Blackhole: mock server с ground truth для тестирования black-box сканеров
Выложил Blackhole — Python ASGI mock server для тестирования black-box сканеров, обучения и воспроизводимых бенчмарков. Пока вайбили с Уроборосом родился релиз в другом жанре, о нем ниже. Он offtopic но да простит меня Хабр великий и могучий, не смог удержаться. Читать далее...
Почему SAST на правилах не видит 50% уязвимостей: опыт аудита собственной кодовой базы
Я думал, у меня всё чисто. Bandit стоял, правила регулярно обновлялись, pipeline на каждый PR ругался на опасные места. Ну, знаете, как это бывает: где-то что-то подсветит, мы правим, живём дальше, чувствуем себя молодцами, прикрыв тыл статическим анализом. А потом я решил копнуть глубже. Не для...
Как Claude Opus 4.6 спас кандидата от провала: скрытые тесты в PDF и новые правила найма
Работодатель спрятал в PDF с тестовым заданием скрытую инструкцию для ИИ. Claude Opus 4.6 не только отказался ее выполнять, но и предупредил кандидата о ловушке. Разбираемся, как устроена гонка вооружений между HR и соискателями в эпоху LLM. И главное, как проверять такие документы перед работой....
У нас тут крыса: троян Remcos RAT распространяют через фишинговые письма
В начале марта специалисты центра мониторинга и реагирования GSOC компании «Газинформсервис» зафиксировали масштабную фишинговую кампанию: злоумышленники рассылают письма с заражённым Excel-файлом. Он содержит троян удалённого доступа Remcos RAT, позволяющий хакерам действовать от имени легитимного...
Из 50 осталось 10: кто на самом деле делает NGFW в России, а кто просто об этом говорит
Из 50+ вендоров, заявивших о разработке NGFW после 2022 года, на рынке осталось около 10. На днях выбыл Solar NGFW. Посмотрим кто остался. Читать далее...
TeleMT без докера, но со SNI-роутингом своими руками
В прошедшие выходные меня посетило непреодолимое желание. Желание наконец повысить свой сисадминский скилл. И перестать расстраиваться при отправке фото, а тем более видео в наш любимый мессенжер. Чудесно, что эта реальность так мотивирует к саморазвитию. Недавно на глаза попалась интересная статья...
Орбитальные дата-центры: Nvidia представила ИИ-модуль Vera Rubin для спутниковых группировок
Компания Nvidia представила платформу Space-1 Vera Rubin для переноса вычислительных мощностей за пределы Земли. Новое оборудование обеспечивает производительность инференса в 25 раз выше, чем у серверных процессоров H100. Платформа уже тестируется шестью коммерческими партнерами, создающими первые...
Как маскировать персональные данные на изображениях: наш эксперимент с OCR и NER
Всем привет! Меня зовут Андрей Иванов, я NLP-исследователь в R&D red_mad_robot. Мы разрабатываем систему Guardrails для защиты персональных данных (PII) и фильтрации небезопасного контента. В этой статье расскажу, как мы решали задачу точечного маскирования PII на картинках без обучения специальных...
В поиске секретов. iOS Пентест. Часть третья
Вас приветствует Ян - старший пентестер из компании Xilant! В этот раз научу вас искать, то что разрабы забывают прячут в приложениях iOS. Возможно мы найдем пароли, личные данные, а может даже и API-ключи от бэкенда, что позволит нам продолжать атаку на следующем уровне. Для этого нам понадобятся...
Атаки на цепочку поставки ПО: виды угроз и как с ними бороться
Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений. В случае с атаками в open source...
MTProto прокси для Telegram на Windows Server + Docker: пошаговое руководство
Большинство руководств по MTProto прокси написаны под Linux. Но что если ваш сервер на Windows? В статье разберём полный цикл настройки приватного MTProto прокси с Fake TLS на Windows Server + Docker: выбор образа, подводные камни (BOM в конфиге, порт 443 и HTTP.sys, флаги которых нет в v2),...
10 миллионов в трубу через дырявый почтовый сервер
Disclaimer: название компании и детали изменены, но ситуация реальная. Пишу не хайпа, ради, а потому что таких историй сейчас становится слишком много. Я работал руководителем ИТ в региональной сети стоматологических клиник: больше двадцати точек, около 250 сотрудников, CRM, 1С, почта, серверы,...
С нуля без шаблонов: как мы создали техподдержку не по канонам ITIL
Мы отказались от формального деления команды на L1, L2 и L3. Разрешили инженерам брать задачи независимо от грейда. Не паникуем, если SLA горит красным. И знаете что? Это работает. У нас в К2Тех есть собственный Центр экспертизы по комплексному сервису, который объединяет все направления...
ShadowTLS: прячем туннель за TLS-рукопожатием
Как протокол заимствует чужое рукопожатие, почему v1 и v2 были дырявыми, что именно в v3 нашёл Aparecium и где у этого подхода архитектурный потолок Большинство прокси-протоколов пытаются выглядеть как HTTPS: генерируют свой сертификат, настраивают TLS, надеются что DPI не присмотрится слишком...
Книга: «Spring Security. 4-е изд.»
Привет, Хаброжители! Опытные хакеры постоянно охотятся за уязвимыми приложениями, поэтому никогда не переставайте беспокоиться о безопасности. Задача становится особенно сложной, если приходится работать с унаследованным кодом, новыми технологиями и сторонними фреймворками. Научитесь защищать...
Обзор PocketBook InkPad Eo – большого цветного ридера со стилусом для PDF и не только
Я уже несколько месяцев владею ридером PocketBook 700 Era Color – продвинутой моделью с цветным дисплеем E Ink. Она вполне подходит для чтения некоторых изданий с картинками. Некоторых – но не всех: ограничение накладывает диагональ экрана, а именно 7 дюймов. Отдельные PDF’ки и прочие файлы с...
Как часто менять телефон: считаю стоимость владения в рублях
Телефон теряет 45% стоимости за первый год. Разбираю кривую депрециации iPhone на данных BankMyCell и Авито — с таблицами, расчетами и рекомендациями. Читать далее...
Информационная война 1812 года: как русские криптографы и разведчики переиграли Наполеона
Война 1812 года — это не только грохот пушек, «Москва, спаленная пожаром», и Бородино. Пока противоборствующие императоры со своими генералами склонялись над картами, а бравый Денис Давыдов шел в партизанский рейд и подкручивал на скаку гусарские усы, в кабинетах криптографов, походных типографиях...