Шифрование NFS: RPC-with-TLS как альтернатива VPN
Хотите защитить данные в сетях с использованием NFS? Мы расскажем, как настроить шифрование трафика с помощью RPC-with-TLS — от работы с сертификатами до диагностики ошибок. Узнайте о преимуществах технологии, её ограничениях и о том, как она может стать альтернативой VPN или Kerberos для повышения...
Как HTTP(S) используется для DNS: DNS-over-HTTPS на практике
HTTPS позволяет реализовать защищённую работу с интерфейсом DNS-резолвера, скрыв состав DNS-трафика, который иначе передавался бы в открытом виде. Это достаточно специальная технология, но она уже стала типовой функцией распространённых веб-браузеров и широко используется. Посмотрим, как это всё...
Что будет если отключить обновления на критически важных устройствах?
В небольшой компании «СмартРитейл», занимавшейся онлайн‑продажей электроники, всё шло своим чередом: заказы тикали, склад отгружал коробки, а директор грезил о «цифровой революции». ИТ‑инфраструктура была простая: два сервера на Windows Server 2012, пара виртуальных машин и Google Drive для базы...
Запуск Linux внутри PDF
По мнению некоторых пользователей, PDF — простой формат для обмена документами. На самом деле это очень сложный стандарт, который поддерживает выполнение практически любого кода. Неудивительно, что в прошлые годы энтузиастам удалось успешно запустить Doom внутри PDF и провести ряд других интересных...
Ну что, снова испанская барахолка: от роботов-пылесосов до ноутбуков. И немного странных девайсов
Привет, Хабр! И снова в погожий денечек я отправился на испанскую барахолку. Сегодня было огромное количество как продавцов, так и покупателей. Особенно покупателей — в некоторых местах было просто не протолкнуться. Ну и разных всяких гаджетов тоже немало, так что давайте оценим сегодняшние...
[Перевод] Как я нашел учетные данные к БД с помощью разведки в VDP от Gcash
Привет, сегодня я расскажу о другой находке в Gcash VDP и дам советы по методологии разведки, такие как: перечисление поддоменов, анализ технологий с помощью Wappalyzer, массовая разведка и определение области с помощью автоматизированных инструментов. Что такое определение области разведки?...
ReCAPTCHA Enterprise: подробный разбор способы распознавания и варианты обхода, какие решатели капчи существуют
Современные сервисы (вебсайты) повсеместно ставят для защиты капчу, усложняя жизнь разработчикам, SEO-специалистам и автоматизаторам (хотя изначально цель не в том, чтобы насолить автоматизаторам, а в том, чтобы минимизировать чрезмерную нагрузку на ресурс от таких вот ребят). Среди большого...
Жизнь после отвала eMMC. Часть 3: оживляем уникальный QWERTY-смартфон и загружаем Android с MicroSD
Есть у меня страсть к коллекционированию и ремонту интересных смартфонов прошлых лет. Недавно подписчик подарил мне весьма диковинный и необычный гаджет 2011 года: бюджетный QWERTY-смартфон Samsung Galaxy Y Pro с чипсетом от Broadcom. Помимо самого факта того, что смартфон обладал...
Как один разработчик предотвратил крупнейшую кибератаку: история взлома XZ Utils
Прошел ровно год с момента, когда мир с открытым ртом следил за расследованием одного из самых изощрённых бэкдоров в истории Linux. История с библиотекой xz Utils напоминала триллер: внедрение под реальным именем, доверие сообщества, закладки в коде — и случайное обнаружение в самый обычный рабочий...
Цена «мусорных» логов: Как некачественная информация чуть не привела к провалу
Когда данные врут или молчат: Как мы вытаскивали расследование атаки из трясины плохих логов, и почему вам стоит проверить свои прямо сейчас. Читать далее...
[Перевод] IDOR & UUIDs для утечки PII
Введение Привет, сегодня я поделюсь с вами очередным отчетом. Уязвимость, о которой мы поговорим, это IDOR. С помощью которой, я смог раскрыть личную идентификационную информацию (сокращенно PII). Быстро объясню, что такое IDOR и PII. Что такое IDOR Это сокращение от Insecure Direct Object...
Как я беспроводные наушники починил: что может пойти не так и как решить эту проблему, проверив материнскую плату
Привет, Хабр! Давненько я уже ничего не писал про ремонты. И сейчас решился, благо, есть интересный случай. Недавно знакомый принес беспроводные наушники JVC своей дочки. Недорогие (около 40 евро), но достаточно неплохие наушники, которые обеспечивают хороший звук. Никаких проблем с ними никогда не...
[Перевод] CrowdStrike — 2025 — Global Threat Report (Отчет о глобальных угрозах)
Киберугрозы эволюционируют с невероятной скоростью, и каждый год приносит новые вызовы для специалистов по информационной безопасности. В отчете CrowdStrike Global Threat Report 2025 представлен детальный анализ современных атак, тенденций и тактик злоумышленников. Краткий обзор, он же Введение из...
Топ самых интересных CVE за март 2025 года
Всем привет! Разбираем самые интересные уязвимости ушедшего месяца. В марте отметилась россыпь RCE: в Veeam Backup & Replication, Apache Tomcat, GraphQL-Ruby, IP-камерах Edimax и продуктах от VMware и Microsoft. Последняя также исправила семь нулевых дней в своём софте, 0-day на выход из песочницы...
Разбор CVE-2025-24071
В этой статье разберем CVE-2025-24071 — нашумевшую критическую уязвимость, связанную с обработкой файлов .library-ms в Windows Explorer. Расскажем, как работает атака злоумышленников, какие события она оставляет в системе и как обнаружить попытки эксплуатации. А еще — какие меры защиты помогут...
Что скрывает тупой пульт в вашем умном доме
В свободное от работы время занимаюсь хобби — экспериментирую с умным домом на базе Home Assistant (HA) и окружающей его программно‑аппаратной инфраструктурой в виде различных медиасервисов, сервисов мониторинга и прочего. Задумывались ли вы о том, что могут скрывать в себе протоколы передачи...
Безопасность AI-агентов в Web3. Часть 2: уязвимости современных LLM и соревновательный взлом
Продолжаем знакомиться с небезопасным Web3 и языковыми моделями, которые широко применяются для AI-агентов. В этой статье расскажу о новых подходах и примерах успешных jailbreak-запросов GPT4/4.5/Claude. Посмотрим на современные модели, в т.ч. те, которые и ломать не надо. Сравним стойкость разных...
Киберпанк, сингулярность
Я набираю этот текст на свежем ноутбуке от Apple, с процессором M4 Pro. В его строгом аллюминевом корпусе, достаточно мощности для современных игр на высоких настройках и для запуска локальных LLM. У него есть выделенный нейронный сопроцессор (NPU). Он может отображать сложные трехмерные сцены с...