Linux-телефоны сейчас важнее, чем когда-либо
В октябре 2025 года Фонд свободного ПО (FSF) представил проект Librephone — это будет первый в мире полностью свободный смартфон, абсолютно открытый на уровне ПО и железа. Проект пока находится на этапе идеи. Но эта идея абсолютно правильная и уже нашла поддержку у публики. Читать далее...
Top 10 угроз для Agentic AI
Пока мы обсуждали, prompt injections в LLM, хакеры перешли к атакам на агентные AI-системы. Если обычные LLM-приложения работают по принципу «запрос-ответ», то агентные AI-системы действуют автономно: запоминают информацию между сессиями, самостоятельно выбирают, какие инструменты использовать,...
Ультимативный гайд по защите инфраструктуры от шифровальщиков и вайперов
Наши расследования показывают: в большинстве компаний злоумышленники эксплуатируют один и тот же набор уязвимостей. Эти системные пробелы в безопасности открывают прямой путь для разрушительных атак. Подробно разобрали ошибки защиты и дали рекомендации, как их устранить. Читать далее...
Добавляем паранойи: двойное шифрование секретов
Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный...
Защита доступа к ИС: хватит аутентифицировать по СКУД
За последние годы ассортимент решений по аппаратной аутентификации существенно расширился. На сегодня подавляющее большинство устройств пользователей поддерживают FIDO Passkeys, FIDO WebAuthn и много чего еще интересного, что позволяет по-новому взглянуть на привычную аппаратку. Несмотря на это, в...
Как работает цензура на государственном уровне? Разбираем на примере слитого китайского фаерволла. Часть 1
Мы скачали 500 ГБ утечку из Великого Китайского Файрвола чтобы вам не пришлось и решили их изучить. Разбираемся, как он работает, кого обслуживает и как его обходят. Читать далее...
Самоуничтожение флэш-памяти
Секретные ключи и пароли доступа — самая конфиденциальная и чувствительная к утечке информация. Для максимальной сохранности её можно держать в надёжном хранилище, в зашифрованном виде и/или с разделением секрета по схеме Шамира. На случай транспортировки файлов можно предусмотреть дополнительную...
[Перевод] RedCodeAgent: автоматическая платформа для red-teaming и оценки безопасности code agents
Команда AI for Devs подготовила перевод статьи о RedCodeAgent — первой полностью автоматизированной системе red-teaming для проверки безопасности кодовых агентов. Исследователи из Чикаго, Оксфорда, Беркли и Microsoft Research показали: даже самые продвинутые LLM-агенты могут генерировать и...
Как нейросети крадут данные, сводят пользователей с ума и помогают мошенникам
Глупо отрицать, что нейросети ускорили работу профессионалов. Дизайнеры рисуют картинки за 5-10 минут вместо 2-х часов, редакторы за день собирают воронку постов, а благодаря вайбкодингу непрофессиональные разработчики кое-как, но могут собрать прототип будущего продукта. Только, как это часто...
OWASP Top 10 для LLM: разбор угроз
LLM встраивают в продакшн-системы, но подходят к ним как к обычным библиотекам — подключил API и забыл. Проблема в том, что языковая модель выполняет инструкции из пользовательского ввода, генерирует код, обращается к базам данных. Если не учитывать специфику этих систем, можно получить утечку...
(Не) безопасный дайджест Halloween Edition: страшно халатный подрядчик, ужасно внимательный хакер, совестливый взломщик
Подоспела страшно поучительная и интересная Хэллоуинская подборка ИБ-инцидентов и новостей. Сегодня в программе: сотрудник слил код отечественного ИБ-решения конкурентам, компания потеряла почти 100 млн руб. из-за ошибки сотрудника, а Бразильские мошенники заработали на ИИ-молитвах. Читать далее...
Обзор атак с использованием уязвимостей в TrueConf: разбираем действия хакеров и напоминаем о важности обновлений
Прямо сейчас в отечественном сегменте быстро набирает обороты атака с эксплуатацией цепочки уязвимостей в ПО для видео-конференц-связи TrueConf. Если в вашей компании используется эта программа, срочно идите под кат. Там мы, команды специалистов по форензике центра мониторинга и реагирования на...
ИТ-аутсорсинг или ИТ-отдел? Как выбрать подрядчика и не переплатить
ИТ-отдел или аутсорсинг — объективный расчет, который поможет понять, в какой момент бизнесу выгоднее делегировать ИТ-задачи, чтобы получить больше компетенций за сопоставимые деньги. Эта статья для вас — руководители и владельцы малого и среднего бизнеса, которые просто хотят, чтобы...
Усы, лапы и хвост – вот мои документы
От автора: это еще одна глава из моей книги «Прекрасный, опасный, кибербезопасный мир». Она была написана еще в благодатные доковидные времена, когда мир был совсем другим. Многое изменилось, но базовые вещи относительно безопасности остались те же, так что книжка по‑прежнему неплоха. Ее можно...
Этот WSUS убьёт вашу корпоративную сеть. Разбор CVE-2025-59287
Когда сервис, созданный для обновлений безопасности, становится самой большой уязвимостью — это уже ирония уровня Microsoft. В середине октября стало известно о критическом RCE-баге в WSUS (Windows Server Update Services), получившем CVE-2025-59287 и оценку 9,8 по CVSS. Достаточно лишь доступа к...
ИИ в кибербезе, ИБ-предсказания и обзор изменений в законодательстве: как прошёл бизнес-день форума GIS DAYS. Часть 1
3 октября в Москве в кинотеатре «Октябрь» состоялся бизнес-день форума по ИТ и ИБ GIS DAYS (Global Information Security Days). Форум проходил одновременно в двух залах, каждый из которых обладал насыщенной программой: она включала в себя различные выступления, от защиты искусственного интеллекта и...
Как держать инфраструктуру под присмотром и спать спокойно
Когда все чеки зеленые, а клиентские чаты полыхают — это говорит о том, что где-то команда DevOps свернула не туда. Рассказываем историю о том, как мы устали от лавины алертов и собрали свой инструмент распределенного внешнего мониторинга. В статье делимся «внутрянкой», как все устроено и тем,...
ИБ-подкаст «Под защитой»
Привет, Хабр! Мы тут выпустили информационно-просветительский подкаст «Под защитой», в котором наши эксперты обсуждают актуальные аспекты информационной безопасности. Будет полезен для самой широкой аудитории — не только для ИБ-шников, но и вообще для людей, которые живут и работают в цифре:...