Система защиты: от операционных целей к стратегическому планированию в информационной безопасности
Любая эффективная система информационной безопасности строится не на разрозненных средствах защиты, а на строгой архитектуре, основанной на фундаментальных принципах. Принципы переводят абстрактные понятия о безопасности в конкретные технические требования и управленческие решения, позволяя связать...
42 000 зрителей, 220 команд и 400 городов: как прошел CyberCamp 2025 (взгляд изнутри)
С 20 по 25 октября в четвертый раз прошел CyberCamp 2025 — главный онлайн-кэмп по практической кибербезопасности. В этом году мероприятие вышло на новый уровень: к эфиру подключились более 42 000 зрителей из 400 городов, а в командных киберучениях приняли участие 220 команд — почти вдвое больше,...
Как настроить Nginx, чтобы выдержать DDoS
Количество DDoS-атак растёт экспоненциально. В этой статье мы разберём практические приёмы настройки Nginx и Linux, которые помогут вашему сервису не рухнуть в самый неподходящий момент. Привет, Хабр! Меня зовут Сергей Черкашин, и я — руководитель команды по эксплуатации систем и защиты от...
Практическое руководство по обеспечению цифровой и операционной безопасности: Принципы Zero Trust
Современный цифровой мир — это враждебная среда, где приватность стала товаром, а тотальная слежка — нормой. Это практическое руководство, основанное на принципе Zero Trust, научит вас выстраивать многоуровневую защиту: от выбора и настройки ОС до обхода DPI с помощью VLESS + Reality и соблюдения...
Руководство по архитектуре браузерных песочниц: как работает изоляция JavaScript-кода
Всем привет! Последние несколько месяцев я работаю над пет-проектом — интерактивной образовательной платформой для изучения Web Audio API и принципов обработки и синтеза цифрового звука. На платформе пользователи смогут решать задачи, программируя на JavaScript прямо в браузере. Эти программы...
Как устроена цензура изнутри. На примере слитого китайского фаерволла (блокировки Tor, VPN, анализ трафика)
Продолжаем нашу серию статей с разбором работы Китайского Firewall'а (GFW). В этой статье углубимся в техническую часть этой системы Читать далее...
ПДн в нашем доме или 152-ФЗ в практике ЖКХ
В последнее время так совпало, что я много общался с ЖКХ не как юрист и ИБ-специалист, а как обычный собственник жилья. Споры с управляющей компании, перерасчёты, общие собрания, домовые чаты, запросы в ГИС ЖКХ — в общем полный набор «бытового» взаимодействия. И почти в каждом эпизоде, где...
Угрозы безопасности в многокомпонентных облачных средах: проблема ошибок конфигурации
Многокомпонентные облачные среды сегодня являются фундаментом цифровой инфраструктуры: корпоративные ИТ-системы, распределённые сервисы, CI/CD-пайплайны и платформенные решения опираются на гибкость, масштабируемость и автоматизацию облачных платформ. Тем не менее, усложнение архитектуры неизбежно...
[Перевод] Ваш антивирус мёртв. Его убил искусственный интеллект
Сегодня, просматривая новости из мира ИИ, я наткнулась на статью о вредоносной программе под названием PROMPTFLUX, которая, как выяснилось, каждый час переписывает свой собственный исходный код, обращаясь за помощью к искусственному интеллекту. Вы можете себе такое представить? Совсем недавно я...
Что скрывается за «сертификатами безопасности» от Минцифры?
Здравствуйте, уважаемые хабровчане. Я решил провести собственное небольшое расследование о так называемых «сертификатах безопасности» от Минцифры. Цель — собрать полное техническое досье и разобраться, почему их установка может нести потенциальные риски для безопасности данных. (Оригинал без...
VPN как троянский конь: индустрия продаёт не только приватность, но и ваше доверие Почему Y2Y-модель самая оптимальная
VPN многие воспринимают как магический щит: один клик — и твой трафик зашифрован, IP скрыт, ты полностью анонимен. Знакомая история, правда? Но что если инструмент, которому доверяют миллионы, на самом деле построен так, чтобы собирать данные и продавать ваше доверие? Я давно слежу за индустрией...
Скважины, потоки и GC: как Java помогает качать нефть и сохранять ИТ-ресурсы и кадры
Многие промышленные системы ТЭК десятилетиями держались на Java. И это помогло им избежать полного ребилда. Если коротко: нефтегазовые компании в России не стали переписывать свои системы с нуля — они просто остались на Java. Только теперь — на отечественной. Читать далее...
Hi-tech наушники Sony WH-1000XM6: мой опыт использования и впечатления из первых рук
Давно хотел купить хорошие наушники для поездок и работы, и в прошлом году решился. Выбрал Sony WH-1000XM5 — и не разочаровался. Они подключались мгновенно, держали заряд весь день и позволяли спокойно слушать подкасты или музыку даже в гудящем метро или шумном офисе. К сожалению, музыка играла не...
Самые необычные серверы Minecraft: от умной лампочки до микроконтроллера. Как это работает?
Minecraft давно вышел за рамки развлечений. Сейчас это еще и площадка для экспериментов. Энтузиасты запускают сервера игры на устройствах, которые вообще не предназначены для такого. Как вам — умная лампочка с мигающим светодиодом, роутер, забытый в шкафу, микроконтроллер ESP32 размером с марку?...
Обзор утилиты TunerPro (или const volatile)
TunerPRO это бесплатный бинарный редактор прошивок. Это аналог STM32Studio. Эта программа позволит вам редактировать константы в готовом bin файле. Минуя стадию повторной пере сборки всего проекта прошивки. Можно сказать, что TunerPRO хакерская tool-а. Эта утилита связывает в едино всю информацию...
Размышления о машине Тьюринга и причинах возникновения ошибок в языках программирования
Пару лет назад я написал статью "Размышления о структурном программировании", в которой пытался разобраться с заблуждением, будто Эдсгер Дейкстра доказал, что любой алгоритм можно построить всего из трех конструкций (следования, ветвления, цикла). А вот теперь настало время написать про некоторые...
[Перевод] От анализа JavaScript-кода к административным JWT-токенам
Я занимался поиском уязвимостей на основном ресурсе и случайно ткнул на один из его субдоменов. Быстро осмотревшись, я решил переключиться на него. Первоначальная разведка Я начал с просмотра исходного кода страницы и одновременно запустил инструмент Katana для извлечения JavaScript файлов. Читать...
Критическая уязвимость в камерах v380: Как plaintext credentials раскрывали миллионы устройств
В 2023 году, исследуя безопасность IoT устройств, я наткнулся на критическую уязвимость в одном из самых популярных брендов IP-камер в мире. Камеры v380 используются миллионами людей — в квартирах, офисах, магазинах, детских комнатах. Они доступны, просты в настройке и работают через удобное...