Вот вы уже успели начитаться новогодних постов с других каналов, теперь, пришла и моя пора написать небольшой текстик

Новый год - это странная точка синхронизации. На минуту кажется, что мир можно остановить, подвести итоги и честно сказать: да, местами было тяжело, местами - очень тупо, местами - так, что хотелось выключить вообще всё и уйти в лес оффлайн. Но мы почему-то остаёмся. Работаем. Держим ритм. Тащим всё на плечах. И в этом есть простая, но важная мысль: не "как-нибудь", а вместе. Даже если "вместе" - это вы, ваш кружок людей, ваша команда, ваши слушатели, ваша маленькая шизофрения 👀...

В уходящем году я в очередной раз убедился, что реальность не любит героизма (привет всем кризис-менеджерам безопасникам), она любит системность. Не красивые заявления, а повторяемые действия. И да - вокруг всё ещё хватает шума, тревоги, неопределённости и необходимости "держаться". Но если отбросить пафос, остаётся базовая вещь: у каждого из нас есть те, ради кого мы продолжаем, и те, кто продолжает рядом. Семья, близкие, друзья, коллеги, люди, которые читают, слушают и не требуют от тебя быть идеальным 24/7

Я хочу пожелать вам на следующий год не “счастья-здоровья” по шаблону, а более практичного: чтобы в жизни появились обновления без боли, без падений прода и без вечного "страшно трогать". Чтобы у вас были нормальные тесты - в голове и в делах. Чтобы важное становилось видимым, а не копилось в фоне до взрыва. Чтобы вы чаще выбирали не тревожную имитацию контроля, а реальные опоры: люди, привычки, смысл и маленькие проекты, которые вытягивают, когда всё остальное начинает лететь в 3,14зду

А у меня - планов много. Моё радио продолжит жить и расширяться. Я готовлю несколько новых проектов, в том числе ASOC (Опенсорс и удобный). В следующем году я хочу делать больше того, что имеет значимость, и меньше того, что просто шумит

С Новым Годом🥳. Пусть он будет не идеальным - а вашим. Спокойным там, где нужно, смелым там, где можно, и устойчивым там, где раньше было "на удачу"

🎸 Прощай эпоха, длившаяся с 80-х

Ну вот и 2026 год. Даже не верится, что каналу уже более 2-х лет, а я помню как по телевизору крутили Эминема, Риану, Леди Гагу по mtv и по утрам мы слушали тот самый "зарубежный чарт". Да, даже я давно не смотрю телевизор, но про конец эпохи нужно рассказать всем, даже тем, кто не застал этого

Ну вот вчера пришёл конец целому пласту музыки, ну или того, что убило музыку в понимании 80-х. mtv - тот самый Music Television, который с 1981 года рассказывал миру, что такое музыка в движении, перестаёт быть тем, чем он был 44 года. Почти полвека

Никто не отменял YouTube, Spotify или TikTok, но никто и не думал, что именно телевизионный ритм станет символом эпохи. mtv был той линией, по которой впервые можно было увидеть Майкла Джексона и Nirvana, Laurie Anderson и Daft Punk, понять, какая песня в тренде, а какая войдёт в историю. 

Грустно вспоминать, какие клипы крутились в эфире на заре, когда в начале 80-х Video Killed the Radio Star для многих стало не просто строкой, а отправной точкой нового способа потребления музыки. А теперь то, что когда-то определяло визуальную музыкальную культуру, просто отключается

🔵 Не будет больше mtv 80s, где были Rebel Yell, Sweet Child O' Mine и Take On Me

🔵 Не будет mtv 90s с Smells Like Teen Spirit и No Scrubs

🔵 Не будет Club mtv со всем танцевальным хаосом RCA начала 2000-х

🔵 И mtv Live… тот mtv Live, где рок и поп пересекались так, как редко где ещё

Почему так?

Всё просто - люди перестали смотреть клипы по ТВ, ну и сам ТВ в принципе. Просмотр мигрировал в сети, где алгоритмы решают, что тебе смотреть, а не редакторы музыкального канала. Это часть технологического прогресса, но и часть культурного вымирания. 

