Обновить
1024K+

Информационная безопасность *

Защита данных

1 620,18
Рейтинг
Сначала показывать
Порог рейтинга
Уровень сложности

Ghidra — фреймворк АНБ для реверс-инжиниринга ПО

Время на прочтение4 мин
Охват и читатели4K

Ghidra — это фреймворк для реверс-инжиниринга, который создан и поддерживается АНБ.

Как выяснилось, агенты эффективно применяют Ghidra через MCP-сервер GhidraMCP, а с декомпилятором Radare2 это позволяет находить закладки в бинарных файлах почти в автоматическом режиме.

В бенчмарках Claude Opus 4.6 нашёл 49% бэкдоров, Gemini 3 Pro — 44%, а Claude Opus 4.5 — 37%.

Читать далее

Новости

Как я создал на своём ноутбуке виртуального “белого пентестера” и постепенно делаю из него не бесполезную игрушку

Время на прочтение12 мин
Охват и читатели4.8K

DISCLAIMER:
Решив использовать все описанные далее методы, предоставленный ниже код и перечисленные виды программного обеспечения, Вы должны предельно чётко понимать всю полноту юридической ответственности за их несанкционированное применение в условиях реального пентестинга и неукоснительно соблюдать требования Закона в этой области!

Пару недель назад я всерьёз открыл для себя новую “забаву” - использование локальных моделей ИИ для полуавтоматического “белого” пентестинга.

Мой исходный “суповой набор” из “железа” и софта.

Читать далее

Давайте поговорим о доверии и границах

Уровень сложностиПростой
Время на прочтение5 мин
Охват и читатели4.8K

Я женщина, поэтому даже в технической области я спокойно могу говорить на эти темы. (надеюсь в комментариях не обозлятся за это высказывание).

Ответьте себе на вопрос: где проходит ваша граница доверия с вашим агентом? Что вы готовы ему простить? А что для вас жесткий ред-флаг?

Готовы ли вы делегировать агенту задачу, в которой вы не разбираетесь, и взять за это ответственность, если что-то пойдет не так? А если наоборот, все будет очень хорошо — искренне признать, что по факту это не совсем ваш труд?

Это в целом философские вопросы, о которых можно спорить бесконечно, и ответ у каждого разный, и я доверяла и иногда до сих пор продолжаю доверять и осознанно иду на риск, потому что живем один раз, правильно?

У меня есть несколько смешных кейсов, которые я вам сейчас расскажу, но смеяться вы скорее всего не будете.

Читать далее

ставим 6 прoкси в 2 клика за 5 минут на 1 VPS

Уровень сложностиПростой
Время на прочтение4 мин
Охват и читатели22K

GUI-утилита в один клик, которая автоматически разворачивает на копеечном VPS сразу 6 протоколов обхода блокировок. бесплатная генерация доменов для обмана DPI, автоматический выпуск TLS-сертификатов, NaiveProxy и olcRTC

Читать далее

awg-admin: почему я написал свой менеджер для управления Amnezia(WG)-серверами

Уровень сложностиПростой
Время на прочтение4 мин
Охват и читатели16K

Недавно друг попросил помочь с настройкой VPN. Казалось бы, обычная задача. Но когда я посмотрел, что у него уже развернуто, удивился.

Для управления четырьмя vpn-клиентами использовался полноценный многопользовательский веб-сервис на PHP с MySQL, который требовал отдельного сервера.

История о том, как я перебрал популярные панели управления WireGuard и написал свою.

