на отчёт

Банк России меняет правила игры на рынке платежей — и речь не только о банках. Новая редакция указания №821-П требует криптографии уровня не ниже КС1, усиленной ЭП и полной отчётности об инцидентах за 3 часа. Под удар попадают и те, кто раньше жил «на грани» — филиалы иностранных банков, платежные агенты и платформы, работавшие без формальных ИБ-обязательств.

Технически ключевой акцент — верификация и защита биометрии: только российская криптография, цифровые отпечатки вместо образов, обязательная синхронизация времени через ГЛОНАСС с точностью до 3 секунд. Также вводится обязанность обеспечивать целостность электронных сообщений и событийных журналов.

Для среднего банка это вложения в десятки миллионов, а оценка соответствия — от миллиона рублей. Но отказать себе в защите уже не получится: ЦБ фиксирует рост инцидентов из-за подрядчиков и требует от всех участников платежного оборота единых стандартов. Тарифы, скорее всего, не вырастут — а вот маржа сожмётся.

#ЦБ #криптография #финансы @SecLabNews

❓Ваш хостинг ещё не в реестре? Госдума уже проголосовала за штраф до 1 млн

Госдума приняла в первом чтении законопроект, устанавливающий штрафы до 1 млн рублей за нарушение требований к деятельности провайдеров хостинга. Инициатива была внесена группой депутатов и сенаторов во главе с Антоном Горелкиным и направлена на дополнение Кодекса об административных правонарушениях.

За работу без включения в реестр провайдеров хостинга граждан ждут штрафы от 50 до 100 тыс. рублей, индивидуальных предпринимателей — от 200 до 500 тыс. рублей. Юридические лица могут быть оштрафованы на сумму от 600 тыс. до 1 млн рублей за аналогичные нарушения.

С февраля прошлого года в России действует закон, обязывающий хостинг-провайдеров уведомлять Роскомнадзор о своей деятельности и подтверждать возможность безопасного хранения данных. Однако на рынке до сих пор остаются компании, которые игнорируют эти требования и считают, что закон их не касается.

#госдума #хостинг #регулирование

@SecLabNews

⛔️ЕГЭ на Windows? Разработчики против

Пока ЕГЭ продолжают сдавать на американской Windows, ассоциация «Отечественный софт» требует перемен: по их мнению, это не просто игнорирование курса на импортозамещение, а прямая угроза безопасности и бюджету страны. Письмо с просьбой о переходе на российские ОС уже направлено в Минцифры, Рособрнадзор и Минпросвещения.

В рекомендации Рособрнадзора по ЕГЭ-2025 чёрным по белому: экзамен — только на Windows. А между тем с 1 января действует президентский указ, запрещающий использовать иностранное ПО на объектах критической инфраструктуры, а с 1 сентября — и вовсе только отечественный софт из реестра Минцифры. Получается, школьные экзамены — вне зоны правового поля?

Ставка — не только на Astra Linux, РЕД ОС или ALT, но и на «ОС МЭШ», уже применённую в школах Москвы. Аргументы бизнеса звучат всё жёстче: зависимость от санкционного ПО, утечки данных, ежегодные расходы на лицензии. И что важнее — школьники привыкают к чужим системам, теряя навык работы с тем, что продвигает сама страна.

#отечественныйсофт #ЕГЭ #импортозамещение
@SecLabNews

🆕 Еженедельный обзор киберновостей SecurityLab

Эта неделя принесла серьёзные потрясения в мире кибербезопасности: от американских 0-day атак на Китай до того, как антивирус приветствует вредоносы как старых друзей. Россия активно продвигает цифровой суверенитет, а мировая наука совершила прорывы от управления энергией Вселенной до возвращения способности ходить парализованным детям — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

Китай атакован американским 0day в Exchange, который обнулил защиту китайских технологий.

Иран открыл киберстартап для хакеров с тарифами: атаковал США — надбавка, Израиль — премия.

Президент Мексики продал государство за $25 млн, и теперь страна живёт под надзором Pegasus.

Военный США обменял секреты на флирт с незнакомкой в чате.

Китай признаёт: военные роботы могут убивать без приказа — и без разбора.

🇷🇺 В России

Госдума готовит удар на миллион рублей для незарегистрированных хостеров.

RuStore теперь можно ставить по-хорошему или по закону — Путин подписал соответствующий документ.

Бизнесу запретят хранить данные на западных СУБД — срок до 2027 года.

Школьный экзамен переезжает с Windows на российские ОС Astra.

Даже один сатоши в зарплате — уже нарушение, считает Минтруд.

🏴‍☠️ В сетях хакеров

Microsoft наконец-то уволила «сотрудника», который 28 лет притворялся, что работает нормально.

6000 разработчиков стали жертвами из-за двух строк кода — и никто ничего не заметил.

eSIM позволяет читать чужие сообщения и перехватывать звонки — это уже доказано.

Хотели безопасный SSH — получили бэкдор: проверьте Termius на macOS.

PuTTY.exe оказался троянским конём — в реальности RedLine, ворующий кошельки и пароли.

Ducex прячет вредоносы так искусно, что даже антивирус приветствует их как старых друзей.

⛽️ Новости науки и технологий

Человечество подключилось к энергосети Вселенной — прорыв австралийских физиков обещает 1000-кратный скачок.

Крошечная страна создала ИИ мощнее ChatGPT и отдаёт его даром — пощёчина BigTech.

GPT-5 стирает границы между текстом, видео и разумом — Альтман молчал месяцами не зря.

Робот Black Panther II пробежал 100 метров за 13 секунд и вычеркнул Boston Dynamics из книги рекордов.

Парализованный ребёнок пошёл впервые в истории при смертельной мутации — революция в медицине.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews