Реализация требований и мер обеспечения безопасности персональных данных с помощью автоматизации
Юрий Подгорбунский, Security Vision Начнем с основных определений Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому субъекту персональных данных (далее – ПДн). Информационная система персональных данных – совокупность содержащихся в базах...
Relocation-Based Predicate — врём в IDA по-новому
Базовые механизмы Windows создавались для защиты программ, но сегодня мы заставим их работать против реверс-инженеров. Показываю новую технику обфускации: как с помощью ASLR и таблицы релокаций создать ложную ветку выполнения, которая сейчас остаётся абсолютно невидимой для статических...
librats: Выпуск версии 1.0.x (библиотека для распределённых P2P-приложений). Так же релиз rats-search 2.0.28
Всем привет! Я продолжаю развивать свою библиотеку для создания распределённых приложений, которая уже легла в основу новой версии rats-search (распределённого торрент-поисковика) и, судя по всему, UltraVNC (VNC клиент). Она позволяет развернуть собственную P2P-сеть, связать пользователей между...
Как я инфру в буткемпе на Standoff365 проходил [Infra 1] — [Infra 12]
Изначально хотел написать каждый пост для отдельного задания в инфре, но некоторые задания настолько короткие, что писать там даже особо нечего, тем более подсказки в буткемпе очень сильно облегчают решение. Начнем с первой инфры. Читать далее...
Глава 2.7. Время как ресурс: почему мы тратим его на грили и как этого не делать
Мы разобрали отношения, дружбу, проекции. Теперь перейдём к самому ценному, что у нас есть. К тому, что не купишь, не накопишь, не вернёшь. Ко времени. Самый дорогой ресурс Деньги можно заработать снова. Вещи можно купить новые. Отношения можно восстановить (хотя это сложно). Здоровье можно...
Айсберг дистрибутивов Linux
Попытался структурировать всю эту прекрасную линуксовую фрагментацию и собрал «айсберг» дистрибутивов Читать далее...
Пещера Аладдина для безопасника: 754 навыка для AI-агента и что будет, если использовать их для своего NGFW
Разбираемся с открытой библиотекой Agent Skills для кибербезопасности на 754 навыка, показываем, как она устроена, и проводим живой эксперимент: даём агенту Hermes два навыка и просим разобрать реальный IPS-лог и провести аудит правил файрвола – сначала на бесплатной модели Owl Alpha (из-за того...
Закат эпохи «удобных сотрудников»: как социальная инженерия убивает корпоративную культуру
Забудьте о фишинговых письмах с орфографическими ошибками от «нигерийского принца» из 2010-х. В 2026 году злоумышленники взламывают не серверы, а корпоративные ритуалы и психологию подчинения. Современный хакер душ человеческих больше не взламывает firewall. Он уговаривает вашего сотрудника открыть...
Как превратить один CSV-файл в полноценный сайт для эпохи нейросетевого поиска
Реальный кейс: разработка набора PHP-скриптов для работы с товарными остатками Проблема: есть CSV, а сайта нет Представьте ситуацию: у заказчика есть огромный CSV-файл с товарными остатками запчастей. Десятки тысяч строк. Артикулы, названия, цены, наличие, марки автомобилей. Всё это добро лежит в...
Интеграция «Сканер-ВС» и DefectDojo: парсим HTML-отчеты и автоматизируем импорт
Представим, что после очередного сканирования инфраструктуры сертифицированным сканером вы получили красивый HTML- или PDF-отчет на сотни страниц. Его можно открыть, пролистать, даже отправить кому-нибудь на почту, но вот встроить результаты такого сканирования в рабочий процесс обработки...
Meshtastic + Hidden Lake: анонимный трафик поверх Mesh-сетей
В предыдущих своих работах я писал, что анонимную сеть Hidden Lake можно внедрить в любую систему, где существует возможность отправления и получения сообщений. За счёт такой имплементации появляется возможность использовать выбранную систему для генерации анонимного трафика и скрывать свои...
(Не) безопасный дайджест: отпуск за утечку, кибервундеркинды и разорительный мэтч
По традиции продолжаем делиться необычными и поучительными ИБ-инцидентами. В майской подборке: предприимчивый маркетолог, потерянный токен к GitHub, виртуозная BEC-атака и онлайн-роман, который обошелся компании в сотни тысяч долларов. Читать далее...
ИБ умерла? Разбираем Project Glasswing — как ИИ нашёл тысячи 0-day и что это значит для безопасников
7 апреля 2026 года Anthropic сделала то, чего не делала раньше: опубликовала 244-страничную System Card для модели, которую не собирается выпускать в открытый доступ. Модель называется Claude Mythos Preview. Причина закрытости проста — она умеет автономно ломать программное обеспечение, которым...
Домашний удалённый доступ без панели: эксперимент с Xray, Docker Compose и локальным CLI
Домашний удалённый доступ без панели: эксперимент с Xray, Docker Compose и локальным CLI Самый неприятный момент в маленькой домашней инфраструктуре наступает не тогда, когда она падает. Хуже, когда она начинает работать достаточно хорошо, чтобы ей начали пользоваться другие. Сначала у меня был...
Миссия выполнима: Как подружить Max и E2E
Это статья про небольшой хобби-проект, или как написать очень легковесный клиент для любого приложения с нуля. Идея зародилась, когда весь этот цирк только начинался. Прогревали новый ГОСТ-мессенджер, поливали его чем только можно. В какой-то момент проскочила новость: В Max нет сквозного...
Глава 2.6. Отношения и дружба: как отличить "своего" человека от "гриля"
Мы научились применять наши инструменты к вещам, еде, образованию, карьере. Но самые сложные "покупки" в нашей жизни — это люди, которых мы впускаем в своё пространство. Здесь цена ошибки ещё выше. Неудачный гаджет можно выбросить. Неудачный курс — забыть. А неудачные отношения могут отнять годы,...
Linux: Процессы
Продолжаем серию о Linux. В прошлой части разбирали права доступа, а теперь переходим к одной из самых важных тем в Linux — процессам. Любая программа в системе в конечном итоге существует как процесс: nginx, postgres, docker, sshd, systemd, ваш shell и даже потоки ядра. Понимание того, как...
Web-pentest skill в Hermes Agent: как агент проводит пентест веб-приложений
Разбираем web-pentest skill в Hermes Agent – встроенный навык, который превращает AI-агента в пентестера с методологией «No Exploit, No Report». Прошли весь kill chain на трёх реальных веб-приложениях, потратили 23,5 млн токенов и собрали выводы о том, где у такого подхода реальная ценность, а где...