Kubernetes с поддержкой confidential containers (CoCo). Хакеры и облачные провайдеры останутся ни с чем
Kubernetes, который нельзя взломать. Знакомьтесь с Confidential Containers - технология, которая скрывает ваши контейнеры ото всех. В посте мы разберем: 1. Секреты архитектуры невидимых подов 2. Волшебство аппаратного шифрования (TEE) на практике 3. Kata Containers как ключ к конфиденциальности 4....
«Нейросеть, мы тебя отключим»: интервью о взломе LLM и реальной цене ИИ-инструментов
Первая полностью автоматизированная ИИ-атака уже случилась. Claude сам нашёл уязвимые компании, написал под них малварь, разослал её и начал шантажировать жертв с требованием выкупа в биткоинах. Взломано было 17 компаний. И это только начало. Сергей Зыбнев— Team Lead пентестер и специалист по...
Система защиты: от операционных целей к стратегическому планированию в информационной безопасности
Любая эффективная система информационной безопасности строится не на разрозненных средствах защиты, а на строгой архитектуре, основанной на фундаментальных принципах. Принципы переводят абстрактные понятия о безопасности в конкретные технические требования и управленческие решения, позволяя связать...
Как настроить Nginx, чтобы выдержать DDoS
Количество DDoS-атак растёт экспоненциально. В этой статье мы разберём практические приёмы настройки Nginx и Linux, которые помогут вашему сервису не рухнуть в самый неподходящий момент. Привет, Хабр! Меня зовут Сергей Черкашин, и я — руководитель команды по эксплуатации систем и защиты от...
[Перевод] Anthropic зафиксировали первый официальный случай крупной кибератаки, выполненной с помощью ИИ
Команда AI for Devs подготовила перевод статьи о первой зафиксированной кибератаке, почти полностью выполненной ИИ. Атака, где человек нужен лишь для того, чтобы пару раз «подтвердить заказ», — и это уже не фантастика, а реальность 2025 года. Читать далее...
Мелкий нюанс безопасности логина на примере Госуслуг
Если внезапно пришла СМС-ка "код для входа на госуслуги 314159" - какие обычно ваши чувства и действия? Если кратко - пароль, похоже, надо поменять - код приходит только после того как ввели правильный пароль, если не ошибаюсь. Но эта маленькая заметка о другом - в списке активностей такие попытки...
Когда оффер на LinkedIn оказался кибератакой
Недавно я оказался в ситуации, которая одновременно показалась тревожной и профессионально интересной. На первый взгляд — просто новое рабочее предложение, как сотни других в LinkedIn. На деле — спланированная атака, похожая на те, что сейчас приписывают Lazarus Group, одной из самых известных...
[Перевод] RedCodeAgent: автоматическая платформа для red-teaming и оценки безопасности code agents
Команда AI for Devs подготовила перевод статьи о RedCodeAgent — первой полностью автоматизированной системе red-teaming для проверки безопасности кодовых агентов. Исследователи из Чикаго, Оксфорда, Беркли и Microsoft Research показали: даже самые продвинутые LLM-агенты могут генерировать и...
Безопасный доступ к внутренним сервисам: Keycloak, OAuth2 и немного Nginx‑магии
Рядовые инфраструктурные задачи иногда преподносят неожиданные сложности. Нашей целью была организация защищённого доступа к внутренним сервисам через единую точку входа с авторизацией в Keycloak, чтобы приложения получали проверенные пользовательские данные без необходимости реализации собственной...
Тотальная деанонимизация: как в мире и в России обсуждают вход в Сеть по паспорту и цифровые ID
Стремительное развитие цифровизации и рост онлайн-угроз по всему миру ставят перед правительствами вопрос о необходимости контроля и идентификации пользователей. Пока в Европе тестируют цифровые удостоверения личности и возрастные ограничения для соцсетей, а Китай запустил национальный цифровой ID,...
Тени секретов в etcd: удалил ≠ уничтожил
Привет, Хабр! Сегодня мы рассмотрим ту историю, когда удалённый секрет вдруг оказазывается вовсе не уничтоженным. Разберёмся, что происходит с вашими конфиденциальными данными внутри etcd, и почему простого удаления секрета недостаточно, чтобы навсегда вычеркнуть его из истории. Узнать, куда...
Изучая DevSecOps: подборка руководств и книг
Мы собрали открытые книги и статьи ведущих экспертов по кибербезопасности, а также руководства для желающих погрузиться в DevSecOps. Материалы из подборки расскажут, какие ИБ-практики можно называть самыми неэффективными и с чего начать защиту облачных решений. И напомним, что у нас есть открытый...
Безопасность — это не отсутствие структуры, а наличие правильной структуры: топология как новый язык науки
В этой статье мы рассмотрим, как топологические методы меняют или будут менять наше понимание безопасности. Мы увидим, что безопасность не достигается через максимальную случайность, а через специфическую, строго определенную топологическую структуру — тор с максимальной энтропией. Это не просто...
Защита своих данных и финансов
Защита от мошенничества: 2FA, финансовые лимиты, гостевой Wi-Fi и запреты на Госуслугах и другие лайфхаки. Систематизируем цифровую гигиену: от сокращения цифрового следа до плана действий при взломе. Личный опыт построения эшелонированной обороны против мошенников. Читать далее...
[Перевод] У JavaScript не будет прекрасного будущего
Команда JavaScript for Devs подготовила перевод статьи о том, почему JavaScript-сообщество снова проигнорирует шанс исправить фундаментальные проблемы своей экосистемы после крупнейшей атаки на цепочку поставок. Автор предлагает здравый план — от стандартной библиотеки до новых практик управления...
[Перевод] 7 лучших практик безопасности SaaS на 2025 год
SaaS-приложения упрощают жизнь: их можно быстро развернуть, внедрить в работу и легко масштабировать под задачи. Звучит круто, но есть обратная сторона. С каждым новым сервисом сложнее отследить, где хранятся чувствительные данные, кто к ним имеет доступ и какие угрозы могут подстерегать...
На страже безопасности: один день из жизни инженера по ИБ
Привет! Меня зовут Руслан, я — инженер по ИБ. В IT-сфере работаю уже 12 лет, десять которых занимаюсь информационной безопасностью. За свою карьеру я успел поучаствовать в защите гостайны, поспособствовать появлению регионального ИБ-интегратора, защитить и аттестовать более сотни ИСПДН...
Как IT-специалисту выбрать квартиру и не влететь на деньги
Рынок жилой недвижимости давно перестал быть «тёмным лесом», где у одних есть закрытые базы, а другие вынуждены искать объявления в газетах. Сегодня все источники открыты: ЦИАН, Авито, Яндекс.Недвижимость, домовые чаты, Telegram-каналы. Более того, многие айтишники пишут свои парсеры, строят...