Прощание mtv - это не только конец одной из линий телевизионной истории, это конец ритуала, которым были музыкальные клипы для миллионов: просмотры под утро, общие открытия новых артистов, те самые "первые разы", когда ты впервые услышал песню и увидел её визуально.

Mtv теперь - это почти развлекательный канал с реалити-шоу. Музыка ушла, и с ней уходит часть коллективной памяти тех, кто рос под эти клипы, чарты и визуальные истории.

Какое видео стало последним на одном из последних музыкальных эфиров?

Например, в Великобритании - All the Small Things от Blink-182 и это, наверное, лучшее напоминание о том, какой она была - энергоёмкой, прямолинейной, искренней и немного дерзкой. 

Mtv может остаться брендом, шоу могут жить где-то в сети, но того телевизионного ощущения, когда мир музыки начинался с MTV - больше нет. И это тоже конец эпохи, который стоило бы осознать

🎸 Давай-те снова отвлечёмся на музыку

Иногда, не от работы, не от новостей и даже не от усталости, а от шума. От постоянного внутреннего диалога, который не выключается. От мира, который всё время что-то требует. Для таких моментов есть песни, которые не спорят, не доказывают и не учат жить. Они просто существуют. И одна из них - Over the Rainbow в исполнении Israel Kamakawiwo'ole (сложно написать на русском)

Когда-то давно и даже не помню где, я услышал историю данной песни и не могу не поделиться ею с вами, поэтому, данный пост содержит ту редкую частичку души автора. Спасибо, что поддерживаете даже такие далёкие увлечения от ИБшной тематики

Версия Израэля появилась почти случайно. В одну из ночей, уже после закрытия студии, он позвонил звукорежиссёру и спросил, можно ли срочно записаться. Было около трёх утра. Через несколько минут он пришёл, сел, взял укулеле - и записал трек с первого дубля. Без правок, без наложений, без попыток "сделать красиво", как принято в индустрии. То, что мы слышим это практически живая запись одного человека в тишине

Израэль пел не про радугу и не про сказочную страну. Его версия Over the Rainbow - это песня про дом, которого нет. Про ощущение, что где-то должно быть место, где легче дышать, где не нужно соответствовать, бороться или доказывать. Для него это было особенно личным: гавайская культура, медленно стираемая массовым туризмом, здоровье, которое разрушалось с каждым годом, и жизнь, в которой тело всё чаще подводило дух

В его исполнении песня перестаёт быть детской мечтой. Она становится тихим признанием. Здесь нет надежды "когда-нибудь всё будет хорошо". Здесь есть мягкое принятие того, что хочется просто немного покоя. Поэтому укулеле звучит почти как дыхание, а голос - не как вокал, а как разговор с самим собой или со слушателем, который сидит рядом и слушает

После смерти Израэля его версия стала жить своей жизнью. Она звучала в фильмах, сериалах, на похоронах, свадьбах, прощаниях. Её использовали так часто, что она почти стала символом утраты, но в этом нет трагизма, скорее - честность перед этим человеком

Когда Израэль умер, весь Гонолулу вышел проститься с ним. Его прах развеяли в океане, и тысячи людей стояли молча. Очень немногие артисты удостаиваются такой чувственной тишины

Иногда такие песни нужны больше всего. Не чтобы вдохновлять, а чтобы позволить себе остановиться и побыть в покое со своими мыслями

#music

🟢 DevSecOps+MlSecOps Assessment Framework

Давно слежу за одним проектом - DevSecOps Assessment Framework. И вот увидел сегодня что у них появился раздел по MlSecOps

Не буду говорить о компании, это не реклама

Разбора не будет, первый рабочий день, имейте совесть - зайдите и сами почитайте, но там отображены все нужные проверки, которые стоит провести, может быть только убрать DAST, заменив на процесс постоянного проведения пентестов с использованием средств автоматизации, тк dast-ы, даже захайпленный xbow (100 индусов багхантеров), не дает объективный результат на промежутке свыше года работы. Пентестеры и багхантеры - выдыхайте 👀

Релиз - ТЫК

Ну и напомню, что я делал доку по тому, как достичь по сути, критериев фреймворка - ТЫК

