Как я разработал PoC-конструктор для приложений Android
Как рутинная разработка PoC-приложений под Android привела к созданию собственного конструктора нагрузок: от зарождения идеи до появления DexRunner и DEXLab – инструментов для быстрой сборки, доставки и исполнения DEX-нагрузок прямо на устройстве без вмешательств в логику приложения. Читать далее...
Стек российского сисадмина в 2026
Ушел TeamViewer, Veeam не купить, Jira SM превратилась в тыкву. Собрали актуальный стек российского сисадмина в 2026: шесть категорий, только то что реально работает в проде. Внутри — таблица импортозамещения, честные минусы каждого продукта и чек-лист выживания инфраструктуры. Собрать стек...
Как получить root на Urovo DT40 Pro (CT48): Android 12 (Проверено на практике)
Терминалы сбора данных (ТСД) - это не смартфоны. Производители корпоративного оборудования, такие как Urovo, стараются намертво закрывать систему: нет открытых прошивок, а Fastboot ведёт себя нестандартно, нет мануалов. Читать далее...
Shadow AI: 80% сотрудников уже пишут в ChatGPT. Почему мы делим задачи на красные, зелёные и серые
Восемь из десяти офисных сотрудников уже пользуются публичными нейросетями — часто без ведома IT. Запрет не работает: 90% руководителей безопасности сами заходят в несанкционированные ИИ-инструменты. Мы у себя в команде на 90+ человек два года живём с матрицей из трёх зон — красной, зелёной и...
AI обнулил benchmark и пытался шантажировать инженера. И почему это решаемо
Топовые AI-модели с 95% на SWE-bench показывают 0% и 3% на ProgramBench бенчмарке, где задачи специально не пересекаются с обучающей выборкой. Не «упали на десять пунктов» - обнулились. Параллельно: в мае 2025 Anthropic опубликовали safety-эксперимент, где Claude Opus 4 в 84-96% случаев пытался...
Open-source VPN клиент Tunguska
Tunguska — открытый Android-клиент для собственных VPN-профилей. Фокус — на безопасность. Он умеет импортировать профили, выбирать sing-box или Xray + tun2socks, поднимать системный VPN-туннель Android, настраивать маршруты по приложениям и показывать состояние сессии. Это клиент для людей, у...
HackTheBox. Прохождение Mini Pro Lab Puppet
Вам поручено провести проверку на проникновение в компанию Puppet Inc. Компания не разрешает передачу данных за пределы внутренней сети, поэтому внутри компании был создан сервер управления и контроля (C2), и сотрудник запустил вредоносную программу для имитации успешной атаки с использованием...
Kubernetes-аудит после Wiz и Prisma: как живут без CNAPP в 2026
В 2022–2024 западные CNAPP-платформы — Wiz, Prisma Cloud, Lacework — закрыли доступ для российских компаний. Сбер и Яндекс собрали свой стек на коленке, а вот у банков второго эшелона и финтеха с командой ИБ из 1-3 человек стало больно: Kubernetes в проде, аудит ФСТЭК через три месяца, а показать...
MTProxy jumper — делаем автоматическое переключение прокси-серверов Telegram
В свете последних новостей вокруг Telegram провела некоторые эксперименты с протоколом MTProxy. Основная идея: сделать ПО, выглядящее для Telegram-клиента как MTProxy-сервер, и осуществляющее дальнейший обмен данными со сторонними MTProxy-серверами. В идеале, эти сторониие серверы должны...
Cбор биометрических данных. Как защищается наша биометрия на практике
Помните, как в фильмах про агентов 007 прикладывали палец к сенсору или сканировали сетчатку глаза, чтобы попасть в секретную лабораторию? Когда-то это казалось чем-то фантастически дорогим, сложным и абсолютно надежным. Сейчас технологии, связанные с биометрией, как-то резко и незаметно вошли в...
CGE: визуализация кравлера и скрытых связей между поддоменами
Привет, Хабр! Хотелось бы поделиться с вами моим open-source проектом для поиска директорий, поддоменов, ака crawler. Я не говорю, что он перевернёт мир краулеров или превзойдёт Katana, но, думаю, утилита будет крайне полезна для red team-команды. https://github.com/a11mut3d/CGE Проблемы, которые...
Книга: «Современный Java Concurrency. Глубокое погружение в Virtual Threads, Structured Concurrency и Scoped Values»
Привет, Хаброжители! Добро пожаловать в будущее Java! Изучите главное новшество Java 21 — виртуальные потоки. Помните, как приходилось бороться с высокой стоимостью создания потоков, сталкиваться с ограничениями масштабируемости и трудностями при попытке достичь высокой пропускной способности? Те...
Пет-проект, который не умер: система бронирования устройств как полигон для AI-разработки
Привет, Хабр. На связи Маша Лещинская, Head of QA в Surf. Мы все любим пет-проекты, и еще больше — пет-проекты на AI. Но есть нюанс: большинство таких штук забываются через неделю, потому что их сложно и дорого поддерживать. Я сделала проект, который живёт уже третий месяц, и причина не в каких-то...
Не надо встраивать ИИ в каждую корпоративную систему, это архитектурная ошибка
Главная мысль этой статьи простая: не надо встраивать ИИ в каждую корпоративную систему как отдельный самостоятельный AI-контур. Пользователь должен видеть ИИ там, где работает: в CRM, СЭД, ITSM, мониторинге, портале или корпоративном чате. Но модели, GPU, gateway, лимиты, аудит, политики доступа,...
CVE, Shell и побег из контейнера: испытываем возможности PT Cloud Application Firewall
Привет, Хабр! Меня зовут Иван Чеботарев, инженер направления защиты приложений в К2 Кибербезопасность. В статье рассмотрю, как PT Cloud Application Firewall (ucWAF) реагирует на побег из контейнера после RCE с использованием новой CVE-2025-55182. Это уязвимость в Next.js, открывающая Remote Code...
Как я научил Алису петь: генерация музыки по голосовой команде
Мы живём в Мельбурне. Дочь растёт в русскоязычной семье, и мне хочется, чтобы русский был для неё не только «языком, на котором разговаривают дома», но и языком, на котором происходит что‑то прикольное. Я купил Яндекс Алису Макс и Алису Про. Для русского языка альтернатив толком нет: Amazon Echo,...
3 Тбит/с по-русски: почему DDoS в 2026 году стал угрозой для любого бизнеса
В I квартале 2026 года Россия впервые столкнулась с DDoS-атаками мощнее 3 Тбит/с. Атаки стали короче, умнее и опаснее — и защищаться «своими силами» больше не получается. Собрали свежую статистику StormWall и Cloudflare и разобрали, что реально работает против терабитных потоков. Читать далее...
Ваши секреты внутри LLM. Куда уходят промпты и чего стоит опасаться?
Каждый раз, когда Вы отправляете часть своего кода в Cursor, Claude Code или скидываете свой отчет для анализа в Gemini или Qwen, где-то в мире грустит один юрист по информационной безопасности. Нейросети - это магия (ну или статистическая закономерность), а кто-то из нас хотя бы раз открывал...