Системной подход к сдаче OSWE в 2025
Offensive Security Web Expert (OSWE) – продвинутая сертификация offsec по безопасности WEB приложений. Причем ключевым отличием от менее известного Offensive Security Web Assessor (OSWA) является упор на анализ исходного кода приложения, то есть поиск уязвимостей в формате «белого» ящика....
Как измерить LLM для задач кибербеза: обзор открытых бенчмарков
Привет, Хабр! Меня зовут Андрей Кузнецов, я ML-директор в Positive Technologies. Недавно я решил разобраться, какие бенчмарки измеряют способности языковых моделей в контексте задач кибербезопасности. Думал, что это займет вечер, — увы! Все оказалось куда хаотичнее, чем предполагалось. Поэтому...
Платёжный абсурд: как «забота о гражданах» оборачивается скрытыми налогами и возвратом к наличке
Вместо вступления Представьте: вы приходите в банк, чтобы сменить PIN-код на карте. В России вы открываете приложение, нажимаете две кнопки — и готово. Бесплатно. В Беларуси за ту же операцию с вас могут взять деньги. Не много, но сам факт: смена цифр на пластике — платная услуга. Или выпуск новой...
Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot
Привет, друзья! В начале года на Хабре проходил конкурс Heavy Digital: авторы рассказывали о том, как IT помогают заводам, где «трубы дымят и мужики в куртках бегают». Строительная отрасль – не менее heavy, здесь мужики в касках укладывают бетон и забивают сваи под фундамент. А еще всю проектную...
Как не передать на desktop свой IP в РКН
Недавно выяснилось, что довольно легко на смартфоне (Android) передать IP VPS в РКН с учеом следующих вещей: 1. Многие российские сервисы превращаются в филиалы РКН. 2. Приложение на Android может получить список сетевых интерфейсов на устройстве через NetworkInterface/ConnectivityManager. После...
Анатомия SAP Privileges: как устроено управление правами в macOS
Всем привет! Меня зовут Булат Гафуров, я security-инженер в Яндексе. Сегодня я хочу подробно разобрать, как устроено Privileges — опенсорсное приложение для macOS, которое предназначено для быстрого и удобного управления правами администратора. Мы выясним, как взаимодействуют его компоненты, через...
Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM
Сегодня LLM — модный инструмент, завтра — обязательный компонент инфраструктуры. Мы разберём, какие уязвимости у языковых моделей есть уже сейчас, почему вокруг guardrails формируется целый стек технологий и как разработчикам влиться в эту волну, пока она только набирает высоту Читать далее...
[Перевод] Unitree R1 на AliExpress по цене Mac Pro: что на самом деле скрывается за $8150
Unitree R1 появился на AliExpress за $8150. Разбираем аппаратные характеристики, сроки поставок (июнь 2026) и критичную блокировку SDK, о которой нужно знать разработчикам перед покупкой. Читать далее...
Часть 6: Безопасность и приватность в голосовом управлении — как защитить умный дом от утечек и взломов
От диплома до продакшена. Часть 1: Что я хотел … Часть 2: Техническая реализация … Часть 3: Архитектура нейросети … Часть 4: Обучение и валидация … Часть 5: Интеграция с устройствами … … И ВОТ ТЕПЕРЬ … Если вы используете умный дом: Настройки… Проверьте разрешения приложений Сеть… Включите WPA3 на...
Feed2Mail: Сделать email снова великим (и при чём здесь RSS)
Или: Как я перестал бояться алгоритмов и построил свой «Ноев ковчег» для рассылок на старом добром RSS. 🧩 Пролог: Платформы дарят, платформы отнимают Если вы читали мои предыдущие статьи, этот сценарий вам знаком: Вы годами собираете аудиторию в Telegram. Внезапно — замедление, блокировка, потеря...
Поиск уязвимостей ПО: базовый минимум или роскошный максимум
Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING. Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки...
[Перевод] Как приглашение на вакансию мечты превращается в атаку
Начиналось всё с уведомления, радостного для каждого разработчика: «Вы попали в шорт-лист на вакансию разработчика ИИ». Компания кажется потрясающей — DLMind, «лаборатория инноваций ИИ». Рекрутер выглядит вполне правдоподобным — Tim Morenc, CEDS, с качественным профилем на LinkedIn,...
Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут
Представьте ситуацию: У вас пентест, у вас есть шеллкод, но Windows Defender блокирует любой подозрительный вызов. CreateRemoteThread - детектится. QueueUserAPC - детектится. NtCreateThreadEx - детектится. Что делать? Ответ: не создавать потоки самому, а попросить Windows сделать это за вас!....
Белый маркетинг vs. арбитраж: какое агентство привлекает лиды эффективнее, дешевле и быстрее
Как опыт работы с арбитражем закаляет маркетологов....
Рейтинг Рунета представил изменения в методологии оценки подрядчиков в 2026 году
Не оставляйте всё на последнюю неделю....
Рекламщики больше всех недовольны своими офисами
Согласно исследованию Pridex и Ассоциации менеджеров, средний уровень удовлетворённости составляет 4,9 из 10....
Эра вертикального контента: Видео, комиксы и глянец на смартфоне
Или: Почему TikTok убил горизонтальное видео, а WEBTOON переизобрел журналы, но браузеры всё равно пытаются вас спасти 🎬 Пролог: Диафильмы из детства возвращаются Помните диафильмы? Вы вставляли плёнку в проектор, и картинки сменяли друг друга. Вы сидели и смотрели, листали вперёд, разглядывали...
Три ошибки технаря, который пытается вести за собой
(почему факты, честность и результаты не работают, когда дело касается людей) Вместо вступления Технарь привык, что правда доказывается цифрами. В мире машин, кода и формул это работает: подал напряжение — получил ток. Нажал кнопку — выполнилась команда. Ошибся — система выдала ошибку, и её можно...