«Это какой-то Оруэлл»: как LaLiga в 2025 году сломала интернет в Испании, а Cloudflare пожаловались на нее Трампу
Испанская футбольная лига LaLiga известна в сети уже несколько лет довольно своеобразной «борьбой с пиратством», от которой страдают все окружающие. В 2025 году это дошло до пика — LaLiga удалось получить официальное разрешение суда на «динамические блокировки пиратских сайтов» — после чего они...
Tetragon: лучшие практики и нюансы разработки Tracing Policy
Привет! Меня зовут Виталий Шишкин, я эксперт продукта Container Security в Positive Technologies. За годы работы над продуктом MaxPatrol 10 мы строили аудит Linux на базе подсистемы Auditd, которая решала свою задачу и достаточно просто настраивалась, но ситуация поменялась с появлением...
Скрываем данные от стандартного режима exiftool прямо в чанках PNG
В настоящий момент, exiftool является мощным инструментом для анализа и изменения различной информации о файлах. Недавно, экспериментируя с файлами формата PNG и exiftool, я обнаружил одну занятную вещь, связанную с тем, что exiftool в стандартном режиме не считывает кастомные чанки PNG. В данной...
[Перевод] Современный подход к предотвращению CSRF/CORF-атак в Go
Команда Go for Devs подготовила перевод статьи о новом подходе к защите Go-приложений от CSRF/CORF-атак. Автор разбирает, как связка TLS 1.3, SameSite cookies и http.CrossOriginProtection из стандартной библиотеки позволяют отказаться от токенов — но только если соблюдены важные условия. Насколько...
Нагрузочное тестирование отечественного NGFW «Континент 4»: результаты лаборатории INSI
Привет, Хабр! Я Ильдар Ишкинин, ведущий инженер Центра компетенций Innostage. В этой статье хочу поделиться результатами нагрузочного тестирования отечественного NGFW «Континент 4», которое мы провели в нашей лаборатории INSI (Innostage Security Infrastructure). Читать далее...
Как забытый API-ключ открыл нам мир мошенников
Сегодня история на грани техники, психологии и детектива. Расскажу о том, как мы (я и мой коллега) попали во внутренние чаты мошенников и что из этого вышло. Читать далее...
Как бизнес теряет деньги из-за ИБ-рутины: боли и реальность
Когда мы вспоминаем о потерях из-за информационной безопасности, чаще всего в голове начинают крутиться крупные утечки, взломы или штрафы от контролирующих органов. Но реальность куда менее эффектная и куда более болезненная. Бизнес теряет деньги не только из-за громких инцидентов, а ежедневно —...
Неугомонный VasyGrek: F6 изучила атаки злоумышленника в августе-ноябре 2025 года
В июле 2024 года был опубликован блог об исследовании специалистами Threat Intelligence компании F6 активности VasyGrek и его сотрудничестве с продавцом ВПО Mr.Burns. После публикации F6 VasyGrek прекратил сотрудничество с этим поставщиком вредоносных программ. Аналитики департамента киберразведки...
Мы так привыкли к Disaster Recovery у VMware, что разработали свою
Пожар в ЦОДе, авария на подстанции, разорванный во время ремонта кабель между площадками — таких инцидентов за последние годы хватает. Например, в конце этого сентября пожар в государственном дата-центре Южной Кореи парализовал сотни госсервисов и уничтожил свыше 800 терабайтов данных без резервных...
Почему переводы по номеру телефона до сих пор ломаются: инженерный разбор бытовой проблемы, которую мы недооцениваем
Система быстрых платежей (СБП) существует достаточно давно, но бытовые переводы «по номеру телефона» всё ещё регулярно вызывают ошибки, путаницу и лишние действия. Если открыть комментарии под любой статьёй на эту тему — гарантированно найдёшь реплики вида: «Но ведь можно просто скопировать...
Хакеры начинают фишинг и выигрывают у Google
У мошенников нет ничего святого! Хакеры взялись за Google: подделка подписей теперь не обязательна, ведь можно заставить Google подписывать фишинговые письма валидным DKIM самостоятельно. Если раньше опытный ИБ-специалист мог сходу разобраться, где фишинговое письмо, а где — нет, сейчас это сделать...
StarVault + Postgres Pro: тестирование связки для безопасного управления секретами
Управление секретами — одна из наиболее критичных задач в корпоративной ИТ-инфраструктуре. От того, насколько надежно и централизованно хранятся ключи API, пароли, токены и сертификаты, зависит не только безопасность сервисов, но и устойчивость всего бизнеса. С ростом популярности отечественных...
С ИБ всё пошло не так. Пороки кибербеза от избытка финансирования
Настоящая защита обеспечивается только превентивными мерами, делающими сам вектор атаки нереализуемым (например, запрет на запуск посторонних программных файлов) Вместо этого, инфопространство заполнено понятиями инфобезопасности исключительно через мониторинг и реагирование, что крайне затратно...
Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей
Как выглядит веб-приложение с точки зрения злоумышленника? Чтобы ответить на этот вопрос, сегодня мы возьмем заведомо уязвимое приложение и на его примере разберемся, как искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить...
[Перевод] Shai-Hulud 2.0: 25 000 npm-репозиториев могут потерять свои данные
Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000...
За AR очками будущее
Мы медленно вступаем в 4-ю промышленную революцию, где интернет-пространство существует не отдельно, а влияет на реальность, и наоборот. Вследствие объединения технологий и принципов телефонной связи и компьютерных систем появился тот интернет, какой мы знаем сейчас. И наш основной способ...
152-ФЗ для детсада. Как не упасть в обморок, если вы — заведующий
В последние годы вопросы защиты персональных данных в образовании вышли на первый план из-за участившихся инцидентов. Регулятор требует, чтобы детские сады оформляли все документы по новым правилам и не допускали утечек данных воспитанников. К тому же родители стали более осведомлены о своих...
Аудит Роскомнадзора без паники: как подготовиться к проверке и пройти ее без штрафа
Я — Оксана Пастернак, старший юрисконсульт компании Cloud.ru. Мы предоставляем облачные сервисы и взаимодействуем с Роскомнадзором (РКН) по вопросам защиты персональных данных и соответствия требованиям законодательства. Изнутри вижу, как важно выстроить процессы так, чтобы облако оставалось...