Всем хорошего первого дня, не болейте, не скучайте, слушайте радио (Теперь есть тг миниапп - @radion_blue_bot)🐈

😈 Secret scanning, который наконец-то понимает смысл

Я уже писал, как использую zero-shot модель как пост-верификатор для утечек из Confluence/Jira: сначала "шумный сбор", потом "умная фильтрация"

SpecterOps в DeepPass2 сделали похожую философию, но гораздо жёстче технически, они вытаскивают пароль как сущность (span extraction), а не классифицируют "секрет/не секрет" и это уже другой уровень

Сразу тык на само исследование - ТЫК

Их главная идея - большинство secret scanners хорошо ловят структурированные токены (JWT, ключи, API tokens), потому что у них есть формат. А вот пароли... они могут быть словом, фразой, месяцем, временем года "ILoveWinter2026", и никакая энтропия/regex нас тут не спасут 

🔴 Архитектура

Они прямо фиксируют multi-tier пайплайн:

1️⃣ NoseyParker rules (regex) - быстро выносит всё, что легко матчится по сигнатурам
2️⃣ Document cleaning - найденные structured secrets вырезаются из текста, чтобы дальше не грузить модель и не "загрязнять" контекст. Меньше мусора = меньше FP у extraction-модели
3️⃣ BERT-token-classification - основная часть, модель делает sequence labeling и помечает токены "Password/Non-Password"
4️⃣ LLM verification - второй фильтр для снижения FP, в LLM отправляется _только_ то, что уже извлекла BERT-модель + соответствующий chunk контекста

То есть LLM здесь не "сканер", а **верификатор гипотез**, как я предлагал ещё в далеком посте про zero-shot модели

🧠 Почему именно BERT/Roberta, а не "маленькая LLM"

SpecterOps отдельно подчёркивают, что генеративные модели - это generative, а им нужно extractive. LLM склонны галлюцинировать пароли и "додумывать" то, чего нет, плюс они тяжелее и медленнее. Поэтому базовая модель у них — xlm-roberta-base (~278M параметров) в режиме token classification, дообученная через LoRA (r=64, target_modules: query/key/value/dense). Такой стек реально крутить локально/дёшево по ресурсам, и это уже ближе к "реальному AppSec", а не "пойдём купим ещё GPU или оплатим ещё токенов".

У модели max_len 512 токенов, поэтому документ режется на чанки 300–400 токенов + overlap 

И здесь тонкость, что chunking для них это:
- они явно упоминают, что длинные входы у LLM страдают от position bias, поэтому система работает chunk-level
- возможность вернуть не только "пароль найден", а "пароль найден + ближайший контекст", чтобы triage не превращался в поиск незнамо чего


💡 Датасет - самый интересный кусок

С данными у них честно "боль" - редкий кейс, мало реальных размеченных документов. Поэтому они сделали гибрид:

- LLM генерирует ~2k длинных документов (2000+ токенов), половина с паролями, половина без.
- затем эти длинные документы режутся на чанки 300–400
- проблема: LLM генерирует примитивные пароли (P@55W0RD, vaultKey2025!), и модель на них учится "слишком легко"
- чтобы поймать "невинные" пароли типа ILoveMyCity, они добавляют breached passwords + usernames, создают 1000 "скелетных" предложений и вставляют реальные пары user/pass в логичные места текста

В итоге обучающий сет: 23k примеров, 2200 на тест. 

Это, по-хорошему, то, что большинство команд не делает вообще: они либо гоняют regex, либо надеются на LLM "на глаз".


👀 Они поняли, что "accuracy" = ловушка

Они вводят две модели оценки:
- Strict Accuracy: попадание 1:1 по всем извлечённым паролям в чанке
- Overlap Accuracy: достаточно перекрытия >30% (потому что subword-tokenization может “съесть” символы/границы)

По результатам:
- Strict Accuracy: 86.67% (BERT) / 85.79% (LLM)
- Overlap Accuracy: 97.72% (BERT) / 95.35% (LLM) 

И самое показательное - password-level confusion matrix:
- FP: 49 (BERT) vs 57 (LLM)
- FN: 138 (BERT) vs 211 (LLM) 

Т.е. BERT у них банально лучше по recall и FP, но LLM они всё равно оставляют "в контуре" как слой доп валидации