Читать далее

Мой Топ 5 психопортретов, которые я научилась различать по логам DLP

Уровень сложностиПростой
Время на прочтение4 мин
Охват и читатели11K

Я сейчас в таком режиме «работа-сон-работа-энергетики», но этот блог мне помогает структурировать свои мысли.  За месяцы охоты за нарушениями я поняла: DLP – это не только про файлы и ссылки. Это ещё и про людей. Причем про людей настолько предсказуемых, что я теперь различаю их психотипы даже по тому, как они ставят запятые в рабочем чате. Прямо как психотерапевт, только дешевле и с политиками безопасности в придачу. И вот моя версия занимательной психологии по логам

В той DLP-системе, с которой я работаю, есть модуль, который называется «Центр профилирования сотрудников» — система анализирует всю текстовую активность пользователя: исходящие письма, сообщения в корпоративных и разрешенных личных мессенджерах, посты в социальных сетях, если они попадают под мониторинг.

Узнать все психотипы

Управление паролями LDAP-пользователей через StarVault: настраиваем движок секретов LDAP

Время на прочтение6 мин
Охват и читатели6.7K

Разработка безопасного программного обеспечения — одна из самых распространенных тем, связанных с ИБ, в 2026 году. Вокруг нее мы все чаще слышим слова «управление секретами», «безопасная доставка секретов» и т.д. Мы уже писали практическую статью тут, но, как показывает практика, системы управления секретами не крутятся только вокруг key-value значений или динамических секретов для database. Я Руслан Гайфутдинов, ведущий пресейл-инженер системы управления секретами StarVault в Orion soft. В этой статье предлагаю рассмотреть еще один (не забытый, а, скорее, не известный) механизм секретов LDAP. 

Читать далее

В фокусе RVD: трендовые уязвимости июня

Уровень сложностиСредний
Время на прочтение7 мин
Охват и читатели6.5K

Хабр, привет!

На связи команда инженеров-аналитиков R-Vision. В июне 2026 года мы выделили 19 трендовых уязвимостей, и включили в дайджест те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по информационной безопасности.

В этом материале мы разобрали условия эксплуатации каждой уязвимости, возможные последствия их успешной эксплуатации и рекомендации по защите. Обзор поможет ИБ-командам расставить приоритеты при обновлении систем и быстрее закрыть наиболее критичные риски.

Читать далее

Spec-Driven Development на практике: как локальный job-агрегатор живёт без ревьюеров и не ломается

Уровень сложностиСредний
Время на прочтение18 мин
Охват и читатели7.9K

Поиск работы в 2026 году — это инженерная задача, которую все решают вручную. hh.ru перемешивает релевантные роли с шумом: на запрос «Senior PHP» прилетают джуны, фронтендеры и «PHP со знанием 1С». Одна и та же вакансия репостится под разными URL — и отследить, что ты уже откликался на неё месяц назад, практически невозможно. Зарплатные вилки скрыты или указаны в разных форматах. Значительная часть рынка вообще живёт вне hh — в ATS западных компаний (Greenhouse, Ashby, Lever, Workday), на Habr Career, в GetMatch и GeekJob, и у каждого источника свой API и своя схема данных. А поверх всего этого — ИИ по обе стороны воронки: резюме первым читает ATS-скринер, а не человек, рынок захлёстывают массовые AI-отклики, и рекрутёры в ответ закручивают фильтры.

Если декомпозировать задачу честно, получается типовой ETL-конвейер: агрегация из неоднородных источников, нормализация и дедупликация в единую модель, скоринг против резюме, трекинг откликов во времени. Ровно то, что бэкендеры строят на работе, — только над данными о собственном трудоустройстве. Я так и поступил: написал локальный клиент, который агрегирует 41 источник, оценивает каждую вакансию под резюме, ловит репосты, ведёт воронку откликов и разворачивается одной командой. Сервер слушает только loopback — резюме и история откликов не покидают машину.

В статье — разбор архитектуры и решений: фронтенд без сборки и без virtual DOM, два реестра адаптеров с тестами на согласованность, SSRF-защита на DNS-pinning, двухфазный SSE с детерминированным завершением, 13 локалей с RTL, тестовая пирамида из 1543 кейсов и Spec-Driven Development как замена командного ревью для solo-проекта.

