Экосистема SeedKey. Или как улучшить беспарольную аутентификацию
Почему беспарольная аутентификация с помощью девайс ключей не так распространена? И почему сайты неохотно внедряют её у себя? В статье мы попытаемся разобраться с ответами на эти вопросы, и я расскажу о моем эксперименте исправить это. Читать далее...
Как «думает» ИИ: гроккаем разреженные автоэнкодеры (SAE)
В этой статье разберём исследование от компании Anthropic, которое демонстрирует практическую возможность вскрытия «черного ящика» больших языковых моделей для обеспечения их контролируемости и безопасности с помощью разреженных автоэнкодеров (SAE - Sparse AutoEncoders). И в конце, попробуем...
CVE-2026-21876: Как найти критический байпас широко использующегося WAF за 3 дня, если лень читать сорсы
Вообще, это мой первый опыт написания статьи на хабре, но с выпуска патча прошло несколько дней, и вдруг я решил поделиться самим процессом исследования. Всем привет, я Daytrift Newgen, и вот моя простая и весьма смешная история обнаружения байпаса от начала исследований до патча и advisory. Читать...
Почему все сканеры и IDS не заменят понимания сети
Статья о том, почему в реальной инфраструктуре знание сетей даёт больше, чем любой набор инструментов безопасности. Про сегментацию, реальные потоки данных и то, почему инструменты часто показывают последствия, а не причины. Читать далее...
Что показали в OWASP Top Ten 2025
Привет, Хабр! Меня зовут Дмитрий Бахтенков. С 2020 я занимаюсь коммерческой разработкой на .NET, а также пишу для медиа «вАЙТИ». В сфере информационной безопасности существует множество уязвимостей, и разработчикам сложно понять, какие из них важнее учитывать при обучении или отладке процессов...
Как Mozilla смогла отключить интернет в Китае
Спустя 2 года закончилась в*йна между Великим Китайским Файрволом (GFW) и Mozilla. История, начавшаяся в апреле 2024-го с тихой блокировки QUIC, к концу 2025 года вылилась в глобальный 74-минутный сбой всего интернета в КНР. В этой статье мы разберем как браузер пытался обойти цензуру, а в итоге...
Топ-10 инструментов для управления лог-файлами в 2026 году
Логи — это летопись жизни любой системы, ведь они фиксируют ключевые события, помогая найти корень проблемы. Но без хороших инструментов для управления журналами работа с ними превращается в хаос. К счастью, для сисадминов уже есть классные решения для сбора, хранения и анализа логов — о некоторых...
Компрометировать изнутри: как фокус хакеров переключился с внешней инфраструктуры на внутреннюю
Уже не первый год команда специалистов по кибербезопасности компании «Анлим», центра компетенций по информационной безопасности, проводит имитированные атаки на IT-инфраструктуры. Такую процедуру еще называют пентестом (от англ. penetration test), она направлена на выявление уязвимостей в защите...
Свой луна-парк с блэкджеком и нейронками: Автоматизация с Flowgate. Часть 2
В первой части мы разобрали теорию работы SNI-прокси и Smart DNS, а также настроили всю систему вручную — от веб-сервера Nginx/Angie и DNS-сервера AdGuard Home/Blocky до защиты Firewall. В конце я упомянул утилиту Flowgate, которая автоматизирует весь этот процесс. Судя по комментариям, у многих...
USB-червь на VBScript: закрепление в системе, контроль процессов и автоматическое заражение флешек
В этой статье — разбор примитивного, но показательного USB-червя, полностью реализованного на VBScript. Несмотря на простоту языка, код демонстрирует полный набор классических техник: закрепление в системе, маскировку, контроль процессов и автоматическое заражение флешек. Читать далее...
Удалённый доступ, AI и социальная инженерия: как сегодня атакуют публичных специалистов
Ещё несколько лет назад вопросы цифровой безопасности ассоциировались в основном с паролями, антивирусами и «не открывать подозрительные письма». Сейчас атака начинается не с техники, а с общения. Не с эксплойта, а с сообщения в мессенджере, с вежливой (или, наоборот, провокационной) просьбы...
Как жёсткие правила сборки релизов упростили жизнь инженерам финтеха
Перевели инфраструктуру Java-разработки высоконагруженного финтеха с SLA 99,99% на доверенный репозиторий компонентов. Это отечественные продукт из экосистемы Axiom JDK. Делимся инженерными деталями этого перехода. Читать далее...
Insane прохождение Hack The Box коробки. Eloquia
Приветствую и приглашаю всех на увлекательное путешествие в мир сложнейшей лабы от Hack The Box этого сезона - Eloquia! Меня зовут Ян, я пентестер с многолетним опытом. Вот мой профайл на HTB. Сегодня я решил поделиться прохождение лабы Insane (высшей) сложности Eloquia. Мне всегда хотелось...
Как придумать надежный пароль и не забыть его
В сети интернет можно увидеть множество советов по тому как составлять пароль, но у каждого есть свои плюсы и минусы, какой-то легко взламывается, какой-то сложно запомнить В этой статье мы разберем все популярные формулы составления пароля, сопоставим их плюсы и минусы и выберем самый лучший....
Кибербезопасность 2025-2026: уязвимое ПО и железо
Хабр, привет! Наша киберёлочка горит, шарики с киберитогами на ней висят, а мы завершаем серию статей историей про уязвимости в железе и программном обеспечении. Ранее мы рассказали про технологические тренды, ланшдшафт киберугроз, расследования и киберразведку, а также прожитый в кибершторме год....
Вайб-администрирование Linux-сервера
Чем заняться в праздники, как не интересными экспериментами. На днях у меня случилась спонтанная покупка аренда зарубежного сервера. Пока еще могу себе позволить потратить несколько сотен рублей на такое. ) За прошедший год с разных сторон я многократно слышал "ты же айтишник, чего не развернешь...
[Перевод] Как взломать систему банка с помощью газового баллончика и выключенного принтера
802.1x и двери по картам — это должно быть надёжно. Пентестер зашёл в банк ночью, «обманул» ИК-датчик баллончиком, стал принтером в сети и нашёл заполненные чеки. Это не теория. Это отчёт по реальному тесту на проникновение. Читать далее...
Эволюция морали: чему биология может научить разработчиков AGI
Современные подходы к безопасности ИИ часто сводятся к внешним запретам и попыткам заставить системы выглядеть «этичными». Однако системный анализ и опыт биологической эволюции указывают на то, что подобные методы прямого ограничения могут оказаться неэффективными при масштабировании систем до...