Возвращение испанской барахолки: аудиосистемы, интернет по проводке, баян и кое-что еще
Всем привет! Долго же я ничего не публиковал из новинок барахолки рядом с Валенсией. Причин было несколько: то погода дождливая, то у меня дела, то просто настроения нет. Но теперь настроение изучать блошиные рынки Испании вернулось, так что обещаю регулярно публиковать апдейты. Сегодня я побывал в...
Как мы написали свой forward-proxy на Go и отказались от VPN для доступа к админкам
Если коротко: После дефейса сайта нашего знакомого из-за утекшего пароля от админки мы поняли, что управлять доступами нетехнической команды (редакторы, SEO, подрядчики) через VPN или статические IP - это боль. Существующие proxy требовали рестартов и рулились конфигами. В итоге мы написали свой...
Как создать ИБ-сервис без нагрузки на IT-инфраструктуру
Привет! Я Максим Чеплиёв, менеджер продукта Staffcop, одного из ИБ-сервисов Контура. Расскажу, как мы разрабатываем Staffcop так, чтобы он не нагружал безмерно IT-инфраструктуру клиента. Сразу оговорюсь, что не буду рассказывать о технической реализации на уровне кода, но обращу внимание на уровень...
API-безопасность 2026: почему защита требует нового подхода
Ещё пять лет назад Gartner предсказывал, что эксплуатация уязвимостей API станет самым частым вектором взлома приложений и сервисов. Сегодня этот сценарий атак стал практически нормой. Из-за этого API превратились в полноценный бизнес-актив, к которому, по-хорошему, должны применяться те же...
Реализация требований обеспечения безопасности критической информационной инфраструктуры с помощью автоматизации
Юрий Подгорбунский, Security Vision Введение Требования к безопасности критической информационной инфраструктуры (далее – КИИ) установлены Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон). Цель...
Дело 2005г.: Sony BMG против собственных покупателей или как защита от пиратства превратилась в руткит
Давайте немного поностальгируем. Помните, каких-то 20 лет назад мы еще покупали музыку альбомами и на дисках, в каждом компе стоял пишущий DVD-привод, а фирмам-дистрибьюторам музыки казалось, что самая большая их проблема в будущем - это пиратство. Герой этой статьи, Sony BMG, испытывала к пиратам...
Black Box пентест: как один домен привел к полной компрометации инфраструктуры. Часть 2
Иногда доступ во внутреннюю сеть — это не начало атаки, а тупик. Именно в такой ситуации я оказался в самом начале. Всем привет! Продолжаем разбор одного из интересных кейсов по тестированию на проникновение, в котором мне довелось принять участие. Первая часть уже опубликована у моего коллеги и...
Black Box пентест: как один домен привёл к полной компрометации инфраструктуры. Часть 1
Привет, Хабр! В этой статье я хочу поделиться опытом проведения внешнего black-box пентеста и разобрать методологию, которая позволяет находить критические уязвимости даже при минимальном входном скоупе. Статья будет разбита на две части, про внешний расскажу я, а про внутренний расскажет мой...
Костыли телеграма: «печатает...» в избранных и «вы сделали скриншот!» в любом чате
Почти каждый человек в СНГ пользуется телеграмом, но не каждый задумывается о том, на каких костылях держится его любимая платформа. Всё начинается с «печатает...» в избранном, а заканчивается тем, что форумы — лишь иллюзия интерфейса. Давайте же разберёмся, какие костыли есть в телеграме и почему...
Мы наняли дипфейк: как фальшивый кандидат прошёл все этапы собеседования
Компаниям, выходящим на экспортные рынки, часто сложно найти менеджеров по продажам, владеющих иностранными языками. Одно из решений — привлекать иностранцев. Например, в странах Африки много молодых людей, которые, имея два родных языка, прекрасно владеют ещё и английским. Год назад я «с нуля»...
CVE-2026-3502 в TrueConf: как доверенный механизм обновлений превратился в вектор атаки
Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision. В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур...
PLONK: разбираем уязвимости криптографического протокола
Привет, Хабр! Я Ирина Слонкина из отдела безопасности распределенных систем, Positive Technologies. Вместе с коллегами исследую безопасность смарт-контрактов и блокчейн-приложений. Конечно, всегда интересно вникнуть вглубь каждой технологии, вышедшей на рынок. В этой статье я расскажу про...
Android. Три буквы. Российские приложения
Статья будет без ИИ мусора и прочего пустословия. Обсудим способы выживания на операционной системе Android в тяжелых условиях. Читать далее...
«Музыка на костях», или как современный ИТ-бизнес лишил пользователей субъектности
«Можно, я не буду регистрироваться — давайте обсудим всё, как раньше?» — возмутился старый клиент одного уважаемого сервиса, когда ему предложили завести аккаунт на новой платформе. Медицинскую клинику у приличных людей сегодня выбирают не по рейтингу, не по врачам и не по локации. А по тому, в...
Соцсети, соседи и лайки: как глубоко налоговая анализирует ваши связи?
Вот уже почти полгода, после ухода со службы в ФНС, я помогаю разбираться в реальных механизмах налогового контроля. Для связи с читателями я сделал телеграм канал «Налоговый Инсайдер», в котором отвечаю на вопросы и развенчиваю мифы, которые любят тиражировать различные псевдоэксперты и СМИ....
Реверсим штатный ключ сигнализации JAC-Москвич
Авто — идеальный полигон для экспериментов программно-аппаратного хакера. Здесь вам и реверс-инжиниринг прошивок IoT устройств, и подключение к портам дебага, и взлом беспроводных сетей, и радиохакинг. Но самое интересное начинается, когда все эти направления пересекаются в одном исследовании. На...
Тридцать три тысячи жизней: самое громкое киберпреступление в истории Финляндии
Субботний день 24 октября 2020 года выдался дождливым, ветреным и довольно прохладным — впрочем, такую погоду можно назвать типичной для осеннего Хельсинки. Люди прятались от промозглой сырости в уютных кафе и ресторанах, пили горячий чай и глинтвейн, стараясь отдохнуть за выходные от насущных дел....
Android и AccessibilityService: защита чувствительных экранов от чтения интерфейса
Современные Android-приложения всё чаще работают с данными, утечка которых критична для пользователя: платёжной информацией, одноразовыми кодами, персональными сведениями и содержимым приватных экранов. При этом на практике защита таких интерфейсов нередко сводится только к запрету скриншотов или...