Смотреть, как устроено

Принципы безопасности для пакетных репозиториев

Уровень сложностиСредний
Время на прочтение6 мин
Охват и читатели6.5K

Безопасность публичных репозиториев и собственных хранилищ артефактов не теряет своей актуальности с возросшим количеством атак на цепочку поставки. Оценивать важно, оценивать нужно.

В феврале 2024 года в сообществе Open Source Security Foundation (OSSF) были опубликованы Принципы безопасности пакетных репозиториев, которые не потеряли своей актуальности и сегодня.

Команда CodeScoring подготовила перевод и делится с сообществом.

Авторы оригинала: Jack Cable (CISA), Zach Steindler. Предложить улучшения можно в репозитории рабочей группы.

Читать далее

CTF с нуля: что нужно знать, где тренироваться и как не бросить в первый месяц

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели6.9K

CTF для новичка: где начать и почему это проще, чем кажется

Если ты только начинаешь путь в кибербезопасности и слышал про CTF — разберём, что это такое, какие бывают задания, где тренироваться и как сделать первые шаги.

Читать далее...

30 дней из жизни архитектора контента: проверяем теорию практикой

Уровень сложностиПростой
Время на прочтение8 мин
Охват и читатели6.6K

Всем привет!

В прошлой статье я разобрала теоретический фундамент: что входит в обязанности архитектора контента и какие задачи он выполняет. Но любая должностная инструкция меркнет перед реальной практикой, когда теория сталкивается с дедлайнами, правками и живыми бизнес-процессами. 

Сегодня я предлагаю перейти от слов к делу. Я проанализировала работу команды из четырех архитекторов контента за один месяц и подготовила детальный разбор без приукрашивания: покажу, как описанные ранее функции воплощаются в жизнь, к каким результатам пришли за 30 дней. Уверена, что такой отчет позволит вам увидеть реальную ценность архитектора контента для команды и оптимизации рабочих процессов. Запаситесь чашечкой кофе, будет много деталей!

Читать далее

Я адаптировал geo файлы v2ray для OpenWrt: теперь работают все сайты, а размер файлов уменьшен в 1000 раз

Уровень сложностиПростой
Время на прочтение3 мин
Охват и читатели24K

В стандартных клиентах, таких как v2rayN, используются специальные (geo) файлы, которые позволяют проксировать, блокировать трафик, а также пропускать его напрямую в зависимости от домена/IP адреса назначения. Пользователь @runetfreedomсоздал такие файлы для российских пользователей, за что ему большое спасибо. В теории, настроив маршрутизацию с этими файлами один раз, не нужно постоянно включать/выключать VPN или прокси при пользовании интернетом, так как клиент вроде v2rayN проксирует только заблокированные сайты. На практике же...

Читать далее

Ближайшие события

DDoS: от алерта до выбора модели: диагностика DDoS и Always-On vs On-Demand

Уровень сложностиПростой
Время на прочтение13 мин
Охват и читатели11K

Когда на графиках мониторинга появляется аномальный всплеск трафика, ваш первый порыв — сразу врубить фильтры и блокировать всё подозрительное, но на практике именно подобное чаще всего приводит к ошибкам.

На самом деле DDoS-защита начинается не с выбора сервиса и не с настройки правил — она начинается с диагностики. В этой статье мы разберём полный цикл: от момента появления алерта до выбора между Always-On и On-Demand моделями защиты.

Читать далее

Vibe coding без иллюзий: как ИИ ускоряет разработку и ломает безопасность

Уровень сложностиСредний
Время на прочтение11 мин
Охват и читатели9.6K

Разработчики используют GitHub Copilot, Claude Code, Cursor, Codeium, Tabnine, локальные LLM и внутренние AI-агенты не только для генерации тестов или рефакторинга, но и для написания бизнес-логики, инфраструктурного кода, CI/CD-конфигураций, миграций БД и API-контрактов.

