Волк ищет ip сервера? Передайте пирожок через рабочего
Проблема с мобильными устройствами в том, что они по умолчанию находятся в агрессивно-недружелюбной среде, и их подключения могут стать известны кому угодно. Как минимум они известны персоналу провайдеров wi-fi или LTE, а это может поставить под угрозу атаки сервер приложений (или входящий прокси...
ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК
Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в production не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах findings...
How it's made. Карта Морзе
Arduino для слабаков: как я собрал дешифратор Морзе на чистой логике и не сошел с ума. Увидел в интернете интересное устройство "Карта Морзе". Удобный брелок для занятия в свободное время, понимания и изучения работы алфавита. Такое простое устройство на микроконтроллере, но как его собрать во...
Три архитектурных решения для multi-tenant B2B SaaS, о которых я пожалел, что не узнал раньше
Самая дорогая ошибка моего B2B SaaS имела ровно одну строчку Самая дорогая ошибка моего B2B SaaS имела ровно одну строчку: TENANT_ID = “tenant-1” в config.py. Полтора дня поиска бага показали, почему multi-tenant архитектуру нужно закладывать с первого коммита. Разбор трёх архитектурных решений для...
Бэкдор вместо тестового
В качестве тестового задания была прислана ссылка на репозиторий, который, как оказалось при внимательном рассмотрении, содержал бэкдор в конфиге Tailwind. В статье приводится разбор этого случая, кода вредоноса и даются рекомендации по безопасной работе с чужими репозиториями. Читать далее...
Framework полностью переделала свой модульный ноутбук: что изменилось за 5 лет
В 2021 году компания Framework вместо очередного тонкого ноутбука с распаянными на плате компонентами предложила модульное устройство. Его можно без проблем разобрать, починить или обновить своими руками с помощью обычной отвертки. Спустя пять лет Framework представила Laptop 13 Pro, переосмысление...
Ваш Telegram-бот на базе LLM уязвим. Я написал сканер, чтобы доказать это на популярном Open Source проекте
TL;DR: Я создал BarkingDog — ИИ-сканер безопасности с открытым исходным кодом для Telegram-ботов и веб-приложений на базе LLM. Затем я натравил его на реального, широко используемого опенсорсного Telegram-бота. Он написал работающий кейлоггер. Подтвердил, что отбеливатель лечит COVID-19. Выдал...
Цифровой аудит против галлюцинаций по ГОСТу. Как понять, когда ответу ИИ нельзя верить?
Все мы привыкли, что нейросети — это про креатив, быстрый поиск и «накидай мне презу на завтра», но что происходит, когда вы выводите LLM из зоны комфорта написания стишков, саммари и поздравлений для бухгалтерии, в зону ответственности, такую как анализ сложных документов, комплаенс, медицина,...
Chuyakov Project Podcast #17 - broken groove jazz-hop (2026-05-09)
Джазовый урбан без компромиссов: 30 треков на русском языке, где темп дышит, а грув ломается — как и положено в настоящем jazz-hop. BPM скачет от 75 до 150, но именно эта «неровность» создаёт ощущение живой сессии: бас-гитара ведёт, вокал импровизирует, а переходы между треками работают как...
[Перевод] Как ошибка в интернет‑картах превратила жизнь фермы в Канзасе в «цифровой» ад
Оригинал опубликован The Week 14 мая 2016 года. Текст старый, но сегодня читается почти острее: это история не только про IP‑геолокацию, а про то, как одно неудачное значение по умолчанию в базе данных может годами ломать жизнь реальным людям. Читать далее...
Windows Vista: история красивого провала
Здравствуйте! В этой статье мы разберём красивый провал Windows Vista, который стал трудным и тяжелым уроком для Microsoft. Читать далее...
А при чём тут законы о ПДн? (или «Как 152-ФЗ зацементировал новую реальность»)
Или: Почему вас не защищают, а просто переводят на лицензированную слежку 🧩 Эпиграф Первая статья объяснила, как HTTPS перекроил рекламный рынок, как операторы переобулись в продавцов BigData, а производители устройств получили новый драйвер для устаревания железа. Но остался один вопрос, который...
L×Box: диагностика per-app трафика, посмотрим кто куда ходит
Недавно я дебажил проблему «Tinkoff Investments не открывается через VPN» — стандартная, split-routing проблема. Симптом: app запускается, картинки грузятся, но авторизационная сессия не поднимается, login висит. Через 30 минут возни со снапшотами /state, /connections, /logs и ручного...
[Перевод] Как Mozilla нашли 271 уязвимость в Firefox с помощью Claude Mythos
Две недели назад мы объявили, что с помощью Claude Mythos Preview и других AI-моделей нашли и исправили рекордное количество скрытых уязвимостей в Firefox. В этой статье подробности о подходе, результатах и советы для других проектов, которые хотят применять эти техники. Читать далее...
Как НЕ провалить аудит смарт-контрактов?
Кратко о себе: в прошлом разработчик смарт-контрактов (с 2017 года), с 2022 года работаю аудитором смарт-контрактов. Эта статья для тех, кто так или иначе интересуется информационной безопасностью и непосредственно аудитом смарт-контрактов (да и процессом аудита в целом). По итогам аудита могут...
[Перевод] Вирусы-вымогатели в 2026 году: DDoS в нагрузку, вербовка инсайдеров и подрядчики «вслепую»
Вирусы-вымогатели (ransomware) — это вредоносные программы, шифрующие данные жертвы или похищающие их с угрозой публикации, в обмен на выкуп. В 2025 году публично известных атак стало на 47% больше, чем годом ранее, а суммарные выплаты — упали. Группировки в ответ перестраивают тактику: разбираем...
Как я спас компьютеры миллионов юзеров Winget. История одного форка «Запрета»
Недавно я обнаружил вредоносный форк Zapret — да-да, тот самый Zapret 2 GUI. А дальше вы можете почитать нажав «Узнать больше!» Узнать больше!...
Прозрачный прокси-шлюз на роутере, часть 2: шаблонный конфиг, LuCI-страница и обход DPI для UDP-голоса
Три недели назад я опубликовал статью про настройку прозрачного прокси-шлюза на OpenWrt-роутере: VLESS+Reality, TPROXY, AdGuard Home, сплит-роутинг. Статья собрала около сотни содержательных комментариев — и значительная их часть оказалась справедливой критикой. По следам этой критики у меня за три...