Blackhole: mock server с ground truth для тестирования black-box сканеров
Выложил Blackhole — Python ASGI mock server для тестирования black-box сканеров, обучения и воспроизводимых бенчмарков. Пока вайбили с Уроборосом родился релиз в другом жанре, о нем ниже. Он offtopic но да простит меня Хабр великий и могучий, не смог удержаться. Читать далее...
Глава: «Экстренный выпуск. Война за ману»
*Формат: Срочный выпуск новостей государственного канала «Россия-24», 23 декабря 2075 года, 19:00* Ведущий: Андрей Романов Прямое включение: военный корреспондент Дмитрий Соколов Эксперт в студии: генерал-майор в отставке Виктор Громов (военный аналитик) Часть 1. Открытие эфира Заставка новостей,...
Почему SAST на правилах не видит 50% уязвимостей: опыт аудита собственной кодовой базы
Я думал, у меня всё чисто. Bandit стоял, правила регулярно обновлялись, pipeline на каждый PR ругался на опасные места. Ну, знаете, как это бывает: где-то что-то подсветит, мы правим, живём дальше, чувствуем себя молодцами, прикрыв тыл статическим анализом. А потом я решил копнуть глубже. Не для...
Продажи через рекламу товарных каталогов выросли в 21 раз
В 2025 году реклама товаров через объект «Товарный каталог» в VK Рекламе принесла рекламодателям в 21 раз больше покупок чем годом ранее....
Как Claude Opus 4.6 спас кандидата от провала: скрытые тесты в PDF и новые правила найма
Работодатель спрятал в PDF с тестовым заданием скрытую инструкцию для ИИ. Claude Opus 4.6 не только отказался ее выполнять, но и предупредил кандидата о ловушке. Разбираемся, как устроена гонка вооружений между HR и соискателями в эпоху LLM. И главное, как проверять такие документы перед работой....
У нас тут крыса: троян Remcos RAT распространяют через фишинговые письма
В начале марта специалисты центра мониторинга и реагирования GSOC компании «Газинформсервис» зафиксировали масштабную фишинговую кампанию: злоумышленники рассылают письма с заражённым Excel-файлом. Он содержит троян удалённого доступа Remcos RAT, позволяющий хакерам действовать от имени легитимного...
В какое время публиковать Reels
Алгоритмическая лента — не повод игнорировать время постинга: исследование LiveDune....
Из 50 осталось 10: кто на самом деле делает NGFW в России, а кто просто об этом говорит
Из 50+ вендоров, заявивших о разработке NGFW после 2022 года, на рынке осталось около 10. На днях выбыл Solar NGFW. Посмотрим кто остался. Читать далее...
TeleMT без докера, но со SNI-роутингом своими руками
В прошедшие выходные меня посетило непреодолимое желание. Желание наконец повысить свой сисадминский скилл. И перестать расстраиваться при отправке фото, а тем более видео в наш любимый мессенжер. Чудесно, что эта реальность так мотивирует к саморазвитию. Недавно на глаза попалась интересная статья...
Глава: «Подполье, или Как не сойти с ума, когда правда страшнее вымысла»
Из блога @SimpleHuman, запись #56 Часть 1. Утро после шторма Я проснулся в семь утра от того, что телефон разрывался от уведомлений. Сначала подумал — очередной мем про Шибанова. Потом присмотрелся. 47 сообщений в закрытом чате. 12 пропущенных звонков от Вероники. 8 — от Пети. И одно от...
Орбитальные дата-центры: Nvidia представила ИИ-модуль Vera Rubin для спутниковых группировок
Компания Nvidia представила платформу Space-1 Vera Rubin для переноса вычислительных мощностей за пределы Земли. Новое оборудование обеспечивает производительность инференса в 25 раз выше, чем у серверных процессоров H100. Платформа уже тестируется шестью коммерческими партнерами, создающими первые...
Как маскировать персональные данные на изображениях: наш эксперимент с OCR и NER
Всем привет! Меня зовут Андрей Иванов, я NLP-исследователь в R&D red_mad_robot. Мы разрабатываем систему Guardrails для защиты персональных данных (PII) и фильтрации небезопасного контента. В этой статье расскажу, как мы решали задачу точечного маскирования PII на картинках без обучения специальных...
В поиске секретов. iOS Пентест. Часть третья
Вас приветствует Ян - старший пентестер из компании Xilant! В этот раз научу вас искать, то что разрабы забывают прячут в приложениях iOS. Возможно мы найдем пароли, личные данные, а может даже и API-ключи от бэкенда, что позволит нам продолжать атаку на следующем уровне. Для этого нам понадобятся...
Атаки на цепочку поставки ПО: виды угроз и как с ними бороться
Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений. В случае с атаками в open source...
MTProto прокси для Telegram на Windows Server + Docker: пошаговое руководство
Большинство руководств по MTProto прокси написаны под Linux. Но что если ваш сервер на Windows? В статье разберём полный цикл настройки приватного MTProto прокси с Fake TLS на Windows Server + Docker: выбор образа, подводные камни (BOM в конфиге, порт 443 и HTTP.sys, флаги которых нет в v2),...
10 миллионов в трубу через дырявый почтовый сервер
Disclaimer: название компании и детали изменены, но ситуация реальная. Пишу не хайпа, ради, а потому что таких историй сейчас становится слишком много. Я работал руководителем ИТ в региональной сети стоматологических клиник: больше двадцати точек, около 250 сотрудников, CRM, 1С, почта, серверы,...
С нуля без шаблонов: как мы создали техподдержку не по канонам ITIL
Мы отказались от формального деления команды на L1, L2 и L3. Разрешили инженерам брать задачи независимо от грейда. Не паникуем, если SLA горит красным. И знаете что? Это работает. У нас в К2Тех есть собственный Центр экспертизы по комплексному сервису, который объединяет все направления...
ShadowTLS: прячем туннель за TLS-рукопожатием
Как протокол заимствует чужое рукопожатие, почему v1 и v2 были дырявыми, что именно в v3 нашёл Aparecium и где у этого подхода архитектурный потолок Большинство прокси-протоколов пытаются выглядеть как HTTPS: генерируют свой сертификат, настраивают TLS, надеются что DPI не присмотрится слишком...