Vibe coding действительно ускоряет разработку, но с точки зрения информационной безопасности он меняет саму модель контроля. Организация начинает терять прозрачность в двух критичных точках: какие данные уходят в ИИ-модель, а также откуда взялся сгенерированный код, насколько он безопасен и кто фактически принял инженерное решение.

В этой статье разберём: что ломается в привычной модели DevSecOps при переходе к vibe coding; какие новые риски появляются у AI-сгенерированного кода; почему контролировать нужно не только код, но и все взаимодействия разработчиков и AI-агентов с LLM.

Читать далее

Авторизация по протоколу OAuth 2.0 в интеграциях

Уровень сложностиСредний
Время на прочтение4 мин
Охват и читатели8.2K

В интеграциях с внешними приложениями часто используется протокол OAuth 2.0. В этой статье разбирается практический сценарий: получение access_token, обновление токена, работа с ошибками и использование токена аккаунта для фоновых операций.

Статья будет полезна системным аналитикам и backend-разработчикам, которые проектируют интеграции с внешними API, используют OAuth 2.0 и хотят разобраться в практических сценариях — включая фоновые операции.

Читать далее

Ловля «на живца». Как разместить прикормки для злоумышленников по-суворовски

Время на прочтение17 мин
Охват и читатели9.7K

Привет, Хабр!

В поле нашего зрения попал технический доклад Сурила Десай (Suril Desai), вице-президента Acalvio. Выступление было посвящено тому, как создать «ложные активы» для злоумышленников по-суворовски: не числом, а умением. 

Под катом пересказываем доклад со всеми подробностями и нашими инсайтами — всё, как вы любите. Поехали.

Читать далее

Защита объектов КИИ: инструкция по выживанию для бизнеса

Время на прочтение11 мин
Охват и читатели10K

На счету команды Бастиона — десятки кейсов по защите объектов критической информационной инфраструктуры (КИИ) в самых разных отраслях. И нет, это не реклама. Просто мы замечаем, что участники таких проектов часто наступают на одни и те же грабли. В результате страдают сроки реализации проектов и качество итоговых решений, а компании сталкиваются с рисками ИБ-инцидентов и штрафных санкций от регуляторов.  

В этой статье мы собрали несколько рекомендаций для руководителей, ИБ-специалистов и других участников проектов по защите КИИ, основанных на нашем опыте. Как субъекту КИИ выбрать подходящего интегратора? Как наладить взаимодействие внутри проектной команды, чтобы избежать организационных проблем? Какие технические и юридические нюансы стоит учесть? Ответы — под катом.

Читать далее

AI как новая поверхность атаки: реальные инциденты, мошенничество и уязвимости агентной эпохи

Уровень сложностиСредний
Время на прочтение16 мин
Охват и читатели8K

AI-агенты становятся полезными ровно в тот момент, когда получают доступ к данным, инструментам, браузеру, репозиториям, почте и рабочему контексту. Но именно там AI превращается в новую поверхность атаки.

В этой статье я разбираю не абстрактный “AI-хайп”, а реальные кейсы: дипфейк-кражу $25 млн у Arup, открытую ClickHouse-базу DeepSeek, отзыв токенов Hugging Face Spaces, фишинг через легитимные AI-workspace invites, сбой Replit-агента и исследования вроде EchoLeak и BioShocking.

Главный вопрос не в том, “может ли модель взломать компанию”, а в том, какие права мы уже выдали AI-инструментам и что произойдёт, если недоверенный контент станет инструкцией для агента.

Читать далее

Когда Ethernet обманывает логику отказоустойчивости

Уровень сложностиСложный
Время на прочтение7 мин
Охват и читатели6.6K

Отказоустойчивость в промышленном Ethernet не всегда означает предсказуемость. Даже при рабочем резервировании асимметрия задержек может сбить синхронизацию, исказить расчеты PTP и привести к ошибкам в управлении.

Разбираем, откуда берется эта проблема и как учитывать ее при проектировании сети.

Читать далее