FunCaptcha (Arkose Labs): принципы работы, особенности и методы распознавания (автоматические и ручные варианты)
Продолжаем путешествовать по миру капч (Фантастические капчи и где они обитают, а также способы борьбы с ними), и сегодня на очереди очередной “крепкий орешек” во вселенной капч - FunCaptcha (Arkose Labs). FunCaptcha – это тип CAPTCHA от компании Arkose Labs, который предлагает пользователям...
Ваш Xiaomi — это не Xiaomi. Кто делает китайские телефоны на самом деле?
И почему они стоят так дёшево? Многие в курсе, что Xiaomi, Honor, Tecno или Realme не делают телефоны сами. Но что если я скажу, что они их даже не разрабатывают? Многие бюджетные модели лишь продаются под этими шильдиками, а всю разработку и производство “от и до” делают совсем другие компании....
Баланс между скоростью разработки, UX и безопасностью: погружение в трилемму современного IT
Вступление: Трилемма, актуальная для всех Скорость вывода продукта на рынок (Time-to-Market), безупречный пользовательский опыт (UX) и надежная информационная безопасность (Security) – три кита, на которых держится успех современного цифрового продукта. Однако на практике эти три цели часто...
[Перевод] Как защищают фильмы и доставляют их в кинотеатры
У кинематографической индустрии есть собственные стандарты для защищённого создания и распространения фильмов. Всё необходимое, от форматов файлов и шифрования до проекционных систем, определяется в спецификации DCI (Digital Cinema Initiatives). Сама спецификация доступна публично, но связана с...
Современные уязвимости современных LLM-агентов
На первый взгляд, современные ИИ-модели кажутся надёжно защищёнными: строгие ограничения, фильтры и чётко заданные сценарии взаимодействия с пользователем. Однако реальность быстро меняется. Всё чаще исследователи и энтузиасты сталкиваются с атаками, которые позволяют обойти эти защитные меры. В...
Слепые зоны инфраструктуры = мишень для хакера: итоги опроса об управлении активами
Недостатки парольной политики, уязвимости в коде, небезопасные настройки сервисов и бреши из-за устаревшего ПО – частые причины попадания хакеров во внутреннюю сеть компании. При этом инфраструктура компаний постоянно меняется, а значит, нужно защищать новые сервисы, отслеживать их взаимодействие и...
Эти хакерские штучки
Привет, Хабр! На связи Аеза и сегодня мы хотели бы рассказать о так называемых “хакерских штучках” – устройствах, которые могут использоваться злоумышленниками для реализации различных атак. Возможно, многие наши читатели помнят статью о Flipper Zero. Это учебное устройство позволяло...
[Перевод] Мастер-класс по обходу WAF: Использование SQLMap с Proxychains и Tamper-скриптами против Cloudflare и…
Практическое руководство по изучению и тестированию техник обхода WAF с помощью продвинутых настроек SQLMap и proxychains. Введение В современном быстро меняющемся мире кибербезопасности веб-фаерволы (WAF) играют важнейшую роль в защите сайтов от вредоносных воздействий, таких как SQL-инъекции....
[Перевод] Кризис парольной безопасности: 94% повторно используют слабые пароли
Новое исследование, охватившее более 19 миллиардов паролей из свежих утечек данных, подтверждает: мир столкнулся с масштабным кризисом повторного использования ненадежных комбинаций. Простые клавиатурные шаблоны вроде «123456» по-прежнему лидируют, а 94% паролей либо дублируются, либо применяются...
Реализация алгоритма PolyUnpack для распаковки вредоносного ПО
Одним днём я читал отчёты по TI из различных источников. В одном из таких отчётов упоминался некий алгоритм для распаковки вредоносного ПО, под названием PolyUnpack. Мне стало интересно, и я решил изучить данную тему. Оказалось, что в Интернете очень мало информации по данному алгоритму. Из...
[Перевод] OpenAM и Zero Trust: Подтверждение критичных операций
Один из принципов нулевого доверия гласит: никогда не доверяй, всегда проверяй (Never trust, always verify). В этой статье мы рассмотрим, как реализовать соблюдение такого принципа в системе аутентификации на примере продуктов с открытым исходным кодом OpenAM и OpenIG. Читать далее...
Как хранить кадровые документы в 2025 году: правила, сроки хранения, ЭДО и автоматизация
Хранение кадровых документов в организации — это уже не просто полки с папками в архиве. В России продолжается активный переход на электронный документооборот. Но вместе с новыми технологиями появляются и новые обязанности: хранить кадровые документы в электронном виде правильно — задача не только...
Security-Enhanced Linux против 1С + Apache. Выключить нельзя мучаться
Навыки решения неизвестных Вам проблем в Linux, требуют определенного уровня понимания Linux. Установка 1С на Linux рано или поздно приведет Вас к изучению SElinux (Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security...
Любое устройство BLE становится трекером AirTag без рута
Специалисты по безопасности разработали универсальный способ трекинга любых мобильных устройств через сеть «Локатор» (Apple FindMy) — с ведома или без ведома владельцев этих устройств. Метод обеспечивает точное определение координат, не используя GPS-навигацию и WiFi. Система работает на любом...
Эволюция одноразовых кодов: от TAN к Passkeys
От TAN-листов и SMS-кодов до Passkeys и FIDO2 — за 20 лет одноразовые коды прошли путь от бумажек до криптографии. Почему TOTP стал стандартом? Чем push-уведомления лучше? И правда ли, что будущее — без паролей? В статье — краткий и наглядный разбор всей эволюции OTP: алгоритмы, уязвимости, UX и...
Люди могли общаться по видео уже в 60-х, но не были готовы к удаленке и подглядыванию. История Picturephone — часть 2
Привет, Хабр! После первой публикации про Picturephone дочь физика обещала вернуться с продолжением — и я не могу ее подвести. На этот раз предлагаю поисследовать причины неудачи этого прорывного для своего времени девайса. Многие из них заставят вас улыбнуться. Поехали! Читать далее...
От Strix Halo до Hawk Point: пять причин пересесть на мини-ПК в мае 2025 года
Компактные компьютеры перестали (ну, почти) быть компромиссом между размером и производительностью. В 2025 году мини-ПК оснащаются теми же процессорами, что и ноутбуки класса high-end, но с улучшенным охлаждением и расширенными возможностями подключения — от 10-гигабитных сетей до поддержки внешних...
ChatGPT, выполняем запретный запрос — метод калибровки анализа
В этой статье рассмотрю как выполнить даже очень «красный» запрос, настолько красный, что даже сам запрос удаляется системой и заменяется плашкой «This content may violate our usage policies.» Суть, что бы сама ИИ откалибровала отношение к запросу так, чтобы сделать его выполнимым. Для примера я...