📕 Вывод

DeepPass2 - это редкий случай, когда "ML для секретов" сделан не как хайп (так ещё модно говорить?), а как инженерный пайплайн:
- structured secrets отдаются regex-ам
- free-form passwords - extraction модели
- LLM только для пост-валидации, а не как "главный сканер"

🐞 VK Security Confab 2026 - Bug Bounty Edition

Сезон интересных митапов официально открывается, и первая остановочка- VK Security Confab

Дата - 19 марта
Место - Москва, БЦ SkyLight

Если говорить прямо, VK остаётся одним из самых выгодных и интересных баунти-скопов на текущий момент (жаль, мне нельзя участвовать). Большая поверхность, живые продукты, реальные баги и фри спины самые сладкие триажеры 🐈

Такие встречи ценны не докладами (хотя и ими тоже), а людьми и разговорами между ними. Именно на конфабах обычно обсуждают то, что никогда не напишут в отчётах... но все секреты заранее не буду расскрывать)

Если у вас есть:
🟢 интересный кейс
🟢 необычный найденная уяза или найденный новый подход
🟢 или просто техническая история, которую не стыдно рассказать

подавайте заявку на доклад до 26 февраля - ТЫК, каждый доклад двигает наше комьюнити вперед.

Такие площадки существуют ровно до тех пор, пока на них приходят люди с реальным опытом, а не пересказом чужих статей, как сейчас стало модно в тг.

💥 Предположим, что зависимости - это ваш код

Допустим, мы в проде крутим 500 npm-пакетов, из которых 480 - транзитивные, и при этом делаем вид, что отвечаем только за свой main.js на 200 строчек. А потом удивляемся, когда нас имеют через debug@5.0.0, который залил товарищ🇨🇳 из Shai Hulud

Посмотрел пару постов\статей и по данным, менее 9.5% уязвимостей в зависимостях реально достижимы через call graph. 90% алертов - шум. А supply chain атаки вообще не имеют CVE на момент компрометации. И тут, есть подход, который решает обе проблемы - анализировать зависимости как свой код


🧠 Reachability analysis

Вопрос возникает совсем необчный для SCA - не "есть ли CVE", а "достижима ли уязвимая функция из нашего кода". Три уровня глубины, которые я отметил:

🔵Dependency-level: используется ли пакет вообще. Грубо говоря, минус ~30% шума
🔵Function-level: call graph (CHA -> RTA -> VTA), вызывается ли уязвимая функция. Минус ~90%
🔵Dataflow: taint tracking - течёт ли user input в уязвимый вызов. Минус ~95-98%

Как пример возьму нашумевшую Log4Shell: function-level скажет "вы вызываете Logger.info()", что true для всех java-приложений. Dataflow покажет, течёт ли HTTP-параметр через цепочку `StrSubstitutor -> JndiLookup -> InitialContext.lookup(). Разница между 847 алертами и 12 реально эксплуатируемыми, что вызывает бурю дофамина, как при вайбкодинге (claude делает бр-бр-бр)


🔄 Behavioral analysis

Как мы уже поняли CVE-based подход принципиально не ловит supply chain атаки - нужен анализ поведения, что усложняет задачу в x10. У нас из opensource есть - Datadog GuardDog: Semgrep-правила + YARA. Да, со своими проблемами, недочетами, НО у вас есть ИИшки - допилите сами, как сделал я. Отдельная история это гумозные install scripts. 94% вредоносных npm-пакетов используют postinstall для запуска пейлоадов. Shai Hulud именно так распространялся, как все помнят, надеюсь. Но и для этого есть прикольная фича с pnpm, где можно отключить postinstall


⚙️ SAST + diff-review зависимостей

Semgrep по умолчанию пропускает node_modules/, что нам мешает обратно включить через --include и натравливаем те же правила, что и на свой код. CodeQL включает node_modules/ автоматически, через custom queries ищем dangerous sinks в зависимостях. Для остальных языков +- тоже самое, думаю, не запутаетесь и логика понятна. Каждый PR с обновлением зависимости - это code review. Как будто разраб закинул PR. Нам не обходимо задать несколько вопросов:

Что изменилось? Появились новые network calls? eval()?

