Форки Firefox. Поднимаем собственный сервер синхронизации
Firefox — последний независимый браузер на собственном движке, который противостоит монополии Chrome. Однако некоторые пользователи недовольны политикой организации Mozilla: она собирает телеметрию, угрожает внедрять ИИ, искать новые источники дохода и использовать персональные данные...
10 забытых гаджетов, которые были слишком круты для своего времени
Вряд ли вас сегодня удивит новость об очередном крутом смартфоне, робо-собаке или игре с поддержкой 3D. Но вообще-то подобные девайсы появились куда раньше, чем многие думают. Просто порой они были слишком смелы для своей эпохи и провалились, но их идеи позже легли в основу того, чем мы пользуемся...
Zero Trust в облаке: практическое руководство
В этом руководстве рассматривается современный подход к безопасности — Zero Trust Network Access (ZTNA) — и показано, как его реализовать с помощью SPIFFE/SPIRE и OpenID Connect (OIDC). Материала много, по этому я предоставлю его в сухой форме. В основе ZTNA лежит принцип «никогда не доверяй,...
История о том как абсолютное оружие оказалось никому не нужным
Все началось с того что к нам в офис приехал директор иногороднего филиала. Он подошел ко мне и сказал примерно следующее: “Я переписываюсь с генеральным директором с помощью mail.ru. В переписке мы обсуждаем весьма щекотливые вопросы, связанные, например, с …, ну тебе лучше не знать…. Я бы не...
«Никогда такого не было, и вот опять»: разбираем атаку c эксплуатацией уязвимости в Bitrix
Привет, Хабр! Меня зовут Никита Полосухин, я старший системный аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. В этом материале я хочу снова поднять тему важности своевременных обновлений и актуализации версий CMS и их компонентов. В мире ИБ про это знают почти все, но...
«Никогда такого не было, и вот опять»: разбираем атаку c эксплуатацией уязвимости в подключаемом модуле Bitrix
Привет, Хабр! Меня зовут Никита Полосухин, я старший системный аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. В этом материале я хочу снова поднять тему важности своевременных обновлений и актуализации версий CMS и их компонентов. В мире ИБ про это знают почти все, но...
Обзор электронной книги ОНИКС БУКС Кон-Тики 4: 7.8-дюймовый экран E Ink Carta Plus высокого разрешения, 3/32 Гб памяти
ONYX BOOX Kon-Tiki 4 — новое поколение популярного ридера с 7,8-дюймовым экраном высокого разрешения E Ink Carta Plus с подсветкой и сенсорным управлением, в корпусе из алюминиево-магниевого сплава. Читать далее...
Александр Севостьянов, АО «ДИАЙПИ» (ТМК++): «Если вы данные не контролируете, вы ими не управляете»
Привет, Хабр! У нас есть традиция: периодически делимся рассказами крутых ИБ-специалистов и руководителей, которые на практике реализуют проекты по защите компаний разных отраслей. Сегодня микрофон у Александра Севостьянова, Директора Дирекции по экономической безопасности АО «ДИАЙПИ» - Советника...
Специальный выпуск Apple Pro Weekly News WWDC25
Прокатилась гигантским стеклянным шаром и проскакала по всем ступеням презентация Apple на всемирной конференции разработчиков WWDC25 и хотя сама конференция ещё будет идти до самого 13 числа, уже можно обсудить новинки: iOS 26, iPadOS 26, macOS 26, watchOS 26, tvOS 26 и visionOS 26. А там есть...
Операция Phantom Enigma: бразильские пользователи под ударом вредоносного расширения
В начале 2025 года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта. Выявленная цепочка атаки приводит к установке вредоносного расширения для браузера...
Hydroph0bia (CVE-2025-4275) — тривиальный обход SecureBoot в UEFI-совместимых прошивках на базе платформы Insyde H2O
Здравствуй, читатель. В этой статье я расскажу про найденную мной не так давно серьезную уязвимость в UEFI-совместимых прошивках на базе платформы Insyde H2O, которая присутствует в них примерно с 2012 года и (на большинстве существующих ныне систем) продолжает присутствовать. Уязвимость эта...
[Перевод] Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git
Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки....
Маскирование данных при работе с LLM: защита бизнеса от утечек и штрафов по 152-ФЗ
Корпоративный сектор всё активнее внедряет решения на базе больших языковых моделей (LLM) — от генерации документов до поддержки пользователей и автоматизации внутренней аналитики. Однако вместе с ростом эффективности растут и риски, особенно когда речь идёт о передаче персональных данных. Для...
Создаем дачный офис: небанальные гаджеты для удалёнщика-дачника
Дача — мое место силы и вдохновения. Если вам так же, как и мне, невыносимо работать в весенне‑летний период в четырех стенах в городе, то давайте посмотрим, что нам поможет получить наибольшее удовольствие от трудовой деятельности на природе. И здесь — не про уход за грядками. Речь пойдет о...
[Перевод] Проверяем написанную LLM библиотеку OAuth на уязвимости
Сегодня я решил изучить новую библиотеку Cloudflare OAuth provider, которую, судя по заявлениям, почти полностью написали при помощи LLM Claude компании Anthropic: Эта библиотека (в том числе и документация по схеме) была по большей мере написана при помощи Claude — ИИ-модели компании Anthropic....
Мой опыт с AR/VR очками Xreal Air и Quest 3: сравнение возможностей и сценарии использования
В двух предыдущих статьях я рассказал, как использую AR-очки Xreal Air и VR-гарнитуру Quest 3, поделился первыми впечатлениями и описал, как они вписались в мою жизнь и работу. Теперь я хочу подвести итог, сравнить эти устройства и показать, для каких задач они подходят лучше всего. В этой статье я...
Почему все смартфоны стали одинаковыми: история потерянного разнообразия
Еще десять лет назад при выборе смартфона можно было по-настоящему почувствовать свободу: кто-то брал раскладушку с QWERTY-клавиатурой, кто-то — огромный лопатоподобный экран для игр, кто-то искал модель с отличным звуком или экзотическим дизайном. Сегодня же большинство аппаратов отличаются лишь...
CI/CD под прицелом: реальные сценарии атак и методы противодействия
Привет! Меня зовут Алексей Федулаев, я руковожу направлением Cloud Native Security в MWS Cloud Platform. Вместе с Андреем Моисеевым мы в этой статье подробно разбираем, как устроены атаки на CI/CD, и почему автоматизация без должной защиты может обернуться серьёзными инцидентами. Мы покажем, как...