[Перевод] Kubernetes для пентестеров
В этом практическом руководстве, мы познакомимся с Kubernetes (K8s) с точки зрения пентестера, а именно с основами, терминологией и методами исследования экземпляров Kubernetes. Читать далее...
Исследую роутеры с «вечным VPN» с российских маркетплейсов: admin:admin, открытые порты и доступ к соседям
Привет, Хабр! Меня зовут Иван Глинкин, я занимаюсь инфраструктурным тестированием и аппаратным хакингом в Бастионе. Недавно наткнулся на интересное предложение на российских маркетплейсах — роутеры с предустановленным «пожизненным» VPN. Звучит заманчиво: купил, включил и сразу получаешь безлимитный...
В России «раскололи» зарубежную постквантовую схему электронной подписи
В лаборатории криптографии российской компании «Криптонит» построена первая структурная атака, ставящая под сомнение надёжность оригинальной схемы pqsigRM и её новой модификации Enhanced pqsigRM. Безопасность кодовых криптосистем с открытым ключом основывается, в том числе, на выборе базового кода,...
Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023
Многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru. Эта история наделала много шума, но, как мне кажется, главный вывод из неё так и не был усвоен широкой аудиторией. А зря. Потому что эта атака вскрыла системную уязвимость в процессе выдачи TLS...
GPT ломает приватность: что должен знать разработчик
За последний год AI встраивается буквально во всё. Ещё недавно его приходилось отдельно запускать. Теперь он встроен везде. Даже те, кто не ставил себе отдельные плагины, уже взаимодействуют с AI каждый день. Он вшит в SaaS-продукты и работает в фоне. Иногда так, что пользователь об этом вообще не...
Безопасности не существует: как NSA взламывает ваши секреты
Конечные поля, хэш-мясорубки, скрытые радиоканалы и трояны, запаянные в кремний. Пока мы гордимся замками AES-256, спецслужбы ищут обходные тропы: подменяют генераторы случайности, слушают писк катушек ноутбука и вывозят ключи через незаметные ICMP-пакеты. Эта статья собирает мозаичную картину...
Paranoia Mode: подборка инструментов для приватной и безопасной работы в Linux
Технологии позволяют следить за каждым — где вы бываете, что ищете, на что кликаете. А любая утечка личных данных может обернуться серьезными последствиями: от взлома аккаунтов до компрометации корпоративной инфраструктуры. Особенно если вы работаете с чувствительной информацией или просто не...
[Перевод] Я завайбкодил и запустил приложение за три дня. И его взломали. Дважды. Вот что я усвоил
Моё приложение представляет собой каталог, который объединяет профили исследователей безопасности с различных платформ, таких как HackerOne, Bugcrowd, GitHub и других. Фронтенд подключается к Supabase, и я создал его с помощью инструментов Lovable и Cursor. Вся автоматизация, которая подает данные...
[Перевод] Разбор уязвимости умного Bluetooth-замка
Привет, Хабр! Сегодня предлагаем разобрать успешный взлом коммерческого умного замка с поддержкой Bluetooth, который открывается по отпечатку пальца или через беспроводное соединение. Здесь будет реверс‑инжиниринг мобильного приложения, манипуляции с API‑запросами и перехват протокола связи...
Персональные AI-ассистенты или как открыть любому человеку свою почту и календарь
Всем привет! На связи Юрий Шабалин, управляющий директор Стингрей. И сегодня у нас тема не про мобильные приложения, а, пожалуй, самая трендовая — про AI-ассистентов и их проблемы. Читать далее...
Как мессенджеры шифруют сообщения (end-to-end) на самом деле
В этой статье мы углубимся в реализацию шифрования (end-to-end) сообщений на стороне клиента с использованием JavaScript и Web Crypto API, разобрав практический пример, который будет в самом конце статьи. Начнём с того, что если вы полный ноль в криптографии, то понять написанное здесь может быть...
Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных
После ухода HashiCorp с российского рынка многие компании стоят перед выбором: переехать на Community-редакцию Vault и дорабатывать её под свои потребности или купить готовый продукт, где многие фичи доступны «из коробки» и есть поддержка от разработчиков. В этом году мы добавили в свой менеджер...
Централизация биткойн-майнинга в 2025 году: концентрация хешрейта усиливается
К 2025 году майнинг биткойна стал заметно более централизованным, чем когда-либо прежде. Согласно исследованию независимого аналитика b10c, шесть крупнейших пулов контролируют более 95% добываемых блоков. Такая концентрация вычислительных мощностей может стать угрозой устойчивости и децентрализации...
DDoS-атаки против «малого и среднего» интернета
Корпорациям и финтеху не впервой сталкиваться с DDoS. Однако под удар всё чаще попадают небольшие проекты, неспособные эффективно защитить себя. Рассказываем, что собой представляет малый и средний интернет, с какими DDoS-атаками ему приходится иметь дело, и какие есть варианты для защиты. Читать...
[Перевод] На самом деле у ползунка UAC всего два реально отличающихся положения
Перевод довольно старой статьи, которая, кажется, не теряет актуальность. В Панели управления Windows можно выбирать, как часто вас будет донимать UAC. На выбор пользователю даётся четыре варианта... Читать далее...
Как настроить автоматическое обновление SSL-сертификатов Let’s Encrypt с помощью Certbot на Ubuntu
Пошаговое руководство по автоматической генерации и обновлению SSL-сертификатов на Ubuntu с помощью Let’s Encrypt и Certbot. Примеры, cron-задачи, systemd-таймеры и кастомные bash-скрипты — всё, что нужно для бесперебойной работы HTTPS. Читать далее...
Храним пароли в микроволновке. Mini PC, Vaultwarden и KeenDNS
В 2024 году количество утечек данных по всему миру побило все предыдущие рекорды: по оценкам аналитиков, более 9 миллиардов уникальных записей, включая логины и пароли, оказались в открытом доступе из‑за массовых взломов и небрежного отношения пользователей к собственной информационной...
Как я убил свой сайт: детективный триллер про жадность, nulled-плагин и падение с 9000 до 100
Когда-то у меня был сайт. Не стартап, не интернет-магазин, не проект с инвесторами. Просто блог. Мой личный уголок под названием setiwik.ru — такая цифровая записная книжка, чтобы не забыть важное. Типичный склерозник, где я писал статьи по IT, переводил интересные материалы, собирал мысли в кучу....
Назад