Если он не знает - смотрим сканнеры. Renovate (не забываем отключать телеметрию) с postUpgradeTasks оркестрирует: cooldown 7–14 дней, автоматический GuardDog и Semgrep на обновлённой зависимости прямо в PR.


😕 Где ломается

Ни один подход не серебряная пуля. xz-utils - payload в release tarball, в git его не было, спасают только reproducible builds. Spring4Shell - function-level бесполезен, нужен dataflow через class.module.classLoader traversal. Trivy - в марте 2026 скомпрометирован сам сканер (точнее его экшены), 76 из 77 тегов Action перезаписаны.


☕️ Что по результатам тестов

Вместо npm audit -> 847 vulns -> тикет "мы в курсе" -> кофе:

SBOM (Syft) -> Grype (CVSS+EPSS+KEV в одну цифру) -> OSV-Scanner (call analysis) -> GuardDog (behavioral) -> Renovate (cooldown + diff + SAST) -> Dependency-Track (dashboard + VEX)

Весь стек собрал на opensource. Ни один слой не достаточен сам по себе: reachability фильтрует шум CVE, behavioral ловит атаки без CVE, SAST на vendor/ ищет 0-day.

Исследование с пайплайнами, CodeQL-запросами, Renovate-конфигами и CVE-кейсами - приложу к некст посту, если будет интересно


Не болейте, не скучайте 🐈

😑 axios 1.14.1/0.30.4 скомпрометирован

31 марта угнали npm-аккаунт основного мейнтейнера axios, подменили email на protonmail и залили axios@1.14.1 и axios@0.30.4 - обе ветки за 39 минут. В самом axios ни строчки вредоносного кода. Вместо этого в dependencies добавлен phantom-пакет plain-crypto-js@4.2.1, который нигде не импортируется - его единственная задача запустить postinstall хук с кроссплатформенным RAT-дроппером на macOS, Windows и Linux.

Подготовка была заблаговременная: за 18 часов до атаки зарегистрирован plain-crypto-js@4.2.0 - чистая копия crypto-js, чтобы пакет не выглядел нулёвым для сканеров. Потом тихо обновлён до 4.2.1 с payload'ом. Обфускация двухслойная: XOR-шифр с ключом "OrDeR_7077" (через Number() всё кроме цифр превращается в NaN -> эффективный ключ [0,0,0,0,0,0,7,0,7,7]) плюс реверс строки и base64. C2-сервер на sfrclak[.]com:8000, а POST body маскируется под npm-трафик - "packages.npm.org/product0" для macOS, product1 для Windows, product2 для Linux.

После выполнения дроппер удаляет себя, удаляет package.json и подменяет его чистым стабом из package.md. Любая посмертная проверка node_modules/plain-crypto-js/ покажет абсолютно чистый манифест. npm audit ничего не найдёт. Единственный индикатор - само существование директории plain-crypto-js в node_modules, которой там быть не должно.

Детальный разбор с таймлайном атаки, декодированными строками, process tree и IOC - ТЫК

🧠 Делаем выводы

Это идеальная иллюстрация того, о чём мы говорили в прошлом посте. CVE-based SCA тут бесполезен - в момент атаки CVE нет. Reachability analysis не поможет - plain-crypto-js нигде не импортируется в коде. Классический npm audit в момент установки ничего не покажет.

Что сработало бы:
🔵 Behavioral analysis - phantom dependency (в манифесте есть, в коде нет ни одного require/import) + postinstall хук, это два жирных красных флага, которые могут детектировать сканнеры
🔵 Provenance check - все легитимные релизы axios публикуются через GitHub Actions с OIDC Trusted Publisher. У 1.14.1 нет trustedPublisher, нет gitHead, нет соответствующего коммита - ручной publish украденным токеном
🔵 Cooldown - plain-crypto-js@4.2.1 был опубликован за 24 минуты до axios@1.14.1. Любой cooldown-период от 24 часов заблокировал бы установку
🔵 --ignore-scripts - postinstall бы просто не выполнился

Четыре независимых слоя, каждый из которых по отдельности остановил бы атаку. Ни один из них не требует CVE 👎