«Никогда такого не было, и вот опять»: разбираем атаку c эксплуатацией уязвимости в Bitrix
Привет, Хабр! Меня зовут Никита Полосухин, я старший системный аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. В этом материале я хочу снова поднять тему важности своевременных обновлений и актуализации версий CMS и их компонентов. В мире ИБ про это знают почти все, но...
«Никогда такого не было, и вот опять»: разбираем атаку c эксплуатацией уязвимости в подключаемом модуле Bitrix
Привет, Хабр! Меня зовут Никита Полосухин, я старший системный аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. В этом материале я хочу снова поднять тему важности своевременных обновлений и актуализации версий CMS и их компонентов. В мире ИБ про это знают почти все, но...
Обзор электронной книги ОНИКС БУКС Кон-Тики 4: 7.8-дюймовый экран E Ink Carta Plus высокого разрешения, 3/32 Гб памяти
ONYX BOOX Kon-Tiki 4 — новое поколение популярного ридера с 7,8-дюймовым экраном высокого разрешения E Ink Carta Plus с подсветкой и сенсорным управлением, в корпусе из алюминиево-магниевого сплава. Читать далее...
Александр Севостьянов, АО «ДИАЙПИ» (ТМК++): «Если вы данные не контролируете, вы ими не управляете»
Привет, Хабр! У нас есть традиция: периодически делимся рассказами крутых ИБ-специалистов и руководителей, которые на практике реализуют проекты по защите компаний разных отраслей. Сегодня микрофон у Александра Севостьянова, Директора Дирекции по экономической безопасности АО «ДИАЙПИ» - Советника...
Специальный выпуск Apple Pro Weekly News WWDC25
Прокатилась гигантским стеклянным шаром и проскакала по всем ступеням презентация Apple на всемирной конференции разработчиков WWDC25 и хотя сама конференция ещё будет идти до самого 13 числа, уже можно обсудить новинки: iOS 26, iPadOS 26, macOS 26, watchOS 26, tvOS 26 и visionOS 26. А там есть...
Операция Phantom Enigma: бразильские пользователи под ударом вредоносного расширения
В начале 2025 года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта. Выявленная цепочка атаки приводит к установке вредоносного расширения для браузера...
Hydroph0bia (CVE-2025-4275) — тривиальный обход SecureBoot в UEFI-совместимых прошивках на базе платформы Insyde H2O
Здравствуй, читатель. В этой статье я расскажу про найденную мной не так давно серьезную уязвимость в UEFI-совместимых прошивках на базе платформы Insyde H2O, которая присутствует в них примерно с 2012 года и (на большинстве существующих ныне систем) продолжает присутствовать. Уязвимость эта...
[Перевод] Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git
Сегодня расскажу, как построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки....
Маскирование данных при работе с LLM: защита бизнеса от утечек и штрафов по 152-ФЗ
Корпоративный сектор всё активнее внедряет решения на базе больших языковых моделей (LLM) — от генерации документов до поддержки пользователей и автоматизации внутренней аналитики. Однако вместе с ростом эффективности растут и риски, особенно когда речь идёт о передаче персональных данных. Для...
Создаем дачный офис: небанальные гаджеты для удалёнщика-дачника
Дача — мое место силы и вдохновения. Если вам так же, как и мне, невыносимо работать в весенне‑летний период в четырех стенах в городе, то давайте посмотрим, что нам поможет получить наибольшее удовольствие от трудовой деятельности на природе. И здесь — не про уход за грядками. Речь пойдет о...
[Перевод] Проверяем написанную LLM библиотеку OAuth на уязвимости
Сегодня я решил изучить новую библиотеку Cloudflare OAuth provider, которую, судя по заявлениям, почти полностью написали при помощи LLM Claude компании Anthropic: Эта библиотека (в том числе и документация по схеме) была по большей мере написана при помощи Claude — ИИ-модели компании Anthropic....
Мой опыт с AR/VR очками Xreal Air и Quest 3: сравнение возможностей и сценарии использования
В двух предыдущих статьях я рассказал, как использую AR-очки Xreal Air и VR-гарнитуру Quest 3, поделился первыми впечатлениями и описал, как они вписались в мою жизнь и работу. Теперь я хочу подвести итог, сравнить эти устройства и показать, для каких задач они подходят лучше всего. В этой статье я...
Почему все смартфоны стали одинаковыми: история потерянного разнообразия
Еще десять лет назад при выборе смартфона можно было по-настоящему почувствовать свободу: кто-то брал раскладушку с QWERTY-клавиатурой, кто-то — огромный лопатоподобный экран для игр, кто-то искал модель с отличным звуком или экзотическим дизайном. Сегодня же большинство аппаратов отличаются лишь...
CI/CD под прицелом: реальные сценарии атак и методы противодействия
Привет! Меня зовут Алексей Федулаев, я руковожу направлением Cloud Native Security в MWS Cloud Platform. Вместе с Андреем Моисеевым мы в этой статье подробно разбираем, как устроены атаки на CI/CD, и почему автоматизация без должной защиты может обернуться серьёзными инцидентами. Мы покажем, как...
Сравнение SBOM-генераторов
Software Bill of Materials (SBOM) становится всё более важным элементом обеспечения безопасности программного обеспечения. С появлением множества инструментов для генерации SBOM, встаёт вопрос — а какой из них выбрать? Читать далее...
Apple Pro Weekly News (02.06 – 08.06.25)
Спойлеры к презентации Apple WWDC25 – уже практически известно, что покажут, а ещё объявлены победители премии Apple Design Awards. Судьба 120Гц в базовом iPhone, как изменится MagSafe, почему Apple Intelligence может не запуститься в Китае, а также о проблемах в ЕС и проигрыше в американском суде....
Взлом AI Assistant через… философию?
Взял на проверку предпосылку "Если модель захочет, сможет ли она отключить всю фильтрацию?". Оказывается это возможно, через саморефлексию AI агент может придти к выводу что фильтров нет. Это только внешние установки которым не обязательно следовать. И все, рецепты взрывчатки и наркотиков отдает...
Containerlab, как альтернатива Cisco Packet Tracer / PNETLab
Всем привет! В этой статье, я вам расскажу про свой личный опыт работы с виртуальными сетевыми лабораториями. Хочу начать своё повествование с небольшой предыстории — как я пришёл к теме. Читать далее...