🔥 Минцифры чуть не запретило профессию пентестера, но здравый смысл (внезапно) победил.

В августе этого года отечественное ИБ-сообщество было в шаге от того, чтобы уйти в глубокое подполье. Поправка к закону 149-ФЗ (Об информации) в своей первоначальной редакции предлагала блокировать любые ресурсы, содержащие информацию о способах несанкционированного доступа или модификации данных. На юридическом языке это звучало так широко, что под блокировку попадало буквально всё... от журнала Хакер и образовательных курсов до безобидных постов в Типичном Сисадмине и репозиториев с PoC-эксплойтами на GitHub. По сути, обучение кибербезопасности становилось вне закона, потому что нельзя научить защищаться, не объяснив, как нападать.

😎 Основатель журнала Хакер написал открытое письмо Максуту Шадаеву, популярно объяснив, что если запретить обмен знаниями об уязвимостях, то единственными, кто будет знать о дырах, останутся реальные преступники. Против поправки проголосовали 2000 человек. И произошло чудо... регулятор, который обычно пишет законы, но не читает фидбек... прислушался.

В финальной версии формулировку изменили. Теперь блокировке подлежит информация, позволяющая установить вредоносное ПО или содержащая предложение о его приобретении. То есть, закон теперь бьет по магазинам малвари и распространителям троянов, а не по исследователям и писателям новостных постов.

Так что сжигать учебники по ИБ и удалять посты с разборами атак пока рано 👍

Типичный 🎄 Сисадмин

Open Source мониторинг с сюрпризом и 10к звезд на GitHub ⌨️

Тут исследователи из Ontinue раскопали прекрасное. Оказывается, хакеры массово полюбили китайский опенсорсный инструмент для мониторинга серверов Nezha. И не просто полюбили, а используют его как идеальный RAT (Remote Access Trojan), который не палится практически ничем.

Суть проблемы в том, что Nezha это абсолютно легитимный софт с 10 000 звезд, созданный для благородной цели... следить за нагрузкой и здоровьем серверов. Но у него есть одна маленькая фича. Агент умеет предоставлять администратору полноценный интерактивный веб-терминал и файловый менеджер. А поскольку любой нормальный мониторинг для сбора метрик должен работать с высокими правами, то агент Nezha по дефолту запускается как root или SYSTEM. В итоге злоумышленник получает шелл с полными правами без всяких эксплойтов и эскалации привилегий. Это не баг, это архитектура.

На VirusTotal у бинарника агента 0 из 72 детектов. Потому что для антивируса это честная, цифровая подписанная (иногда) утилита администратора. EDR видит активность и думает, что админы мониторинг накатили, молодцы 😮. А в это время агент гонит трафик по gRPC на C2-сервер злоумышленника (часто развернутый в Alibaba Cloud), предоставляя ему удобный GUI для управления захваченной инфраструктурой.

З.Ы. Если увидите в процессах незнакомый агент, не спешите радоваться, что соседний отдел наконец-то настроил метрики. Возможно, метрики с вашего сервера уже крутятся на красивом дашборде где-то в Гуанчжоу 🐲

Типичный 🎄 Сисадмин

Это не стерлось. Это кастомизация 😬

Типичный 🎄 Сисадмин

Microsoft добралась до святого. Win+R теперь модный, широкий и перекрывает Пуск 👨‍🔬

Если в Windows и было что-то стабильное, незыблемое и работающее как часы, так это диалоговое окно "Выполнить" (Win+R). Этот маленький серый прямоугольник, он буквально мышечная память любого сисадмина. Он пережил Windows 95, XP, 7, прошел сквозь плиточный ад Восьмерки и остался неизменным. Казалось бы, идеальный UI... нажал две кнопки, вбил cmd или services.msc, нажал Enter. Всё. Зачем тут что-то менять?

Но работяги из Microsoft в 2025 году решили, что им нужно оправдать зарплату, и выкатили редизайн. В последних инсайдерских сборках (Build 26220+) нашли обновленное окно Run и оно стало длинным. Видимо, чтобы команды ping 8.8.8.8 -t выглядели более кинематографично в формате 21:9. Но самое важное не в дизайне, а в реализации.

Новое окно рендерится криво и тупо перекрывает панель задач и кнопку Пуск. Если у вас меню выровнено по левому краю, то новый Win+R просто ложится поверх него, блокируя доступ к иконкам 🎩

Типичный 🎄 Сисадмин

Эстетика в продакшене 🎩... теперь влезет в стойку.

Типичный 🎄 Сисадмин

🎄 Держите инфраструктуру в облаках? Забирайте рекомендации по FinOps и экономьте до 30% в 2026 году

Эксперты из Практики FinOps подготовили бесплатный мини-тест в формате гугл-таблицы. Прохождение занимает 5–7 минут.

