Откуда начинаются атаки на цифровые сервисы: ключевые точки входа
На связи Лука Сафонов, бизнес-партнер по инновационному развитию компании «Гарда». В 2025 году общее число киберинцидентов на российские компании выросло на 42%, и почти каждая четвертая атака имела серьезные последствия для бизнеса. Финансовый сектор при этом остается в числе пяти наиболее...
Персональные данные: сколько стоит нарушение в 2026 году
Некоторое время назад штрафы за нарушения в области персональных данных могли вызвать скорее улыбку у собственников бизнеса, чем страх. Зачастую было выгоднее нарушать, чем внедрять средства защиты. Но в последние годы все изменилось. В 2026 году регулирование в области персональных данных в России...
Техническая реализация безопасной системы сделок через модель эскроу (не гаранты, а математика)
Архитектура большинства гарант-сервисов неразрывно связана с рисками: ошибками, возможностью мошенничества, сложными и непрозрачными схемами. Ее можно заменить аналогом с принципиально другим уровнем безопасности — системой по модели эскроу. В ней нет необходимости доверять человеку, только...
Prompt injection для смелых духом: от zero-click атаки на 1.4B устройств до философского джейлбрейка
SQL-инъекцию мы лечили 20 лет и вылечили. Prompt injection — фундаментально нерешаема. Это не я придумал. OWASP ставит её на первое место второй год подряд. Найдена в 73% продакшн AI-систем при аудитах. Вы не за статистикой сюда пришли. Вы пришли за мясом. Ниже — 10 кейсов, которые не попали в...
Технический разбор Greenwich: когда «полезное» расширение начинает видеть слишком много
Это разбор браузерного расширения Greenwich, которое заявлено как инструмент для обмена связанными ссылками между пользователями. На практике его техническая реализация вызывает вопросы с точки зрения приватности и безопасности. В статье мы кратко и по делу рассмотрим, какие разрешения запрашивает...
RAG Testing: как не сломать retrieval
RAG ломается не так, как обычный LLM. У голой языковой модели одна поверхность отказа - генерация. У RAG-системы таких поверхностей две: retrieval и generation. И ломаются они по-разному. Retriever может вернуть нерелевантные чанки, потерять нужные документы или ранжировать их неправильно....
HackTheBox. Прохождение CrimeStoppers. Уровень — Сложный
Прохождение сложной Linux машины на платформе HackTheBox под названием CrimeStoppers. Предварительно нужно подключиться к площадке HackTheBox по VPN. Желательно использоваться отдельную виртуальную машину. Реверсим приложение c помощью IDA PRO, потрошим Thunderbird, находим RCE на портале. Читать...
Нить для 3D-принтера из отходов: 6 систем переработки пластика в филамент
3D-печать давно стала обыденностью: принтеры работают дома, в гаражах и небольших мастерских. При регулярном использовании постепенно накапливаются обрезки, поддержка и просто неудачные детали. Выбрасывать их жалко: расходный материал стоит недешево, особенно если печатаешь часто. Каждый заядлый...
Киберугрозы при взаимодействии с контрагентами и как защититься от них
На сегодняшний день трудно представить себе компанию без связей с внешним миром: клиентами, пользователями, поставщиками, партнерами, подрядчиками, компаниями, предоставляющими аутсорсинговые услуги и/или сервисы. Зачастую именно от того, как выстроены взаимоотношения с контрагентами, зависят...
«Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana
В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS....
Yttri vs Альтернативы — без религиозных войн
Yttri часто сравнивают с Notion, Obsidian, ChatGPT и облачными сервисами транскрипции - и это логично. В этой статье я разбираю, где эти инструменты реально выигрывают, а где упираются в ограничения: интернет, приватность, стоимость, разрозненность данных и «проект по настройке плагинов». Сравнение...
Я пришёл в программирование из логистики. И в итоге начал строить “завод” по созданию кода (без команды)
Привет, Хабр. Немного контекста, потому что я уже успел наступить на грабли: написал технический пост, получил пару “вежливых” комментариев, пару очень невежливых, и карма улетела туда, где зимой холодно. ))) Нюанс какой: я зашёл “с места в карьер”, как будто все уже знают, кто я, откуда и почему я...
OSINT для ленивых. Часть 4: Что у картинки за душой? Разбираемся с метаданными изображения
Визуальная информация — это супер, но как и слова, кторорые нам даны, чтобы скрыть правду, так и картинки могут служить инструментом манипуляции и обмана. И речь не только о том, что Ламба, которую ты посылаешь девушке, — липовая. Или очаровательная мордашка девушки из соцсетей — тюнингованная. —...
«Атаки носят массовый характер»: аналитический отчет по DDoS за 2025 год
Количество и мощность DDoS-атак ежегодно растут, ставя под угрозу доступность публичных и корпоративных сервисов. Для бизнеса это оборачивается не только прямыми финансовыми потерями, но и серьезным репутационным ущербом. Инфраструктура Selectel объединяет более 31 000 клиентов, которые генерируют...
Липкий след: исследуем атаки группировки PseudoSticky
Аналитики департамента киберразведки (Threat Intelligence) компании F6 изучили вредоносные кампании новой киберпреступной группировки, которая действует против российских организаций из сфер ретейла и строительства, НИИ и приборостроительных предприятий. За сходство с почерком Sticky Werewolf новую...
Смарт-контракт без иллюзий: разговор с Solidity-аудитором
Смарт-контракты могут использоваться не только в публичных блокчейнах, но и в корпоративных и permissioned‑EVM-сетях. При этом с аудитами безопасности по‑прежнему связано много упрощенных представлений: от веры в то, что они не нужны в приватной сети, до ожидания, что аудит способен гарантировать...
Как два человека прибор для слепых сделали
В этой статье хотелось бы затронуть такую непростую тему как изготовление устройств для людей с ограничениями по зрению. Речь пойдет об "еще одном устройстве", призванном улучшить жизнь. Но это не рекламная статья нового изделия, а скорее "взгляд за кулисы" изготовления похожих устройств, их...
Кибератака — это форс-мажор?
Кибератаки для российского бизнеса - это норма. Кто так сказал? Российские суды. Такая позиция приводит к тому, что бизнесу приходится брать весь риск на себя и отвечать за срыв бизнес-процессов по полной. Но есть исключения - в одном деле кибератаку признали форс-мажором. Мы разберем его, а еще...