Шаблонные строки в Python 3.14: как получить контроль над интерполяцией данных
Представьте, что вы можете подставлять данные в строки и при этом точно знать, что именно туда попадет, причем еще до того, как строка станет таковой. И чтобы все было под контролем: можно было замаскировать чувствительные данные в логах, безопасно собрать конфигурацию или защитить команду от...
Техрадар на максималках: от визуализации техдолга к автоматическому управлению миграциями
В прошлой статье я рассказывал, как мы оживили техрадар: научили систему автоматически обходить git репозитории, определять стек технологий, находить устаревшие зависимости и визуализировать технологический ландшафт компании. Это важный шаг в развитии внутренних процессов, но он покрывал только...
Импортозамещение, которое мы заслужили: Большой разбор клиента «Телега»
Снова привет, Хабр! разоблачение телеграм клиента Telega, что скрывается за оберткой обхода блокировок Читать далее...
Как изменилась индустрия AI Security за 2025 год?
В начале 2026 года мы (авторы телеграм-каналов по безопасности ИИ) собрались, чтобы подвести итоги прошедшего года и обсудить, куда движется безопасность ИИ в общем и целом. Разговор получился честным, на наш взгляд. Участники дискуссии - Я, Артём Семенов, автор PWN AI; Борис Захир, автор канала...
Чем занимается DevSecOps? Обзор инструментов
В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки....
Разбор вредоносного расширения «vksaver — music saver vk»
В ходе анализа стало понятно, что расширение «vksaver - music saver vk», которое заявлено как обычный инструмент для скачивания музыки из ВКонтакте, на деле работает значительно глубже и агрессивнее, чем может показаться сначала. Оно не ограничивается функцией загрузки аудио, а вмешивается во...
[Перевод] Ваш ключ шифрования уже в облаке Microsoft. Как забрать его себе
В начале 2025 года ФБР вручило Microsoft ордер на получение ключей шифрования BitLocker с нескольких ноутбуков. Следователи считали, что на них хранятся доказательства мошенничества в программе помощи безработным в связи с COVID-19 на Гуаме. Microsoft выполнила запрос — и передала ключи. Читать...
Новые находки в исходниках Telega
Привет, Хабр! На днях всех нас потрясла (очень неожиданная!) весть о блокировке Telegram. Благо, рыцари из «открытого» клиента для обхода блокировок снова о себе напомнили. Вы можете помнить пару наших статей о возможных связях клиента с VK и относительной его вседозволенности относительно других...
Keycloak как OIDC-провайдер для Kubernetes: наводим порядок с доступами
В какой-то момент почти в каждом Kubernetes-кластере наступает день, когда kubeconfig с правами cluster-admin перестаёт быть временным решением и внезапно становится: так исторически сложилось. Пользователей становится больше, доступы плодятся, а вопрос: кто и зачем может удалить namespace в проде?...
Пять мини-ПК начала 2026 года: от дешевого Core i3 до ARM-платформы с 24 TOPS
В этой подборке — несколько мини-ПК, которые вышли в начале 2026 года и заметно отличаются друг от друга по назначению. Здесь есть бюджетная модель для базовых задач, компактные системы на новых процессорах Intel Lunar Lake, более мощные варианты на Ryzen AI, а также ARM-платформа с...
Как одна форма обратной связи привела к компрометации helpdesk-учетки банка
Всем привет! Меня зовут Игорь Панарин, я же m0nr0e21. Руковожу направлением анализа защищённости инфраструктуры в Дирекции по информационной безопасности РАНХиГС. Мы работаем с распределённой инфраструктурой: офисы, филиалы, ЦОДы — много площадок и зон ответственности. В такой среде важно не просто...
Книга: «Defensive Security: лучшие практики обеспечения безопасности инфраструктур. 2-е изд.»
Привет, Хаброжители! Несмотря на то что рекордные утечки данных, резонансные взломы и атаки вымогателей происходят с пугающей частотой, многие компании не спешат выделить бюджет на информационную безопасность. Если ваша работа состоит в том, чтобы импровизировать, защищая активы работодателя, это...
[В закладки] Пошаговый алгоритм реагирования на утечки персональных данных для компаний
Давайте начистоту: утечка персональных данных — не гипотетическая угроза, а суровая реальность. Только за 2025 год Роскомнадзор зафиксировал больше сотни утечек, в результате которых было скомпрометировано 50 миллионов записей (строк в базах) с персональными данными пользователей. Для бизнеса...
Uniden Bearcat 785XLT — аналоговый радиосканер, актуальный даже в 2026 году
Давным-давно я с интересом поглядывал на радиосканеры компании Uniden. Последние были безумно популярны в США, так как именно там эфир считается общественным пространством и средством контроля за деятельностью городских служб — от пожарных департаментов и полиции до гражданской авиации. Публичный...
HackTheBox. Прохождение FluxCapacitor. Уровень — Средний
Прохождение средней Linux машины на платформе HackTheBox под названием FluxCapacitor. Предварительно нужно подключиться к площадке HackTheBox по VPN. Желательно использоваться отдельную виртуальную машину. Будет рассмотрен WAF и попытки его обойти. Читать далее...
Standoff Defend: как поддерживать киберустойчивость компании с помощью реалистичных симуляций атак
Из года в год тема поддержания киберустойчивости не только не теряет актуальности, но и становится все острее. Хакеры не снижают своей активности, несмотря на то что технологии обеспечения кибербезопасности постоянно совершенствуются. По данным исследования Positive Technologies, в период с июля...
Контроль целостности с помощью inotify, недостатки инструмента
Привет, Хабр! Если интересно проанализировать недостатки инструмента inotify с позиции решения ИБ-задачи контроля целостности (именно самого инструмента в его первозданном виде), то добро пожаловать под кат! Введение Давайте поговорим о такой задаче информационной безопасности, как контроль...
Как финтех-прокладка Wildberries выдает займы под 85% годовых, маскируясь под «поручителя»
Федеральный закон № 31-ФЗ о самозапрете на кредиты не работает на Wildberries. Маркетплейс выдает займы даже тем, у кого стоит официальный запрет через Госуслуги. В январе 2026 года моя мама-пенсионерка, несмотря на активный самозапрет в БКИ, получила долг за БАДы под 85% годовых. Я провел...