SSH как корпоративный L3-туннель: когда классические VPN-протоколы больше не работают
В последние годы для команд, которые работают с зарубежной инфраструктурой из России, обычный корпоративный VPN перестал быть чем-то, что можно один раз настроить и забыть. OpenVPN, WireGuard, IPsec, различные TLS- и QUIC-обёртки могут работать стабильно месяцами, а потом внезапно начать...
[Перевод] Введение в микроядро Sel4
Предлагаю вашему вниманию перевод seL4 Whitepaper, который является хорошим введением в одно из самых известных микроядер для ОС — seL4 (лицензия GPLv2). Здесь не только специфика seL4 и микроядер, но и много полезного материала в целом по безопасности, формальной верификации, виртуализации и...
[Перевод] Часы из вольтметра. Версия 2026
Нашли в сети статью одного автора о том, как он усовершенствовал свою версию часов из вольтметра — перевели её для вас. В далёком 2019 году я собрал свои первые простые часы с вольтметром. Как вы поняли из названия, в этих часах для отображения времени используются аналоговые вольтметры, а не...
Наука защищать: рекомендации по харденингу критически важного сегмента ИТ-инфраструктуры
В традиционном понимании бизнеса критически важным сегментом ИТ-инфраструктуры считаются системы, напрямую обеспечивающие непрерывность бизнес-процессов и финансовую результативность компании. Однако с позиции информационной безопасности приоритеты принципиально иные: по-настоящему критический...
Как мы построили CRM для рассылок с нуля, чтобы вернуть контроль над персональными данными
Привет, Хабр! Меня зовут Алексей Постригайло, я старший партнер ИТ-интегратора “Энсайн”. Больше 20 лет я занимаюсь системной интеграцией и управлением проектами. Сегодня хочу поделиться историей одного проекта, который начался с, казалось бы, рутинной задачи — рассылки. Но, как это часто бывает,...
Исследование .NET: от DnSpy к IDA Pro
Что мы обычно представляем под исследованием бинарных файлов .NET? Обычно все просто: открываешь сборку в DnSpy или ILSpy, получаешь очень близкий к исходнику C# (может и не очень близкий, а обфусцированный) и дальше уже думаешь не про восстановление логики, а про анализ исходного кода — даже не...
Разобрал фишинг MAX, собрал в нём своего AI-секретаря. Гайд: Claw Bot + MCP
Месяц назад мне в личку прислали фишинговую ссылку под MAX. Разобрал её, попутно вынес устройство протокола: опкоды, формат фрейма, флаги push-подписки, антибот-эвристики. Через две недели применил это знание к мирной задаче: собрал в том же мессенджере своего AI-секретаря, который пишет первым...
Bus factor = 1: 22 критичные для индустрии библиотеки, которые держатся на одном человеке
Где-то прямо сейчас один программист не спит и патчит баг в библиотеке, от которой зависит половина интернета. Он делает это бесплатно. Его никто не знает. Если он уйдёт — никто не придёт. Это история про структурную уязвимость, которую мы все создали вместе и продолжаем игнорировать. Читать далее...
Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству
Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStack Цепочка поставок как вектор атаки 11 мая 2026 года, в промежутке с 19:20 до 19:26 UTC, произошло одно из наиболее технически изощрённых событий в истории атак на цепочку поставок npm. Группировка TeamPCP опубликовала 84...
mTLS на практике: от модели угроз до реальных атак на сервер
Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать...
Как Flutter поймал MITM
Итак, погрузимся в прошлое, помянем конец октября 2023 года. При обновлении Flutter до версии 3.13.8 после запуска flutter doctor я получил неожиданное предупреждение: Читать далее...
9 секунд и нет production-базы. Разбор трёх провалов AI-агентов в проде
25 апреля 2026, пятница вечером. Jer Crane, основатель PocketOS, смотрит, как AI-агент Cursor удаляет его production-базу. Со всеми бэкапами. За 9 секунд. Потом Jer спрашивает у агента — почему? И получает дословное признание: «I guessed instead of verifying. I violated every principle I was...
AI-пентестер: охотник или добыча
К весне 2026 года картинка стала почти ритуальной. XBOW занял первое место на HackerOne, обогнав тысячи живых багхантеров, и в марте закрыл Series C на сто двадцать миллионов долларов с интеграцией в Microsoft Security Copilot. Anthropic Mythos Preview в системной карте отчитывается о тысячах...
[Перевод] Изнурительно подробное руководство по SSH (лишь те аспекты, которые я нахожу полезными)
О, вам нравится SSH? А перечислите-ка все флаги! Приветствую Все мы видели эти красивые схемы, демонстрирующие, как в SSH устроен проброс портов. Но, если мы с вами мыслим хотя бы немного схоже, то эти схемы оставляют у вас больше вопросов, чем дают ответов. Если вы за «красных» в области...
Сибирскому провайдеру погрозили пальцем за утечку данных десятков тысяч пользователей
Группа компаний "Орион" (более известная под маркой "Орион Телеком") - крупный провайдер услуг интернета, телевидения и телефонии в Сибири. Компании группы используют единую сетевую и серверную инфраструктуру. 30.07.2025 г. на сайте Орион Телекома появилось объявление о возможной утечке...
Безопасность GitHub Actions: модель угроз, атаки и меры защиты. Часть 1
GitHub Actions давно стал одной из самых опасных точек в supply chain. Ошибка в workflow может открыть доступ к секретам, токенам и инфраструктуре — именно так развивались атаки на tj-actions, Ultralytics и Trivy. В статье разберем, как работают уязвимости вокруг pull_request_target, expression...
GDDRHammer и GeForge— анатомия атак, превративших видеопамять в оружие
Существует множество программных угроз для систем ИИ. Но я расскажу о GDDRHammer — атаке на аппаратную часть. Разберу эту атаку до винтика, то есть покажу, как она реализуется на физическом уровне, и сравню с атакой GeForge того же класса. Читать далее...
[Перевод] YellowKey: zero-day эксплойт полностью обходит стандартную защиту BitLocker в Windows 11
Тридцать секунд, USB-флешка и зажатая клавиша Ctrl — этого достаточно, чтобы превратить «надёжно зашифрованный» корпоративный ноутбук в открытую книгу. Никакого подбора паролей, никаких хитрых атак на TPM — просто папка с подозрительным именем и среда восстановления Windows, любезно открывающая...