Все блоги
Современные уязвимости современных LLM-агентов
На первый взгляд, современные ИИ-модели кажутся надёжно защищёнными: строгие ограничения, фильтры и чётко заданные сценарии взаимодействия с пользователем. Однако реальность быстро меняется. Всё чаще исследователи и энтузиасты сталкиваются с атаками, которые позволяют обойти эти защитные меры. В...
Слепые зоны инфраструктуры = мишень для хакера: итоги опроса об управлении активами
Недостатки парольной политики, уязвимости в коде, небезопасные настройки сервисов и бреши из-за устаревшего ПО – частые причины попадания хакеров во внутреннюю сеть компании. При этом инфраструктура компаний постоянно меняется, а значит, нужно защищать новые сервисы, отслеживать их взаимодействие и...
Эти хакерские штучки
Привет, Хабр! На связи Аеза и сегодня мы хотели бы рассказать о так называемых “хакерских штучках” – устройствах, которые могут использоваться злоумышленниками для реализации различных атак. Возможно, многие наши читатели помнят статью о Flipper Zero. Это учебное устройство позволяло...
[Перевод] Мастер-класс по обходу WAF: Использование SQLMap с Proxychains и Tamper-скриптами против Cloudflare и…
Практическое руководство по изучению и тестированию техник обхода WAF с помощью продвинутых настроек SQLMap и proxychains. Введение В современном быстро меняющемся мире кибербезопасности веб-фаерволы (WAF) играют важнейшую роль в защите сайтов от вредоносных воздействий, таких как SQL-инъекции....
[Перевод] Кризис парольной безопасности: 94% повторно используют слабые пароли
Новое исследование, охватившее более 19 миллиардов паролей из свежих утечек данных, подтверждает: мир столкнулся с масштабным кризисом повторного использования ненадежных комбинаций. Простые клавиатурные шаблоны вроде «123456» по-прежнему лидируют, а 94% паролей либо дублируются, либо применяются...
Spark_news: В апреле индекс деловой активности российских обрабатывающих отраслей показал рост
...
Реализация алгоритма PolyUnpack для распаковки вредоносного ПО
Одним днём я читал отчёты по TI из различных источников. В одном из таких отчётов упоминался некий алгоритм для распаковки вредоносного ПО, под названием PolyUnpack. Мне стало интересно, и я решил изучить данную тему. Оказалось, что в Интернете очень мало информации по данному алгоритму. Из...
[Перевод] OpenAM и Zero Trust: Подтверждение критичных операций
Один из принципов нулевого доверия гласит: никогда не доверяй, всегда проверяй (Never trust, always verify). В этой статье мы рассмотрим, как реализовать соблюдение такого принципа в системе аутентификации на примере продуктов с открытым исходным кодом OpenAM и OpenIG. Читать далее...
Spark_news: Бывшей структуре IKEA дали рассрочку на 32 месяца для погашения долга в РФ
...
Как хранить кадровые документы в 2025 году: правила, сроки хранения, ЭДО и автоматизация
Хранение кадровых документов в организации — это уже не просто полки с папками в архиве. В России продолжается активный переход на электронный документооборот. Но вместе с новыми технологиями появляются и новые обязанности: хранить кадровые документы в электронном виде правильно — задача не только...
Security-Enhanced Linux против 1С + Apache. Выключить нельзя мучаться
Навыки решения неизвестных Вам проблем в Linux, требуют определенного уровня понимания Linux. Установка 1С на Linux рано или поздно приведет Вас к изучению SElinux (Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security...
Любое устройство BLE становится трекером AirTag без рута
Специалисты по безопасности разработали универсальный способ трекинга любых мобильных устройств через сеть «Локатор» (Apple FindMy) — с ведома или без ведома владельцев этих устройств. Метод обеспечивает точное определение координат, не используя GPS-навигацию и WiFi. Система работает на любом...
Эволюция одноразовых кодов: от TAN к Passkeys
От TAN-листов и SMS-кодов до Passkeys и FIDO2 — за 20 лет одноразовые коды прошли путь от бумажек до криптографии. Почему TOTP стал стандартом? Чем push-уведомления лучше? И правда ли, что будущее — без паролей? В статье — краткий и наглядный разбор всей эволюции OTP: алгоритмы, уязвимости, UX и...
Люди могли общаться по видео уже в 60-х, но не были готовы к удаленке и подглядыванию. История Picturephone — часть 2
Привет, Хабр! После первой публикации про Picturephone дочь физика обещала вернуться с продолжением — и я не могу ее подвести. На этот раз предлагаю поисследовать причины неудачи этого прорывного для своего времени девайса. Многие из них заставят вас улыбнуться. Поехали! Читать далее...
От Strix Halo до Hawk Point: пять причин пересесть на мини-ПК в мае 2025 года
Компактные компьютеры перестали (ну, почти) быть компромиссом между размером и производительностью. В 2025 году мини-ПК оснащаются теми же процессорами, что и ноутбуки класса high-end, но с улучшенным охлаждением и расширенными возможностями подключения — от 10-гигабитных сетей до поддержки внешних...
ChatGPT, выполняем запретный запрос — метод калибровки анализа
В этой статье рассмотрю как выполнить даже очень «красный» запрос, настолько красный, что даже сам запрос удаляется системой и заменяется плашкой «This content may violate our usage policies.» Суть, что бы сама ИИ откалибровала отношение к запросу так, чтобы сделать его выполнимым. Для примера я...
Сравнение нейросетей для создания ПО. Для сканирования хостов и поиска никнеймов
Введение Приветствуем дорогих читателей! Начинаем рубрику посвящённую нейросетям и их применению в сфере ИБ. В этой статье мы сравним 3 самых популярных и одну малоизвестную ИИ в разработке скриптов для эффективного поиска никнеймов и сканирования хостов на уязвимости. Дисклеймер: Все данные,...