[Перевод] Mythos «обнаружил» CVE, уже находящийся в его обучающих данных, но это всё равно тревожит
Anthropic попала в заголовки прессы, заявив, что Claude Mythos создала «первый удалённый эксплойт ядра, обнаруженный и использованный ИИ». Мы решили изучить, как ей это удалось, и нашли 20-летний баг, скрывавшийся на ровном месте. Давайте разберёмся, что, по нашему мнению, сделала Mythos, и что это...
Защита мобильных устройств по 117 приказу ФСТЭК России: как читать документ и не терять волю к жизни
Привет, Хабр! Мы вернулись через четыре года. Зимой мы уже отметились в блоге Samsung статьёй для тех, кто думает сделать свой MDM. Теперь решили возродить свой блог. Пока на три месяца, а дальше посмотрим. Мы всегда стараемся доходчиво объяснять сложные вещи, и поэтому начать вторую жизнь нашего...
Linux: Права доступа
Продолжаем серию рубрики Linux. В прошлой серии разобрали пользователей и группы – UID, GID, /etc/passwd. Теперь разберём что ядро делает с этими числами когда процесс пытается открыть файл или войти в директорию. Про права доступа легко выучить команды – chmod 755, chown user file – но не понимать...
Клод снёс человеку бизнес — это чья проблема?
Я вот что думаю, это все напоминает анекдот про бекапы: – У меня две новости: хорошая и плохая. – Давай хорошую. – Хорошая – у нас были самые регулярные и восстановимые бекапы. – А плохая? – Плохая – бекапы были на почившем сервере. Но тема с ллмками куда шире, как и предполагалось, – это не одно...
Более половины рекламных агентств опасаются использовать новые рекламные инструменты
В перспективе рынок ожидает дальнейшее усиление роли новых инструментов....
Надежный фейс-контроль: как прикрутить MFA к веб-сервису через Nginx и OAuth2 Proxy
Подключить MFA к современному веб-приложению обычно несложно: достаточно подключить SAML или OIDC на стороне самого приложения и включить второй фактор на Identity Provider. Проблемы начинаются там, где сервис не умеет ни в SAML, ни в OIDC, а переписывать его рискованно, дорого или попросту некому....
Как сделать ИИ-агентов безопасными? Разбор архитектуры безопасности агентского ИИ от OpenAI
Когда агент может сам читать репозитории, выполнять shell-команды и взаимодействовать с инструментами разработки, возникает закономерный вопрос: как обеспечить информ.безопасность? OpenAI опубликовали подробности о том, как они сами у себя внутри работают с агентами. Разберём по частям. Что такое...
Безопасный аутсорсинг: предоставь доступ в ИТ-инфраструктуру так, чтобы не было стыдно
Аутсорсинг - передача компанией на основании договора части своих задач или функций другой компании, действующей в нужной области. Например, на аутсорсинг могут быть переданы такие функции, как ведение бухгалтерского учёта, уборка помещений, рекламные услуги, транспортные услуги, внедрение и...
Наливатор произносит тост «за Родину» и поможет поддержать дружественный разговор в компании, заинтересовать подружку
Почему домашний бар перестал быть просто набором бутылок и как сегодня можно пересмотреть актуальность DIY-наливаторов Людей уже так давно подсадили на кофе, что даже пришельцами-червями из Людей в Черном никого не удивишь. Наш организм пропитан этим экстрактом кофейных семян настолько, что в...
Идеальная кибердиктатура: как на самом деле устроен интранет в КНДР
Что общего между рекламой гольфа, 15 годами лагерей за просмотр мыльной оперы и миллиардами украденной крипты из дешевого китайского отеля? Сегодня мы препарируем самую параноидальную сеть на планете — интранет Северной Кореи. Читать далее...
Как работает антибот в мобильном приложении Wildberries
Привет, Хабр! Меня зовут Денис Ульянов, я уже 12 лет в IT и последние полтора года руковожу командой Antibot в Wildberries. До работы в WB я три года был на тёмной стороне и занимался продуктами по сбору данных из открытых источников. Нейтрально намекаю на парсеры :) Должен признать, этот опыт...
Совместная работа с документами без облаков — миф или реальность?
Безопасность не должна душить рабочие процессы, но в закрытых сетях совместное редактирование документов часто превращается в инфраструктурный ад. Почему вендоры заставляют нас покупать тяжелое серверное ПО ради базовой функции? В этой статье разберем, как реализовать бесшовную командную работу в...
Включаем EPA в FreeTDS и go-mssqldb: приключение на 5 минут
Представьте: вы теряете контроль над SCCM — одним из самых критичных инструментов управления инфраструктурой. А точкой входа становится обычное подключение к MSSQL, где он хранит свои данные. Злоумышленник перехватывает NTLM-аутентификацию и перенаправляет её на нужный сервер — так работает NTLM...
Снова GitHub Actions: разбираем масштабную атаку на TanStack, 84 пакета под угрозой
Команда Socket Threat Research обнаружила компрометацию 84 npm-пакетов в пространстве @tanstack: в них внедрили вредоносный имплант Mini Shai-Hulud, нацеленный на кражу учётных данных и секретов из CI/CD-сред, включая GitHub Actions. Атака особенно опасна тем, что вредонос автоматически запускается...
MFA для VPN в UserGate NGFW: как поднять удаленный доступ для Windows и macOS
MFA для VPN в UserGate — штука полезная: никакого RADIUS, без дополнительных лицензий, всё — из коробки. Одна проблема: фирменный клиент есть только под Linux. При этом еще далеко не все российские компании целиком перешли на отечественные ОС. Конечно, можно дождаться, пока вендор выпустит клиент...
OpenAI представила Daybreak: связка GPT-5.5 и Codex для поиска уязвимостей и автоматического патчинга
OpenAI анонсировала Daybreak — связку GPT-5.5 и Codex для defense-команд: автоматический поиск уязвимостей, валидация в sandbox и one-click патчи через Codex. Три уровня доступа, верхний тир (GPT-5.5-Cyber для пентеста и red team) — только по верификации; с 1 июня 2026 потребуется...
Как исчезнуть из интернета, чтобы вас не смогли найти
Когда говорят про анонимность в интернете, тема быстро уезжает куда-то не туда. Одни сразу вспоминают криминал, другие начинают спорить про VPN, Tor и «мне нечего скрывать». В итоге нормальный бытовой вопрос теряется. Собрать информацию об обычном человеке можно за считанные минуты, а о более...
[Перевод] Взлом всей сети через крышу. История одного физического пентеста
Привет! С вами пентестер Ян. В этот раз я хочу поделиться с вами своим авторским переводом рассказа от компании Dark Wolf (оригинал тут). Для тех кто не знает, физический пентест или как его еще называют RedTeam - это особая разновидность пентеста при котором разрешено атаковать не только...