Хакинг бытовой техники: от реверса стиралки к созданию открытого сервисного ПО
«Однажды у нашей старенькой стиралки где-то нарушилась логика, и она решила, что отжим нам не нужен. Вопреки нашим ожиданиям, вместо полусухих вещей мы получили мокрые». С этой поломки началось исследование Северина фон Внук-Липински и Хайо Нёренберга, в ходе которого они им удалось восстановить...
Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust
Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust По данным «Солара», в 2026 году продолжится рост кибератак на привилегированные учетные записи. Скомпрометировав их, злоумышленники действуют внутри сети как легитимные администраторы. В таком случае традиционная модель...
Выбор кластеризации Active-Passive или Active-Active при обеспечении отказоустойчивости периметрального NGFW
В процессе своей трудовой деятельности, начиная от заместителя руководителя по ИТ в крупной образовательной организации и заканчивая ведущим инженером одной из компаний РФ, стоящих на острие современных решений кибербезопасности – меня всегда озадачивал вопрос отказоустойчивости периметрального...
Скайнет нанимает фрилансеров: как ИИ-агенты начали покупать человеческий труд через API
Представьте себе мир, в котором искусственный интеллект не просто генерирует текст или пишет код, но и выступает в роли полноценного работодателя, нанимая живых людей для выполнения задач в реальном мире. Звучит как завязка киберпанк-романа, однако это уже стало нашей реальностью благодаря...
Мошенники позвонили моему ИИ-деду. Он продержал их 31 минуту и записал всё
Мой ИИ-дед продержал мошенника на линии 31 минуту. Диктовал номер партбилета вместо карты, уходил кормить кота, вспоминал молоко по 28 копеек — и ни разу не сказал «нет». Мошенник орал, матерился и бросил трубку. Геннадий Петрович так и не нашёл очки. Под катом — как собрать такого деда из Whisper...
Продвинутое использование RPC в Windows
Эта статья появилась как следствие моего желания к обобщению опыта, полученного при изучении внутреннего строения подсистемы работы с RPC в Windows. В течение множества лет я сначала работал с COM/DCOM, создавал кастомные сервера и клиенты, которые использовали эти технологии. При этом вся работа с...
Потрошим расширения VS Code: как XSS превращается в кражу ваших SSH-ключей
Многие привыкли считать, что VS Code — это просто текстовый редактор. Но «под капотом» у нас старый добрый Electron со всеми вытекающими. Если расширение имеет доступ к файловой системе, а вы открываете в нём кривой файл поздравляю, вы в зоне риска Я решил покопаться в безопаснности популярных...
Почему международные фреймворки ИБ «ломаются» в финтехе — и как их реально применяют в России
Если спросить любую финтех-команду, какой стандарт безопасности они используют, ответ будет примерно одинаковый: NIST, ISO 27001, CIS Controls — у кого что ближе. Но есть нюанс. В реальности почти никто не внедряет их «как есть». Особенно в российском финтехе, где безопасность живёт на пересечении...
Предоставьте мне разрешение к…
Я регулярно рассказываю знакомым (особенно детям знакомых), что бездумно давать разрешения приложениям - даже скачанным из официального магазина - это верх беззаботности. На резонный возглас, мол, да кому нужны мои данные, я обычно размахиваю руками и привожу примеры про утечки, слитые базы и...
Так что там реально с Telega?
Ситуация вокруг форка телеге откровенно подзадолбала. Одни пишут статьи из трех пунктов в духе «все плохо, пользоваться ОПАСНО», но без конкретики: где нашли уязвимость и как она применяется — непонятно. Блогеры же, наоборот, топят за «положительные примеры», но аргументация у них на уровне «поверь...
«Разблокируй телефон» — как я реализовал фейковый мессенджер для допроса
Привет, Хабр! Я разрабатываю open-source мессенджер Xipher (C++/Android), и одна из фич, которую пришлось проектировать особенно тщательно — Panic Mode. Это система правдоподобной отрицаемости (plausible deniability): при вводе специального PIN-кода мессенджер показывает полностью фейковую, но...
Ответственность и свобода: как мы ищем баланс в «Лапка в лапку»
Последние годы стали временем ограничений (ещё помните ковид и свои первые ощущения на самоизоляции?). То, что вчера казалось стабильным фундаментом, сегодня может исчезнуть. В таких условиях легко начать воспринимать ограничения как главного врага. Жан-Поль Сартр писал, что человек «обречён быть...
Вторая битва за Telegram
Для начала, погружу в лор тех, кто забыл, и кто не помнил. Но в 2018 году Telegram в России уже блокировался РКН. Основная причина — отказ предоставить ФСБ ключи дешифровки сообщений пользователей в соответствии с требованиями «пакета Яровой» (широко известный закон о противодействии терроризму)....
iBGP против eBGP
Поддерживать стабильную работу сетевой инфраструктуры крупного предприятия — задача непростая. Взаимодействие промышленных и корпоративных сетевых сред на предприятиях требуют гибкого подхода к сетевым архитектурам. Именно здесь особенно важна грамотно спроектированная маршрутизация и устойчивость...
Наконец-то: AmneziaWG в Mikrotik
TLDR: Создана рабочая легковесная реализация AmneziaWG для Mikrotik для подключения к AmneziaWG серверам. Генератор на основе AWG-конфига: https://amneziawg-mikrotik.github.io/awg-proxy/configurator.html Github: https://github.com/amneziawg-mikrotik/awg-proxy Читать далее...
Шифрование метаданных в мессенджере: HMAC-SHA256 анонимные пары, timing obfuscation и отравление собственных логов
«Мы знаем, что вы вчера в 23:47 переписывались с Алексеем 14 минут. О содержании разговора нам неизвестно.» — Так выглядит мир, где сообщения зашифрованы, а метаданные — нет. Привет, Хабр! Я занимаюсь разработкой open-source мессенджера (проект Xipher, C++/Android), и один из компонентов, который...
ChatGPT сохраняет ваше лицо и определяет «насколько оно подозрительно». Расследование Persona
Вы когда-нибудь пользовались ChatGPT, продуктами OpenAI или KYC верификацей? В расследовании нашли, что одна из самых известных компаний Persona, которая предоставляет услуги верификаций и проверки возраста по селфи,... связана с фбр сша? А еще... ИИ анализирует ваше лицо и определяют насколько вы...
Цифровой суверенитет в кармане: почему пора поднять свой Matrix-сервер, пока мессенджеры лихорадит
(В статье описывается простой и безопасный способ поднятия собственного Matrix Synapse сервера с компонентами web интерфейса пользователя и видеосвязи на основе opensource скрипта. Статья состоит из 2-х частей, теоретической и практической. Если вы сразу понимаете о чем речь, чтобы сэкономить время...