Разбор атаки на PassOffice: мой пропуск в базу данных
Привет, Хабр! На связи @mirez, в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных на киберучениях Standoff Standalone. Нашей целью была система управления гостями PassOffice, которую используют в бизнес-центрах. Мы пройдем все этапы: от обнаружения уязвимости в...
Используем сами, рекомендуем другим: об используемых в VK инструментах безопасности и новых сервисах VK Cloud
Привет, Хабр. Меня зовут Дмитрий Куколев. Я руководитель VK SOC. В этой статье я расскажу о мерах обеспечения надежности и защиты VK Cloud, о собственных ИБ-продуктах и новых сервисах безопасности для пользователей нашего облака. Читать далее...
Защита корпоративного номера от таргетинга. Как сохранить конфиденциальность данных
Привет, Хабр! Сегодня на рынке существуют мощные инструменты таргетинга, которые позволяют по одному лишь номеру телефона собрать подробный профиль компании. Для бизнеса это означает потенциальную потерю контроля над данными, но эти риски можно учитывать и выстраивать защитные механизмы. Меня зовут...
Как сделать серверную копию 1С — и не плакать в день сдачи отчётов
Как правильно сделать серверную копию 1С: пошаговая инструкция, команды rac, автоматизация через cron, типичные ошибки и лучшие практики резервного копирования для надёжной защиты данных в день сдачи отчётности. Читать далее...
Облачные сервисы на Tcl/Tk
С момента написания на tcl/tk удостоверяющего центра CAFL63 и утилиты cryptoarmpkcs для работы с электронной подписью меня не покидала мысль, что неплохо бы оформить их как облачные сервисы. Я постоянно смотрел в сторону проекта CloudTk. Читать далее...
Команда PVS-Studio просит присылать примеры ошибок, связанные с использованием вайб-кодинга
Так или иначе, вайб-кодинг становится, — а где-то уже стал, — частью процесса разработки программного кода. Команда PVS-Studio видит в этом новые задачи для статических анализаторов по поиску ошибок в коде, возникающих при использовании ИИ-ассистентов и т.п. Первый шаг — собрать примеры реальных...
Почему молчит умный счетчик? Побеждаем коллизии в сетях NB-IoT
IoT-сети проектировали для миллионов устройств, но они захлебываются уже от тысяч. Когда в нашем районе на секунду моргнул свет, 10 000 умных счетчиков одновременно потеряли связь и начали переподключаться. Три четверти так и не смогли выйти в эфир. Проблема в RACH — канале случайного доступа. При...
Алгоритм поиска аномалий Isolation Forest
Привет, Хабр! Меня зовут Михаил Васильев, я старший специалист по машинному обучению в компании Makves (входит в группу компаний «Гарда»). Эта статья — вторая в цикле, посвященном поиску аномалий. В первой статье мы поговорили о том, что такое аномалии и почему их сложно искать, а также по шагам...
Neuro Scale 2025: как Яндекс собирает облако будущего
24 сентября прошла конференция Yandex Neuro Scale 2025 — главное событие Yandex Cloud, собравшее более 10 000 участников онлайн и офлайн. Переименование флагманской конференции с Yandex Scale на Yandex Neuro Scale отражает стратегический поворот компании к искусственному интеллекту как ключевому...
OWASP ZAP для начинающих: как провести аудит безопасности веб-приложений
В последние годы заметно вырос интерес к таким ролям, как инженер по безопасности приложений, DevSecOps-инженер, а также тестировщик на проникновение. Именно такие специалисты интегрируют механизмы безопасности в процессы разработки и эксплуатации программного обеспечения, выявляют уязвимости на...
ARM Cortex-M: Пуск Memory Рrotection Unit (MPU)
В ARM Cortex-M (Arm v7-M) процессорах есть очень полезный блочок. Называется MPU (Memory Рrotection Unit). Попробуем разобраться что это такое и зачем нужно. . Читать далее...
Как просто использовать SRI, когда у тебя микрофронты
И чтобы всё было безопасно. Читать далее...
Осознанность в ИБ: коротко про AWR и практический кейс с «ломающими» метрики ботами
Всем привет, на связи Илья Никифоров — специалист по повышению осведомленности по Информационной Безопасности, ну еще и культуру кибербезопасности развиваю в АШАН Ритейл Россия. Снова про фишинг, сложности, открытия и дела житейские. В статье две части: Часть 1 — про AWR-системы: зачем нужна...
Как обмануть всевидящее око: 3 забавных трюка, которые сведут с ума любой ИИ
Представьте, что вы показали другу фотографию кошки. Он сразу её узнает. Вы можете добавить к фото пару лишних пикселей, сделать её чуть ярче или даже наклеить на уголок стикер — ваш друг всё равно скажет: «Да это же кошка!». Его мозг гибок и основан на здравом смысле. А теперь представьте, что ваш...
Парень сделал онлайн-карту парковочных штрафов Сан-Франциско. Власти отреагировали уже через 4 часа
Оказывается, система штрафов работала через открытый API без авторизации. Райли Уолц просто первым догадался это использовать. Читать далее...
Рецензия на книгу: «Реальная криптография»
Книга «Реальная криптография» за авторством Дэвида Вонга является весьма любопытным литературно-теоретический гибридом «упрощенного учебника по криптографии» (первая половина книги) и «реального положения дел» (вторая половина книги). Автор позиционирует книгу как практическое руководство для...
RBACX — универсальный RBAC/ABAC-движок авторизации для Python
RBACX — авторизация без боли в Python-проектах Когда доступ «размазан» по вьюхам и миддлварам, ревью и тесты превращаются в квест - появляется мотивация все это унифицировать. Я написал RBACX — лёгкий движок, где правила описываются декларативно (JSON/YAML), а проверка прав — это один понятный...
Непрерывный комплаенс: как создать эффективный цикл регулирования и соблюдения требований
В современном бизнесе требования к соблюдению норм и стандартов становятся неотъемлемой частью стратегического управления. Однако многие компании по-прежнему воспринимают комплаенс как формальную обязанность, направленную лишь на выполнение минимальных требований регуляторов. Такой подход чреват...