Что если… (безумные идеи хранения данных)
... писать без транзакций? ... сохранять без кворума? ... стирать прод без бэкапов? ... сливать базу самому? И всё это безопасно, надёжно, доступно! Хочу эти грибы!...
Плюсы, минусы и конкуренты NGFW UserGate в 2025 году
Привет, Хабр! Я Александр из OXYGEN Data Centers and Clouds. В статье ниже рассказываю про NGFW (Next-Generation Firewall) UserGate: как и почему это решение стало практически единственным на российском рынке NGFW и как живется нам с UserGate в 2025 году. Поговорим отдельно про плюсы и минусы: что...
Киберполигон STF Bank. Атакуем СБП по-настоящему: вендорское ПО, реальные уязвимости и ваша красная кнопка
Как выглядит реалистичная банковская среда для тренировок по кибербезопасности? На полигоне Standoff мы развернули инфраструктуру с платежным хабом и адаптером для подключения к системе быстрых платежей, которые были предоставлены компанией eKassir. Участники отрабатывают реализацию критических...
Просмотр скрытых листов в Google Sheets
Хотите узнать содержимое скрытого листа в Google Таблицах? Тут про реальную уязвимость, которая позволяет получить данные из скрытых листов даже с правами «Только просмотр». Google утверждает, что «скрытые листы — не для безопасности», а значит, никто не застрахован от неожиданного «инсайда»....
Реальное время под контролем: как мониторинг и прерывание сессий защищают инфраструктуру от угроз
Какую пользу имеет безупречная видеозапись ограбления, если похищенное уже невозможно вернуть? Эта аналогия отчасти применима и к контролю действий в IT-инфраструктуре. Дмитрий Федоров, пресейл-аналитик Solar SafeInspect ГК Солар, подчеркивает, что анализ записей сессий – базовый и важнейший...
[Перевод] Создание AI-агента для автоматизации пентеста
Учимся создавать агентов для пентеста с использованием React агента от LangGraph. Моя цель — создать AI-агентов, которые помогут автоматизировать часть задач, выполняемых в рамках пентеста. Для стартового проекта я решил создать агента, который умеет анализировать JavaScript файлы, находить скрытые...
Изучая DevSecOps: подборка руководств и книг
Мы собрали открытые книги и статьи ведущих экспертов по кибербезопасности, а также руководства для желающих погрузиться в DevSecOps. Материалы из подборки расскажут, какие ИБ-практики можно называть самыми неэффективными и с чего начать защиту облачных решений. И напомним, что у нас есть открытый...
Автоматизация без риска: как уберечь данные в АИС
Привет! Я Антон, инженер по информационной безопасности в Selectel. Под катом расскажу, как устроены автоматизированные системы, каким угрозам подвержены и какие меры действительно помогают защитить данные. Читать далее...
TorusCSIDH: постквантовая криптография для Bitcoin уже сегодня
Мы представляем TorusCSIDH — полностью реализуемую постквантовую криптосистему на основе изогений суперсингулярных кривых. Она совместима с Bitcoin, не требует хардфорка и защищена не только алгеброй, но и оригинальным геометрическим критерием, основанным на структуре графа изогений. Читать далее...
161-ФЗ: как работает и попытки выбраться из цифрового концлагеря
Это продолжение статей «161-ФЗ и апелляция на Bybit: как я победил треугола» и «Блеск и ад p2p-торговли на Bybit». В этой статье герой интервью расскажет о конкретных деталях работы 161‑ФЗ на практике, о том, как он живёт под его действием и как пытается выбраться из-под него. Читать далее...
TorusCSIDH: постквантовый аналог ECDSA с топологическим критерием безопасности
До недавнего времени криптографическая безопасность оценивалась через эмпирические тесты: проверка на устойчивость к известным атакам, статистический анализ случайности и т.д. Однако такой подход имеет фундаментальный недостаток — он может подтвердить наличие уязвимости, но не может доказать...
Bug2Lab превращаем баги с помощью AI в образование в CyberSec
Современное образование безопасной разработке выглядит крайне уныло: Баги старых годов оторванные от реальности, лабораторные на которые везде можно найти прохождение. Уявзимости появляются крайне быстро а делать под них стенды крайне дорого и долго. Сегодня расскажу как решаем эту проблему Читать...
TorusCSIDH: Постквантовая криптография через призму топологического анализа
TorusCSIDH (Topological Commutative Supersingular Isogeny Diffie-Hellman) — это принципиально новая постквантовая криптографическая система, где безопасность определяется топологическими инвариантами. В отличие от классических систем, где безопасность основана на вычислительной сложности,...
Как обмануть дактилоскопию: травмы, химия, взлом
Некоторое время назад на Reddit завирусилась эта фотография. Это сравнение пальца шимпанзе и пальца человека. Она подтверждает, что отпечатки пальцев – наше древнее эволюционное приобретение. Узоры на пальцах действительно являются уникальным биометрическим идентификатором не только у человека, но...
Вайб-кодинг уязвимостей или как AI роняет безопасность
Писать код с LLM — очень легко, просто и весело. Не нужно мучаться с документацией, не нужно фиксить баги. Вообще ничего не нужно. Только инструкцию в чат написать. Раз-два — и всё готово. Заманчиво? Да. Но у всего есть цена — и про неё важно помнить. Сейчас разберём, как именно AI-агенты могут...
[Перевод] Использование ротации IP адресов для обхода лимитов отправки одноразовых паролей (OTP) в приложении на Flutter
Исследователи информационной безопасности и охотники за багами часто сталкиваются с трудностью перехвата трафика приложений на Flutter, поскольку эта технология не поддерживает системные настройки прокси. В данном материале я расскажу, каким образом я обошел данное ограничение. Название приложения...
Как отследить по никнейму? Создаем личный OSINT-комбайн на основе Google Sheets
Всем привет! Сегодня мы поговорим о том, как использовать Google Таблицы в одной из фундаментальных задач в OSINT — поиск по никнейму. Как вы уже знаете, Google Таблицы — это мощный инструмент, который допускает гибкую настройку под широкий спектр задач. С его помощью мы можем автоматизировать и...
Результаты опроса ко дню программиста
Привет! Ко дню программиста мы предлагали вам пройти небольшой ИБ-опрос. Целиком форму заполнили 106 человек, теперь же, как обещали — сводная статистика. Читать далее...