Как ИИ-агенты помогли нам встроить безопасность в стартер-кит
Привет! Меня зовут Владимир Верхотуров, я занимаюсь DevRel в Битрикс24. Большинство стартер-китов ускоряют разработку, но ускорение без системной безопасности почти всегда приводит к техническому долгу. Сегодня хочу рассказать про наш подход к безопасности нашего AI-стартера. Читать далее...
AmneziaWG 2.0: от маскировки трафика к полной мимикрии
Всем привет! На связи команда разработчиков Amnezia. Сегодня хотим рассказать о важном обновлении нашего протокола – AmneziaWG 2.0, а также о том, как с его помощью можно развернуть собственный VPN на своем сервере. AmneziaWG 2.0 – это уже не просто набор новых параметров в конфигурации, а заметный...
Уязвимости в Spring AI и ONNX: как дыры в ИИ‑фреймворках превращаются в утечки данных и чужие модели
ИИ‑фреймворки давно въехали в прод, но к ним часто относятся как к «научной приблуде», а не к ещё одному входу в ваши данные и инфраструктуру. Spring AI и ONNX крутятся где‑то между ML‑командами, продуктами вендоров и внутренними ассистентами, и на определённом этапе за ними перестают успевать...
Иностранные слова в брендинге и интерфейсах IT- компании. Что изменилось с 1 марта 2026
С 1 марта 2026 года в России действует закон, по которому публичная информация для потребителей должна быть на русском языке. Пока закон обсуждался, большинство IT-компаний смотрели на него как на проблему скорее офлайн-бизнеса: вывески, баннеры, магазины. Но когда к нам стали приходить клиенты с...
Как ИИ решает сложные технические задачи для всех на примере создания своего VPN Xray VLESS за 10 минут
Итак, вам нужен VPN, но публичные решения сомнительны по безопасности и зачастую не работают. В эпоху нейронок VPN может развернуть за пару часов даже откровенный гуманитарий без технических навыков. Но даже топовые модели в Claude Code и Codex с большой долей вероятности соберут всё косячно. Ведь...
Email как последний канал связи: тестируем Delta Chat в современных реалиях
Я живу вне РФ, но у меня там остаются близкие, с которыми важно продолжать общение. И в какой-то момент я столкнулся с простой, но неприятной реальностью: поддерживать стабильную связь становится всё сложнее. В условиях массовых блокировок и внедрения «белых списков» интернет постепенно перестаёт...
Защита агентных приложений по OWASP Agentic Top 10 и модели Trifecta
Агентные системы - это уже не чат. Они планируют задачи, дергают инструменты и оставляют свой след в данных. Сетка фильтров не спасёт, если у агента есть доступ к чувствительному контенту, недоверенные источники и выход в интернет. Разбираем OWASP Agentic Top 10 и модель Trifecta чтобы не допустить...
Как под нашим брендом пытались развести джунов на деньги (и что из этого вышло)
Представьте: вы откликаетесь на вакансию в компании, проходите обычное собеседование, получаете тестовое — и через несколько минут ваш телефон уже заблокирован, а в Telegram требуют деньги за доступ. Именно так работала схема, в которой мошенники прикрывались нашим брендом. Снаружи — всё как...
От DDoS до саботажа КИИ: как хактивисты превратились в APT-угрозу
Когда-то APT-группировками считались прогосударственные хакеры со сложными инструментами и стратегическими целями, а хактивистами — те, кто выражал цифровой протест. Сегодня определить границу между первыми и вторыми становится все сложнее. Некогда идеологически мотивированные хакеры все чаще...
Как я перенес консольное приложение в Rust + WASM и выложил на GitLab Pages
Перенес консольного приложения в формат, удобный к показу по ссылке: переписал логику на Rust, собрал в WebAssembly и завернул в статичную страницу с терминальным интерфейсом на чистом HTML/CSS/JS. В статье разбираю практический пайплайн: экспорт функции из Rust в WASM (wasm_bindgen), инициализацию...
Никаких эксплойтов и zero-day: как эксплуатация безобидных настроек Асtive Directory приводит к компрометации домена
Привет, Хабр! На связи Дмитрий Неверов, технический консультант направления тестирования внутренней инфраструктуры команды Бастиона и автор книги «Идём по киберследу». Пентестер зачастую воспринимается как «белый маг хакер», которому дай только возможность запустить пару эксплойтов и...
Как навести порядок в Active Directory и защитить бизнес — инструкция для собственника
Информационная безопасность — это, в первую очередь, продуманная стратегия, и только потом вложения в железо и программное обеспечение. Часто бывает так, что, воздвигнув крепостные стены, расставив на них лучников, разложив костры и поставив на них котлы со смолой, феодал не знает, что народ,...
Полный технический анализ MITM в клиенте Telega
Утром 18 марта создатели приложения Telega активировали скрытую функциональность, позволяющую им перехватывать все данные между их приложением и сервером Telegram, пропуская их через свои сервера. К сожалению, информации об этом мало, и поэтому была написана эта статья с подробным, повторяемым...
Путь Samurai: от защищённой флэшки — к кнопке стирания серверов
Олды, возможно, помнят серию постов о «Самураях» — российской разработке защищённых флэшек 2011-2013 годов. Путь «Самурая» вскоре после этого прервался, но не закончился: 10 лет спустя, «Самураи» — это уже не одни флэшки, а целая линейка систем уничтожения данных, по нажатию кнопки стирающих от...
Аппаратная платформа обработки сетевого трафика
Добрый день, уважаемые коллеги! Как я уже говорил, наша компания ведёт разработку аппаратных платформ для средств защиты информации (СЗИ). На основе этих платформ мы делаем свои аппаратно-программные комплексы (ПАК), решающие те или иные задачи, обеспечивающие безопасность. Стоит отметить, что...
Разбираем net/http на практике. Часть 2.3: Динамические маршруты, cookie-аутентификация и управление доступом
В этой статье цикла мы решим главную проблему сервиса DeadDrop: пользователь создаёт секрет, но не может его забрать. Здесь мы: 1) Научим net/http понимать динамические маршруты без фреймворков 2) Научимся подписывать куки через HMAC и узнаем, как оно работает изнутри 3) Настроим безопасное...
6 языков из 6 по ГОСТ Р 71207-2024: как я перестал гадать по двадцати строкам вокруг вызова
Я довольно долго жил с привычной инженерной отговоркой: ну да, поиск по шаблонам шумит, зато работает быстро. Где-то подсветит лишнее, где-то что-то пропустит, но в целом жить можно. Так обычно и живут, пока не появляется внешний корпус, который не интересуют наши внутренние оправдания. У меня...
Как я сделал шифрование поверх MAX, когда приватность стала роскошью
Как я без Mac, с помощью Claude AI и GitHub Actions, создал кроссплатформенное приложение для шифрования сообщений поверх любого мессенджера. Android на Kotlin, iOS на Swift без MacBook, десктоп на Python. AES-256, три платформы, два отказа от Apple и один баг с буквой «а». Читать далее...