Роман Ашихмин | IT, Security & AI

Многие столкнулись с тем, что Госуслуги на смартфонах начали настойчиво вести к установке мессенджера MAX для подтверждения входа. Минцифры постепенно уходит от SMS как второго фактора. Причина понятная: мошеннические схемы годами заточены под выманивание SMS-кодов у людей, и этот канал слишком часто становится слабым звеном. Но тогда логичный вопрос: зачем навязывать MAX, если есть более безопасные способы подтверждения входа? Проблема решается не установкой очередного мессенджера, а переходом на TOTP. Это стандарт одноразовых кодов, которые генерируются внутри приложения-аутентификатора. Например, Google Authenticator, Яндекс Ключ, iOS Passwords и аналоги. Главный вывод: Замена SMS на TOTP решает проблему навязанного софта и снижает риск угона аккаунта через выманивание кодов. TOTP дает две практичные вещи. Первое: вам больше не нужен сотовый сигнал или отдельный мессенджер для входа. Код генерируется на устройстве и меняется каждые 30 секунд. Второе: это защита от социальной инжене

Сейчас в России можно сделать сервис неработоспособным без объявления полной блокировки. Механика уже знакома по YouTube и WhatsApp. Telegram идет тем же маршрутом. Ключевой элемент инфраструктуры здесь - ТСПУ. Технические средства противодействия угрозам. По сути это DPI (Deep Packet Inspection), оборудование для анализа и фильтрации интернет-трафика на уровне приложений. Проще: оно может распознавать тип соединения и управлять качеством доступа. Что это меняет на практике. 1) Ограничения выглядят как деградация сервиса. Текст идет, а медиа не грузится. Звонки отваливаются. Формально Telegram доступен, фактически рабочий процесс встает. 2) Провайдер вам не поможет. Потому что это не "авария на линии". Оператор связи обязан обеспечить размещение и включение ТСПУ на своих узлах связи, в ключевых точках прохождения трафика. Правила фильтрации задаются централизованно и не меняются по заявке клиента. 3) Риск становится операционным. Это зависимость от внешнего канала без гарантий доступно

Я выпал из постов на несколько дней. Причина простая. Я копал OpenClaw. Это сейчас самый хайповый AI проект. Это офигенная штука. Если объяснять по-бизнесовому, это не "еще один чат с ИИ". Это личный исполнитель. С памятью. С инструментами. С дисциплиной. Что в этом реально полезно. 1) Утренняя сводка под вас. Я не хочу копаться в новостных сайтах и 10 телеграм каналах. Я хочу получать сводку, заточенную под меня. Проекты. Риски. Сигналы. Письма. Задачи. Контекст. 2) Личный джун программист. Мой OpenClaw уже работает так. Пишет и правит код. Собирает скрипты под задачу. Автоматизирует рутину. И делает это прямо в моих репозиториях. 3) Напоминания и контроль. Он напоминает о делах. Он присылает напоминание в нужное время. Он работает 24/7. 4) База знаний. Мы уже формируем свою базу. Документы. Конспекты. Семинары. Посты. Все индексируется. И ищется по смыслу. Я задаю вопрос и получаю ответ с опорой на мои материалы, а не на абстрактный интернет. Это далеко не полный список возможностей.

Загружаете резюме и договоры в ChatGPT? Делайте это безопасно Сотрудники HR любят ChatGPT. Закидывают туда резюме, просят оценить soft skills или сделать саммари. Юристы загружают договоры с фамилиями клиентов для поиска ошибок. Это удобно. Экономит часы работы. Но безопасно ли это для бизнеса? Спойлер: Нет. Если вы делаете это "в лоб". Разберем механику. 1. На чем учится модель По умолчанию ChatGPT сохраняет историю и учится на ваших диалогах. Если вы загрузили базу клиентов или паспортные данные сотрудника, они могут стать частью обучающего набора. Теоретически, через полгода модель может выдать эти данные другому пользователю в ответ на похожий контекст. Шанс мал, но он не нулевой. OpenAI прямо предупреждает: "Не вводите чувствительную информацию". 2. Режим невидимки Вы можете отключить обучение в настройках (Data Controls -> Improve the model for everyone). Тогда ваши чаты не попадут в датасет. Но данные все равно остаются на серверах OpenAI минимум 30 дней. Это нужно для мод

Анатомия атаки: два бота и председатель ТСЖ Собирался писать про ChatGPT. Но жизнь подкинула кейс. Прямо сейчас на мне отработали сложную схему. Это не спам. Это целевой удар (Spear Phishing). Главный инструмент атаки. Юзер-боты. Что такое юзер-бот Простыми словами. Обычный бот это программа. Она пассивна, не может написать вам первой. Ждет нажатия кнопки /start. Юзер-бот это скрипт. Он управляет обычным аккаунтом. Он может написать вам первым. Для вас это выглядит как входящее сообщение от живого контакта или сервиса. На этом строится весь обман. 1. Подготовка Пишет человек в Telegram. Представляется: Онищенко Юрий Алексеевич. Это реальное ФИО моего председателя ТСЖ. Только вот аккаунт создан создан в январе 2026... 🙂 Знает адрес. Квартиру. Легенда: сбор подписей против тарифов. Расчет верный. Соседа игнорируют, председателя слушают. 2. Акт первый. Голосование Лже-председатель просит проголосовать. Тут же в личку стучится аккаунт "ROI" (Российская Общественная Инициатива). Это пе

