Meshtastic + Hidden Lake: анонимный трафик поверх Mesh-сетей
В предыдущих своих работах я писал, что анонимную сеть Hidden Lake можно внедрить в любую систему, где существует возможность отправления и получения сообщений. За счёт такой имплементации появляется возможность использовать выбранную систему для генерации анонимного трафика и скрывать свои...
(Не) безопасный дайджест: отпуск за утечку, кибервундеркинды и разорительный мэтч
По традиции продолжаем делиться необычными и поучительными ИБ-инцидентами. В майской подборке: предприимчивый маркетолог, потерянный токен к GitHub, виртуозная BEC-атака и онлайн-роман, который обошелся компании в сотни тысяч долларов. Читать далее...
ИБ умерла? Разбираем Project Glasswing — как ИИ нашёл тысячи 0-day и что это значит для безопасников
7 апреля 2026 года Anthropic сделала то, чего не делала раньше: опубликовала 244-страничную System Card для модели, которую не собирается выпускать в открытый доступ. Модель называется Claude Mythos Preview. Причина закрытости проста — она умеет автономно ломать программное обеспечение, которым...
Домашний удалённый доступ без панели: эксперимент с Xray, Docker Compose и локальным CLI
Домашний удалённый доступ без панели: эксперимент с Xray, Docker Compose и локальным CLI Самый неприятный момент в маленькой домашней инфраструктуре наступает не тогда, когда она падает. Хуже, когда она начинает работать достаточно хорошо, чтобы ей начали пользоваться другие. Сначала у меня был...
Миссия выполнима: Как подружить Max и E2E
Это статья про небольшой хобби-проект, или как написать очень легковесный клиент для любого приложения с нуля. Идея зародилась, когда весь этот цирк только начинался. Прогревали новый ГОСТ-мессенджер, поливали его чем только можно. В какой-то момент проскочила новость: В Max нет сквозного...
Linux: Процессы
Продолжаем серию о Linux. В прошлой части разбирали права доступа, а теперь переходим к одной из самых важных тем в Linux — процессам. Любая программа в системе в конечном итоге существует как процесс: nginx, postgres, docker, sshd, systemd, ваш shell и даже потоки ядра. Понимание того, как...
Web-pentest skill в Hermes Agent: как агент проводит пентест веб-приложений
Разбираем web-pentest skill в Hermes Agent – встроенный навык, который превращает AI-агента в пентестера с методологией «No Exploit, No Report». Прошли весь kill chain на трёх реальных веб-приложениях, потратили 23,5 млн токенов и собрали выводы о том, где у такого подхода реальная ценность, а где...
На какую роль вы нанимаете AI?
История создания мультиагентной AI-системы, которая управляет корпоративной ИТ-инфраструктурой: следит за системами мониторинга, восстанавливает сервисы, разбирает security-алерты и понимает естественный язык. Пятница, 18:30. Соседние башни в одном бизнес-центре. Примерно на одном уровне в своих...
OSINT для ленивых. Заметки на полях. OSINT как дисциплина целевого анализа и оценки
В современных условиях, когда технологии стремительно развиваются, а кризисные явления расширяются или перемещаются на все на новые территории, аналитики все чаще пользуются тем, что их предшественники назвали бы нетрадиционными средствами. Особенно учитывая, тот факт, что и лицо кризисов меняется...
Армагеддон в миниатюре: DC-1 WriteUp
Сегодня у нас на обзоре занимательная машинка от Vulnhub: DC-1 от автора DCAU. По ощущениям предназначена для уровня Beginner/Intermediate, хотя сам автор сложность не указал. Машина отличается нестандартными флагами - всего их раскидано пять, хотя интересен лишь один рут-флаг, остальные - просто...
Как НМИЦК им. Е.И. Чазова отслеживает риски сердечно‑сосудистых заболеваний: от ручной работы к инструменту на базе ИИ
Острый коронарный синдром (ОКС) — наиболее рисковая форма ишемической болезни сердца. Пациенты, которые перенесли ОКС, попадают в группу крайне высокого риска последующих сердечно‑сосудистых осложнений. Смертность в этой категории больных составляет до 20% в течение 4 лет. НМИЦ кардиологии им. ак....
Удаляем фон и замазываем лица прямо в браузере: ONNX Runtime, MediaPipe и грабли Service Worker
TL;DR. Две нейросетевые задачи — удаление фона (ONNX Runtime Web + модель silueta) и замазывание лиц (MediaPipe Tasks Vision + BlazeFace) — запущены полностью на клиенте: ни один пиксель не уходит на сервер. Ниже — почему «в браузере», какие модели выбраны и почему, как тянуть 43-мегабайтную модель...
Спросите эксперта: всё о безопасности контейнеров и DevSecOps
Привет, Хабр! Контейнеризация уже давно стала стандартом де-факто для современной разработки. Но вместе со скоростью и гибкостью Kubernetes и Docker принесли и новые головные боли для команд безопасности. Как защитить то, что живет всего несколько часов? Как внедрить DevSecOps и не свести с ума...
«РБПО для бедных»: сказ о том, как стартап безопасность прикручивал
Сказка — ложь, да в ней намек, разработчикам урок. В некотором опенспейсе, в некотором коворкинге завелся один стартап. С кофе-машиной, горящими дедлайнами и вечными созвонами. Решили там сделать ПОшечку невиданную — чтобы пользователи радовались, инвесторы кивали одобрительно, а деньги сами шли в...
Постанализ юзкейсов, или Как спроектировать непрерывную ABAC-авторизацию UI и API. Часть 1
Замечаете, что безопасность становится важнейшим атрибутом качества современных систем. А знакомы ли вы с концепцией Zero Trust? Не упустили ли вы момент перехода к непрерывной проверке безопасности? А значит уже сегодня нужно уметь оценивать влияние требований авторизации на UI и API, дизайн...
[Перевод] Законы Паркинсона в кибербезопасности ИИ: Шесть угроз системного отказа в автономных системах безопасности
Искусственный интеллект — это не просто еще один технологический слой. Это технология общего назначения, которая открывает новые возможности для операционной деятельности. Сегодня, по мере того как предприятия интегрируют машинное обучение, генеративный ИИ и агентную оркестрацию в свои процессы,...
Технический английский для security engineer: База о том как писать, говорить и проходить интервью
У многих IT/security-специалистов английский ассоциируется с чем-то огромным и неприятным: времена, артикли, неправильные глаголы, идеальное произношение, “надо сначала подтянуть уровень, а потом уже пробовать”. И так по кругу, до бесконечности, их идеал - недостижим, а реальный английский - это...
Чему учить техлидов: как мы прокачали инженерам навыки управления
Хотим рассказать, как провели обучение для наших техлидов: нужно было дополнить их инженерные компетенции базовыми навыками управления, чтобы эффективней выстраивать комплексную кибербезопасность на крупных интеграционных проектах. Программу придумали сами, опираясь на реальный опыт и процессы, а...