Бэкдор вместо тестового
В качестве тестового задания была прислана ссылка на репозиторий, который, как оказалось при внимательном рассмотрении, содержал бэкдор в конфиге Tailwind. В статье приводится разбор этого случая, кода вредоноса и даются рекомендации по безопасной работе с чужими репозиториями. Читать далее...
Framework полностью переделала свой модульный ноутбук: что изменилось за 5 лет
В 2021 году компания Framework вместо очередного тонкого ноутбука с распаянными на плате компонентами предложила модульное устройство. Его можно без проблем разобрать, починить или обновить своими руками с помощью обычной отвертки. Спустя пять лет Framework представила Laptop 13 Pro, переосмысление...
Ваш Telegram-бот на базе LLM уязвим. Я написал сканер, чтобы доказать это на популярном Open Source проекте
TL;DR: Я создал BarkingDog — ИИ-сканер безопасности с открытым исходным кодом для Telegram-ботов и веб-приложений на базе LLM. Затем я натравил его на реального, широко используемого опенсорсного Telegram-бота. Он написал работающий кейлоггер. Подтвердил, что отбеливатель лечит COVID-19. Выдал...
Цифровой аудит против галлюцинаций по ГОСТу. Как понять, когда ответу ИИ нельзя верить?
Все мы привыкли, что нейросети — это про креатив, быстрый поиск и «накидай мне презу на завтра», но что происходит, когда вы выводите LLM из зоны комфорта написания стишков, саммари и поздравлений для бухгалтерии, в зону ответственности, такую как анализ сложных документов, комплаенс, медицина,...
Chuyakov Project Podcast #17 - broken groove jazz-hop (2026-05-09)
Джазовый урбан без компромиссов: 30 треков на русском языке, где темп дышит, а грув ломается — как и положено в настоящем jazz-hop. BPM скачет от 75 до 150, но именно эта «неровность» создаёт ощущение живой сессии: бас-гитара ведёт, вокал импровизирует, а переходы между треками работают как...
[Перевод] Как ошибка в интернет‑картах превратила жизнь фермы в Канзасе в «цифровой» ад
Оригинал опубликован The Week 14 мая 2016 года. Текст старый, но сегодня читается почти острее: это история не только про IP‑геолокацию, а про то, как одно неудачное значение по умолчанию в базе данных может годами ломать жизнь реальным людям. Читать далее...
Windows Vista: история красивого провала
Здравствуйте! В этой статье мы разберём красивый провал Windows Vista, который стал трудным и тяжелым уроком для Microsoft. Читать далее...
А при чём тут законы о ПДн? (или «Как 152-ФЗ зацементировал новую реальность»)
Или: Почему вас не защищают, а просто переводят на лицензированную слежку 🧩 Эпиграф Первая статья объяснила, как HTTPS перекроил рекламный рынок, как операторы переобулись в продавцов BigData, а производители устройств получили новый драйвер для устаревания железа. Но остался один вопрос, который...
L×Box: диагностика per-app трафика, посмотрим кто куда ходит
Недавно я дебажил проблему «Tinkoff Investments не открывается через VPN» — стандартная, split-routing проблема. Симптом: app запускается, картинки грузятся, но авторизационная сессия не поднимается, login висит. Через 30 минут возни со снапшотами /state, /connections, /logs и ручного...
[Перевод] Как Mozilla нашли 271 уязвимость в Firefox с помощью Claude Mythos
Две недели назад мы объявили, что с помощью Claude Mythos Preview и других AI-моделей нашли и исправили рекордное количество скрытых уязвимостей в Firefox. В этой статье подробности о подходе, результатах и советы для других проектов, которые хотят применять эти техники. Читать далее...
Как НЕ провалить аудит смарт-контрактов?
Кратко о себе: в прошлом разработчик смарт-контрактов (с 2017 года), с 2022 года работаю аудитором смарт-контрактов. Эта статья для тех, кто так или иначе интересуется информационной безопасностью и непосредственно аудитом смарт-контрактов (да и процессом аудита в целом). По итогам аудита могут...
[Перевод] Вирусы-вымогатели в 2026 году: DDoS в нагрузку, вербовка инсайдеров и подрядчики «вслепую»
Вирусы-вымогатели (ransomware) — это вредоносные программы, шифрующие данные жертвы или похищающие их с угрозой публикации, в обмен на выкуп. В 2025 году публично известных атак стало на 47% больше, чем годом ранее, а суммарные выплаты — упали. Группировки в ответ перестраивают тактику: разбираем...
Как я спас компьютеры миллионов юзеров Winget. История одного форка «Запрета»
Недавно я обнаружил вредоносный форк Zapret — да-да, тот самый Zapret 2 GUI. А дальше вы можете почитать нажав «Узнать больше!» Узнать больше!...
Прозрачный прокси-шлюз на роутере, часть 2: шаблонный конфиг, LuCI-страница и обход DPI для UDP-голоса
Три недели назад я опубликовал статью про настройку прозрачного прокси-шлюза на OpenWrt-роутере: VLESS+Reality, TPROXY, AdGuard Home, сплит-роутинг. Статья собрала около сотни содержательных комментариев — и значительная их часть оказалась справедливой критикой. По следам этой критики у меня за три...
Почему почти вся «защита» глаз от дисплеев — чистый маркетинг
Чуть больше года назад я в очередной раз листал PubMed в поисках интересных исследований по нутрициологии и случайно наткнулся на статью про компьютерные очки. Первой реакцией было что-то вроде: «А что там вообще можно исследовать? Всем же давно понятно, что такие очки защищают глаза от вредного...
Убийца HTTP: Как HTTPS продали как «защиту», но на самом деле перекроили рекламный рынок
Или: Почему ваш браузер ругается на «небезопасный» сайт, хотя никто ничего у вас не крадёт, но ваш старый ноутбук отправляют на свалку 🔓 Пролог: Тот самый баннер, который всё объяснил Помните старую-добрую эпоху, когда вы открывали сайт через мобильный интернет Билайна, а поверх него, прямо поверх,...
Вероятно, последняя попытка сохранить интернет — «СтопЧебурнет»
Разработчик-активист создал Стопчебурнет.рф — сервис для координации обращений к Госдуме по вопросу интернет-блокировок. Мое мнение почему подобные инициативы важнее изобретения «идеального VPN» в статье. Читать далее...
Fail2Ban больше не нужен? Разбираем PerSourcePenalties в OpenSSH на Ubuntu 26.04
Начиная с OpenSSH 9.7, sshd умеет автоматически ограничивать на время подозрительные IP без Fail2Ban и iptables. В Ubuntu 26.04 эта функция уже включена по умолчанию — даже если в sshd_config про неё ничего не написано. Предлагаю попробовать разобраться с тем, как это работает. Disclaimer: статья...
Назад