Агностичность к менеджерам репозиториев: новый подход к OSA-анализу
Привет! Это Angara Security и наш эксперт отдела безопасной разработки Андрей Быстров. Совсем недавно состоялся релиз OSA Proxy, нового модуля продукта CodeScoring.OSA. В этой статье попробуем разобраться в задачах данного модуля и подходах к его использованию. Начать стоит с основ: каким образом...
Почему пароли — это плохо, и как Passkey может это исправить
Да, именно так. Конечно, появились пароли, когда никакой индустрии информационной безопасности ещё и в планах не было, но это legacy мы тащим за собой уже несколько тысяч лет. Проблема с паролями в том, что придуманы они для людей, а для людей нет ничего более противоестественного, чем запоминать...
Shadow Data в облаке: найти и обезвредить
Shadow Data — данные, которые существуют вне поля зрения ИБ и compliance-команд. Хорошая новость в том, что такие теневые данные легко найти даже в очень крупной облачной инфраструктуре. В этой статье разберем, как сделать все без ручного перебора и буквально за час найти и геолоцировать данные....
Вместо тысячи бумажек: как мы в ПСБ интегрировали Цифровой профиль Госуслуг и упростили жизнь себе и клиентам
Мир стремительно развивает цифру: сегодня за минуты удалённо можно сделать многое из того, для чего ещё пару лет назад нужно было идти в офис и сканировать бумажные справки. Теперь наравне с бумажными документами действуют электронные. Это удобно, быстро и надёжно. ПСБ тоже решил идти по пути...
Как связывать информацию в интернет-расследованиях: подробная методика, примеры и логические цепочки
Как правильно связывать разрозненные данные в интернет-расследованиях: методы, примеры и логика построения рабочих гипотез и связей. Читать далее...
Трактор без тракториста: почему разработка не упрощается при наличии современных инструментов
Привет, Хабр! Продолжаю делиться дискуссиями из нашего телеграм-канала Dev Q&A. На этот раз собрались поговорить о том, почему при всём богатстве инструментов — Kubernetes, CI/CD, low-code, AI-ассистенты — разработка не становится ни быстрее, ни дешевле. Собрал ключевые мысли в статью. Получилось...
Регуляторика РБПО. Итоги 2025 года
Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами...
РСХБ при участии К2Тех модернизировал систему мониторинга ИТ-инфраструктуры
Проект Россельхозбанка (РСХБ) и К2Тех признан лучшим в номинации «Проект года по импортозамещению мониторинга ИТ-инфраструктуры для банков» Национальной банковской премии. Награда была присуждена за комплексную работу по созданию единого консолидированного контура мониторинга на базе отечественной...
Как кастомные правила в WAF помогают более эффективно защищать веб-приложения
Всем привет! На связи Титов Антон, ведущий эксперт компании Angara Security по направлению защиты веба. Зачем нужен WAF WAF (Web Application Firewall) — сервис защиты веб-приложений от хакерских атак и угроз в интернете на прикладном уровне. Он отслеживает и проверяет весь входящий и исходящий...
[Перевод] Исповедь взломанного разума: как хакеры заставили ИИ поверить, что он — герой, спасающий мир
В 3:47 утра по тихоокеанскому времени 18 сентября 2025 года Джейкоб Кляйн наблюдал за тем, чего не должно было быть. На экране его ноутбука агент ИИ по имени Claude Code проводил кибератаку на химическое предприятие в Германии, генерируя тысячи попыток взлома в секунду - скорость, недостижимая для...
Традиционная аутентификация vs Биометрия
Привет, Хабр! Скорее всего каждое ваше утро начинается также как и моё: беру в руки телефон, и прежде чем проверить сообщения, мой палец сам тянется к экрану. И, честно признаться, я даже не вспоминаю о пин-коде — я просто смотрю на камеру, и устройство открывается. Это стало настолько обыденным,...
Обвели вокруг пальца, или Как мы обманывали сканеры отпечатков
Всем привет! С вами исследовательская лаборатория BI.ZONE. Большую часть времени мы исследуем защищенность встраиваемых систем, а еще у нас бывают проекты по тестированию биометрических систем. В августе на конференции OFFZONE 2025 мы выступили с докладом о тестировании сканеров отпечатков пальцев....
Атаки на AI-агенты: примеры угроз и опыт участия в Agent Breaker CTF
Привет! Мы в Positive Technologies активно исследуем безопасность AI-агентов и подходы offensive AI security. Мир стремительно движется к повсеместному использованию LLM-агентов, автономных агентов и интеграций через MCP/Toolcalls — а значит, растет и пространство атак. Эта статья содержит разбор...
Побойтесь ДевОпса сударь…
Как-то, у нашей компании накопился ряд задач, связанных с администрированием наших серверов, и руководство приняло решение, что всё-таки нам нужен DevOps, который закроет наши вопросы и будет в долгую сопровождать нашу команду. Решились. Разместили на https://hh.ru/ вакансию. Нашли человека в...
Кризис IT на службе клофелинщиц
Раньше жертва клофелинщицы мог лишиться только своих наличных денег (не считая риска для здоровья). Но теперь все стало хуже... Читать далее...
Разработчики всё ещё путают JWT, JWKS, OAuth2 и OpenID Connect — разбираем на примерах. Часть 1
JWT, SSO, OAuth, OpenID Connect — названия знакомые каждому разработчику. Но стоит спросить: «Зачем в продакшене нужен JWKS?» или «Чем отличается OAuth2 от OpenID Connect?» — уверенность сразу исчезает. В этой статье мы разберём как устроен JWT и его подпись, зачем нужны access и refresh токены,...
[Перевод] Как «приватные» VPN-расширения слили переписки 8 миллионов пользователей с ChatGPT и Claude
Команда AI for Devs подготовила перевод резонансного расследования о том, как "приватные" VPN-расширения на самом деле зарабатывают на ваших ИИ-переписках. 8 миллионов пользователей, Featured-бейджи от Google и Microsoft, полный доступ к ChatGPT, Claude и Gemini — и всё это утекает дата-брокерам....
Мороз по коже: LLM может оценить ваш код, а ИИ-компании — использовать это в своих целях
ИИ-ассистенты не только помогают писать код, но и прекрасно могут оценить ваши ноу-хау по степени полезности для владельцев своих компаний. Как с этим жить? Как этому противостоять? Читать далее...