Axios и проблема зависимостей
Как взлом одного npm-аккаунта за 3 часа распространил RAT на 174 000 пакетов и почему стандартные инструменты вроде NPM Audit это не поймали. Разбираем инцидент с Axios: механику атаки, слепые пятна в CI/CD и то, что реально работает. Читать далее...
Делаю менеджер политик Browser Policy Manager для Firefox. Буду рад обратной связи
Идея этого проекта пришла мне в голову около семи лет назад, но до реализации я добрался только сейчас, т.к. есть некоторое время на это, пока ищу новую работу. Ну, и важно упомянуть, что я уже более 10 лет занимаюсь русской локализацией продуктов и сервисов Mozilla. Мы привыкли говорить о защите...
ONYX: self-hosted мессенджер с LAN-режимом — история одного инди-проекта
Когда смотришь на существующие self-hosted мессенджеры, часто видишь одно из двух: либо сложную инфраструктуру, которую непросто развернуть (Matrix/Synapse), либо минимализм без шифрования. ONYX — это попытка найти середину: простой в развёртывании сервер, полноценное E2E-шифрование и режим работы...
AmneziaWG 2.0: от маскировки трафика к полной мимикрии
Всем привет! На связи команда разработчиков Amnezia. Сегодня хотим рассказать о важном обновлении нашего протокола – AmneziaWG 2.0, а также о том, как с его помощью можно развернуть собственный VPN на своем сервере. AmneziaWG 2.0 – это уже не просто набор новых параметров в конфигурации, а заметный...
Атаки на цепочку поставки ПО: виды угроз и как с ними бороться
Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений. В случае с атаками в open source...
А если бы весь код был закрыт?
Мы привыкли, что запустить проект можно за вечер, просто собрав его из готовых кирпичиков. Но что, если бы каждый import стоил денег? Бесплатные фреймворки, открытые базы данных и возможность заглянуть в исходники стали для нас абсолютной нормой, которую мы воспринимаем как само собой разумеющееся....
«Разблокируй телефон» — как я реализовал фейковый мессенджер для допроса
Привет, Хабр! Я разрабатываю open-source мессенджер Xipher (C++/Android), и одна из фич, которую пришлось проектировать особенно тщательно — Panic Mode. Это система правдоподобной отрицаемости (plausible deniability): при вводе специального PIN-кода мессенджер показывает полностью фейковую, но...
Шифрование метаданных в мессенджере: HMAC-SHA256 анонимные пары, timing obfuscation и отравление собственных логов
«Мы знаем, что вы вчера в 23:47 переписывались с Алексеем 14 минут. О содержании разговора нам неизвестно.» — Так выглядит мир, где сообщения зашифрованы, а метаданные — нет. Привет, Хабр! Я занимаюсь разработкой open-source мессенджера (проект Xipher, C++/Android), и один из компонентов, который...
Нам говорят, что AI безопасен. Confer — первый случай, когда это почти правда
Если вы хотите пользоваться LLM, но при этом вам важна приватность данных, то до недавнего времени у вас, по сути, был один вариант — поднимать локально собственную языковую модель. Ситуация меняется. Создатель мессенджера Signal, Мокси Марлинспайк, запускает приватный AI‑сервис Confer с основным...
Обоснованность критериев свободы программного обеспечения GNU
Данная статья была впервые опубликована в июле 2024 года. В ней разбирается, пожалуй, самый популярный миф о свободном программном обеспечении. Будто критерии свободы, обозначенные проектом GNU лишь снижают свободу пользователей. Поскольку этот миф столь же живуч, что и иные мифы о свободном ПО,...
MASQUE VPN: от эксперимента к полноценной реализации
MASQUE интересен не как «ещё один VPN», а как пример того, куда движется транспортный уровень интернета. За три недели экспериментальный прототип превратился в полноценную реализацию с тестами, метриками и документацией, делимся результатами. Читать далее...
Как защищать данные, когда денег на ИБ мало: топ-5 Open Source сканеров для поиска уязвимостей
Привет, Хабр! Меня зовут Виктор Иевлев, руководитель отдела информационной безопасности группы компаний «Гарда». Сегодня хочу поговорить о поиске и управлении уязвимостями. Стоит начать с того, что процесс управления уязвимостями – это непрерывный цикл, включающий в себя поиск, оценку, мониторинг и...
Агностичность к менеджерам репозиториев: новый подход к OSA-анализу
Привет! Это Angara Security и наш эксперт отдела безопасной разработки Андрей Быстров. Совсем недавно состоялся релиз OSA Proxy, нового модуля продукта CodeScoring.OSA. В этой статье попробуем разобраться в задачах данного модуля и подходах к его использованию. Начать стоит с основ: каким образом...
Kprobes и где они обитают
Про eBPF уже сказано и написано достаточно много, поэтому я хочу сделать следующий шаг и чуть глубже рассмотреть практические аспекты работы c таким механизмом, как kprobe, который позволяет использовать функции ядра Linux для динамического запуска пользовательского кода. Статья поможет ответить на...
Открытие кода часов Pebble: что это значит для проекта
Программное обеспечение умных часов Pebble стало полностью открытым. Эрик Мигиковски, создатель проекта, объявил, что теперь любой желающий может скачать исходные коды, собрать нужные приложения и при желании изменить их под свои задачи. Что это значит? Все просто — устройство, которое формально...
Автоматизируем развертывание Kaspersky Security Center с помощью Ansible
Когда-нибудь ловили себя на мысли, что половину рабочего дня тратите на одно и то же? Открываешь консоль, подключаешься по SSH, вводишь команду за командой, ждешь, проверяешь, переходишь к следующему серверу. Особенно «весело», когда таких серверов не три, а тридцать. Заказчик попросил развернуть...
Open Printer с открытым софтом и железом: новый взгляд на печать с Raspberry Pi
HP, Canon и Brother, которые доминируют на рынке принтеров, предлагают пользователям дорогие и защищенные от дозаправки картриджи, а также сложные для ремонта устройства. И вот появился проект, который может изменить подход к печати. Open Printer — струйный принтер с полностью открытым программным...
Kernel-hack-drill и новый эксплойт для CVE-2024-50264 в ядре Linux
Некоторые уязвимости, связанные с повреждением памяти, невероятно сложны для эксплуатации. Они могут вызывать состояния гонки, приводить к сбоям системы и накладывать разные ограничения, которые усложняют жизнь исследователя. Работа с такими «хрупкими» багами требует значительно больше времени и...
Назад