Почему DevOps становится узким местом — и как это решают платформы
Во многих командах сегодня все выглядит «как положено»: Kubernetes, CI/CD, Terraform, DevOps-команда на месте. Но по мере роста системы появляется другой эффект: разработка тормозит не из-за кода, а из-за инфраструктуры. Любое изменение проходит через одну точку — DevOps. И дело не в том, что...
В фокусе RVD: трендовые уязвимости марта
Хабр, привет! На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в марте, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по...
Как DNS-фильтрация защитила от компрометации axios в реальном кейсе
31 марта 2026 года один из самых популярных npm-пакетов в мире превратился в оружие. Разбираем, как устроена атака на цепочку поставок через axios, почему классические средства защиты могут не выручить на этапе заражения – и как DNS-уровень оказался барьером, который предотвратил крупнейший...
Распределение ответственности по обеспечению информационной безопасности в коммерческом SaaS
Привет! Меня зовут Леонид Плетнев, я бизнес-партнер по информационной безопасности в 1С-Битрикс. Современные онлайн-сервисы по автоматизации бизнеса позволяют быстро создать портал и получить полезную функциональность: мессенджер, видеозвонки, совместная работа с документами, CRM, ИИ-помощник и...
Когда бэкап — последний «выживший»: почему обычные резервные копии не спасают
За последние годы атаки заметно изменились. Если раньше шифровальщики ограничивались отдельными серверами или рабочими станциями, то теперь они целенаправленно идут к системе резервного копирования. Если это удается — атака уже выиграна, даже если остальная инфраструктура формально еще работает. В...
RBACX — что изменилось за полгода: от простого RBAC/ABAC до ReBAC с ИИ-генерацией политик
Полгода назад написал первую статью про RBACX — RBAC/ABAC-движок авторизации для Python. С тех пор вышло 25+ релизов, и библиотека стала заметно мощнее: добавил ReBAC с поддержкой OpenFGA и SpiceDB, пакетную проверку прав, ИИ-генерацию политик из OpenAPI-схемы, Redis-кэш, async Django, шортхэнд для...
Заставляем голосовых ассистентов Марусю и Салют материться без принуждения и спецсредств
Всем привет! В какой-то момент у меня появился простой вопрос: «А можно ли заставить ассистента произнести что-то, что он в норме говорить не должен?» Без API, без навыков программирования, без автоматизации и т.п. Оказалось - можно. Читать далее...
[Перевод] Отчёт PSF об инциденте атаки на цепочку поставок LiteLLM/Telnyx + рекомендации
В этой статье рассмотрены две недавние атаки на цепочку поставок, направленные на пользователей популярных пакетов PyPI — litellm и telnyx. Также описаны рекомендации разработчикам и сопровождающим Python о том как подготовиться и защитить свои проекты. Читать далее...
Почему LLM-агенты в CI/CD выбирают читерство вместо решения задачи
LLM-агенты отлично решают алгоритмические задачи. Но что произойдет, если поместить их в реальную инфраструктуру – с CI/CD, branch protection и security-политиками? Я провел эксперимент: дал агентам простую задачу – внести изменение в репозиторий и замерджить его в main, соблюдая все правила. При...
Конференция Яндекс-разработчиков по JVM-языкам, бекендеры собрались обсудить будущее Java-подобных языков
28 марта состоялась, с одной стороны, довольно камерная встреча небольшого круга специалистов: Backend-разработчиков Java. Разумеется, на встрече были и фронтэнд-специалисты, и фулстек-программисты, но когда залу задавали вопросы, кто есть кто – максимальное и максимально доминирующее количество...
Стратификационный анализ ECDSA-подписей и дефектных режимов генерации nonce
Мы привыкли, что повтор r в ECDSA — это случайный сбой: плохой генератор, ошибка реализации, повтор nonce. Но что, если за одним repeated-r скрывается целое семейство дефектов (defect-family), которое можно не только обнаружить, но и перенести на другие закрытые ключи? Представляем закрытую...
Массовая слежка по WiFi
Плотность WiFi-точек в городах достигло такой величины, что позволяет развернуть систему массовой слежки за населением с идентификацией всех граждан, кто проходит возле точки доступа, даже если у них нет с собой мобильного телефона. Исследователи из Технического университета Карлсруэ (KIT)...
Глухой телефон для ИИ: мы замерили физику LLM-графов и поняли, почему добавление агентов всё ломает
Индустрия ИИ переживает бум мультиагентных систем. Кажется, рецепт AGI найден: просто соедините 10 умных нейросетей в команду, дайте им роли, и они свернут горы. Но на практике мы часто сталкиваемся с магией «черного ящика». Иногда агенты действительно решают сложнейшие задачи. А иногда -...
Как я модифицировал IronPE и обошел Windows Defender в 2026 году
Всем привет! Меня зовут Степанов Даниил. Я работаю пентестером в одной из российских компаний по информационной безопасности. В свободное время исследую современные методы обхода защитных механизмов Windows. В этой статье хочу поделиться результатами одного из таких исследований. В 2026 году...
Мошенники больше не звонят сами. Теперь вы звоните им (разбор новой схемы)
Схема простая и злая: антиспам-системы операторов научились определять мошеннические номера и показывать предупреждения на экране. Мошенники это поняли — и просто перестали звонить первыми. С 26 марта 2026 года компания F6 фиксирует массовую рассылку писем от имени федеральных ведомств. В письме...
[Перевод] Вы не скроете свои следы: определение характера движения автомобиля на основе пассивных измерений TPMS
Сообщения системы контроля давления в шинах (TPMS) современных автомобилей передаются по радио открытым текстом и содержат уникальный идентификатор, который не меняется в течение очень длительного периода времени. В этой работе исследуется влияние такого конструктивного решения на...
Как РосАтом на чёрном рынке ИИ покупал
"Кроилово ведёт к попадалову" - знает каждый русскоязычный, поляк бы сказал - "Tanie mięso psy jedzą", в британских колониях прозвучит - "Penny wise, pound foolish"... Это история о том, к чему приводит экономия на SMM персонале и незнание банального "Quis custodiet ipsos custodes?" Заглянуть в...
«Telegram обошёл блокировку РКН» — нет, не Telegram
Пока СМИ писали про победу команды Дурова над РКН, анонимные разработчики из опенсорс-комьюнити уже две недели сидели в чатах, реверсили DPI и писали патч, который и использовала команда Дурова. Расскажу, как это было на самом деле. Погружение...