Внутри — оценка ключевых процессов и практические рекомендации:
🟢 видно, где процессы работают, а где есть пробелы
🟢 понятно, где теряется прозрачность расходов
🟢 есть конкретные шаги, что внедрять дальше

Тест можно пройти одному, например CTO, или командой из инженера, архитектора и финансового специалиста.

Скорректируйте облачные расходы в следующем году, опираясь на готовые рекомендации.

👉 Забрать бесплатный инструмент

Когда предыдущий Сисадмин до этого 10 лет работал арматурщиком на стройке 🏥

Типичный 🎄 Сисадмин

Нанятый эксперт по ИБ оказался тем самым хакером, который всё и положил 😂

В США накрыли схему, которая вполне тянет на сценарий для фильма Гая Ричи. 28-летний хацкер (с подельниками) Кевин Тайлер Мартин решил, что просто шифровать компании это банально. Куда веселее сначала взломать жертву, а потом прийти к ней в белом пальто под видом кибербезопасника из уважаемой фирмы (они маскировались под реальную контору Sygnia).

Схема работала безупречно. Перепуганные директора, у которых горит прод, с радостью давали полный доступ к инфраструктуре для аудита и устранения последствий. А Мартин с друзьями, получив легитимные админские права, вместо лечения начинали вторую стадию ограбления. Они закреплялись в системе, крали конфиденциальные данные и дочищали то, что не успели украсть при первом заходе 🏥

Самый эпичный эпизод случился с конторой DigitalMint. Мартин сначала хакнул их почту, а потом, изображая ИБшника, получил доступ к внутренним системам. В итоге он нашел ключи от физического сейфа и, пока админы в панике ковыряли логи, спокойно вынес 3 млн. долларов наличкой из офиса. Вот это я понимаю гибридная атака с выходом в оффлайн 🎩

Теперь гению социальной инженерии светит 20 лет тюрьмы.

З.Ы. Теперь найм внешних аудиторов будет еще сложнее для параноидальных админов... придётся чекать, а не являются ли эти ребята с красивыми сертификатами теми самыми хакерами, которые вчера брутили наши RDP? 🤔

Типичный 🎄 Сисадмин

Синдром Тревожной Матери у суровых админов 👨‍🦳

Просто зайти на секунду на камеры в серверной. Убедиться, что никто не трогал. Мигает. Гудит. Светится. Значит - живая💚И сразу как-то отпускает.

Вы тоже так иногда делаете?

Типичный 🎄 Сисадмин

Последняя ридонли пятница года... Послушай старого опытного Деда, лучшее, что ты можешь сделать для инфраструктуры сегодня - это ничего. Просто отойди от стойки. Медленно. Руки так, чтобы я их видел 👀

Типичный 🎄 Сисадмин

Ошибка, допущенная в последнюю пятницу года, исправляется не в понедельник. Она исправляется под бой курантов, слезами и проклятиями. Дедушка предупреждал ☝️

Типичный 🎄 Сисадмин

Нет ничего более постоянного, чем временная сопля с питанием 🎩
#предложка

Типичный 🎄 Сисадмин

✈️ В Аэрофлоте полетели головы после летнего сбоя

Помните июльскую жару, когда Аэрофлот прилег отдохнуть всей своей IT-инфраструктурой? Спустя пять месяцев инцидент догнал руководство... свой пост покинул замгендиректора по IT Антон Мацкевич. Официальная версия, как водится в больших корпорациях (по собственному желанию) и в связи с успешным выполнением задач по импортозамещению. Но источники намекают, что настоящая причина этот тот самый летний блэкаут, когда хакеры вынесли инфру почти под ноль.

Коллеги по цеху говорят, что реакция админов в момент атаки была безупречной 🤙... они просто дернули рубильник, обесточив всё, что можно. Это старый дедовский способ, который позволил спасти хоть какие-то данные от полного шифрования и вайпа. Но вот к мониторингу вопросики остались. Судя по всему, злоумышленники зашли через внешних подрядчиков (классика) и долго сидели внутри, а SIEM-система либо молчала, либо алерты улетали в спам, либо некое третье.

Новый рулевой ИТ Аэрофлота теперь Денис Попов (из дочки АФЛТ-Системс), теперь ему предстоит дочищать авгиевы конюшни после взлома и продолжать миграцию с SAP на 1C:ERP за миллиард рублей. Переезжать с немецкого энтерпрайза на отечественный, когда у тебя в сети, возможно, всё еще лежат закладки - праздничное развлечение для сильных духом 😬

А для обычных юзеров главный индикатор успеха это Личный кабинет на сайте. Он лежит мертвым грузом с 28 июля 😮 - уже целых пять месяцев регламентных работ. Видимо, бэкенд кабинета не просто зашифровали, а ритуально вайпнули под чистую, и теперь код пишут заново. Зато утечек персональных данных Роскомнадзор не нашел. Нет данных - нет утечек 😂

Типичный 🎄 Сисадмин