Бесплатный DeepSeek, кто на самом деле оплачивает банкет. Выход DeepSeek в 2025 году наделал шума. Рынок трясло от демпинга цен. Сейчас пыль улеглась. Для многих это просто иконка на телефоне. Вы едете в метро, интернет нестабильный, VPN отваливается. А DeepSeek работает. Без иностранных номеров. Без сложных оплат. Это подкупает. 1. Почему это бесплатно У модели есть платный API для разработчиков. Но чат для пользователей остается условно бесплатным. Аттракцион щедрости оплачивает китайский хедж-фонд High-Flyer. Их цель не ваши 20 долларов за подписку. Их цель это данные и доля рынка. В Китае данные это новая нефть. 2. Были ли утечки Да. Идеальной защиты не существует. В январе 2025 года исследователи нашли базу данных DeepSeek в открытом доступе. Там лежали ключи и истории чатов. Справедливости ради, утекает у всех. OpenAI, Google и Microsoft тоже допускали ошибки. Разница в другом. Американские сервисы хранят данные для дообучения и маркетинга. Спецслужбы США получают к ним досту

Ваш пароль мог утечь пять лет назад, а вы пользуетесь им сегодня: проверьте это безопасно. В одном из прошлых постов я писал про проверку утечек ваших данных. Самому это сделать сложно, впн, странные сайты, регистрации. Решил перевести теорию в практику. Теперь проще. Я написал своего цифрового ассистента. Зовут Дженни. Сразу обозначу. Это не инструмент для "пробива" или слежки - это незаконно. Это инструмент личного аудита. Он показывает, где ваши данные уже стали публичными. Чтобы вы успели закрыть дыры. Что она умеет. 1. Поиск утечек данных и перевод с технического на человеческий Поиск утечек основан на базе Have I Been Pwned. Это мировой стандарт. Но сервис на английском. И часто не работает без VPN. Дженни убирает эти барьеры. Она не просто выдает список. Она анализирует состав инцидента. Объяснит по-русски, что именно утекло. Просто почта (не страшно) или паспортные данные (критично). И даст совет. 2. Проверка паролей Важное правило. Никогда не вводите свой действующий пар

Даже в MS Office 10-летней давности можно найти уязвимость. Вчера в Microsoft Office обнаружили дыру нулевого дня. Это значит, что злоумышленники начали использовать ее раньше, чем разработчики выпустили исправление. Старое правило "нет макросов, нет проблем" больше не работает. Хакеру не нужно просить вас нажать желтую кнопку включения содержимого. Достаточно просто открыть файл Word или Excel для чтения или печати. Вредоносный код запустится автоматически. Под ударом старые версии. В первую очередь Office 2016. По моему опыту это сейчас самая распространенная версия в российском бизнесе. Причины понятны. Лицензии бессрочные. Все работает стабильно. Новые подписки Microsoft 365 официально купить невозможно. Вы сами знаете почему. Ситуация опасная. Мы вынужденно используем софт десятилетней давности. Именно он сейчас стал главной целью атакующих. Патчи уже вышли, их нужно ставить. Но я реалист, в малом и среднем бизнесе не все процессы отлажены. Обновление всех компьютеров занимае

Я прогнал свою основную почту через базы утечек. Результат на скриншоте. Adobe, LinkedIn, CDEK, Dropbox и еще десяток списков. Выглядит страшно? Нет. Это норма. Если вы пользуетесь интернетом больше 10 лет, ваша почта там точно есть. Важно другое. Зачем мне знать этот список. 1. Срок годности Посмотрите на даты. Dropbox это 2013 год. LinkedIn был в 2012. Эти пароли давно мертвы. Если вы не меняли пароль 13 лет, то проблема не в хакерах. Проблема в лени. Сами по себе эти строки в базе уже не опасны. 2. Эффект снежного кома В списке есть "Collection #1", "Naz.API" и свежий "Synthient" за 2025 год. Это не взломы конкретных сайтов. Это агрегаторы. Хакеры берут старые базы, чистят их и создают универсальные словари для подбора. 3. Реальный риск Угроза называется Credential Stuffing (массовый перебор украденных паролей). Робот не ломает ваш сервер. Он берет пароль, который ваш менеджер использовал в службе доставки CDEK (утечка 2022 года). И пробует его же на вашей корпоративной почте.

«Зачем нам учить сотрудников кибергигиене? У нас 20 человек, мы продаем стройматериалы. Кому мы нужны?» Это типичное заблуждение малого бизнеса. Этот вопрос висит в воздухе, даже если его не задают вслух. Логика понятная. Кажется, что хакеры это ребята из кино. Они выбирают жертву неделями. Реальность скучнее и циничнее. 1. Вас не выбирают Вас сканируют роботы. Им всё равно, банк вы или районная пекарня. Открыт порт или есть дыра в почте? Они зайдут. Это ловля сетью. Попадается всё подряд. 2. Экономика изменилась Раньше качественное письмо-обманку писал человек. Это стоило времени. Теперь нейросети генерируют миллионы писем за секунды. Без ошибок, в нужном тоне, с обращением по имени. Атака стоит хакеру 0 рублей. Выкуп в 50 тысяч это чистая прибыль. 3. Вы «мул» На сленге это курьер для перевозки запрещенки. Крупные корпорации защищены хорошо. Малый бизнес защищен плохо. Взломщик заходит к вам ради вашего крупного заказчика. Письмо придет от вашего проверенного имени. Бухгалтер партнер