Информационная безопасность *

В прошедшие выходные меня посетило непреодолимое желание. Желание наконец повысить свой сисадминский скилл. И перестать расстраиваться при отправке фото, а тем более видео в наш любимый мессенжер. Чудесно, что эта реальность так мотивирует к саморазвитию.

Недавно на глаза попалась интересная статья про новый проект TeleMT. И я бы наверно не стал заморачиваться. И тоже настроил бы его за 5 минут. По шагам из статьи. Если бы не пара "но". Во-первых, я болен хроническим неприятием засовывания докера где следует и где не следует. А во-вторых – 443 порт на моем подопытном сервере уже занят предыдущим "экспериментом".

На нестандартный порт вешать второй "эксперимент" мне не хотелось. Покупать второй айпишник или хостинг – тем более. Требовалось сотворить чутка новой дичи магии. О результатах сего докладываю в этой статье. Вдруг кому-то пригодится.

Компания Nvidia представила платформу Space-1 Vera Rubin для переноса вычислительных мощностей за пределы Земли. Новое оборудование обеспечивает производительность инференса в 25 раз выше, чем у серверных процессоров H100. Платформа уже тестируется шестью коммерческими партнерами, создающими первые орбитальные центры обработки данных.

Всем привет! Меня зовут Андрей Иванов, я NLP-исследователь в R&D red_mad_robot. Мы разрабатываем систему Guardrails для защиты персональных данных (PII) и фильтрации небезопасного контента.

В этой статье расскажу, как мы решали задачу точечного маскирования PII на картинках без обучения специальных визуальных детекторов. Разберём связку оптического распознавания символов (OCR) с NER-моделью, покажем метрики на реальных данных, раскроем ограничения подхода и наши решения для их преодоления.

Вас приветствует Ян - старший пентестер из компании Xilant!

В этот раз научу вас искать, то что разрабы забывают прячут в приложениях iOS. Возможно мы найдем пароли, личные данные, а может даже и API-ключи от бэкенда, что позволит нам продолжать атаку на следующем уровне.

Для этого нам понадобятся знания из прошлой статьи. Напомню, что мы научились получать root-доступ к более-менее свежим iOS устройствам, а также пользовались аналогом adb через ssh и iproxy. Это дало нам полный доступ к системным ресурсам iOS и позволило не только устанавливать geek-твики, но и воздействовать на память и процессы.

Чтобы не выходить за рамки закона, мы будем использовать тестовое приложение DVIA-v2 для обучения себя этим навыкам. 

Ведь тот кто знает как нападать, сможет себя защитить.

Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений.

В случае с атаками в open source злоумышленники эксплуатируют доверие к публичным репозиториям, человеческий фактор и сложность зависимостей, внедряя вредоносный код в тысячи проектов одновременно. Последствия варьируются от единичной кражи секретов до компрометации целых экосистем с глобальными экономическими потерями. Только за 2025 год они оцениваются в $60 млрд и прогнозируются на уровне $138 млрд в ближайшие годы.

Большинство руководств по MTProto прокси написаны под Linux. Но что если ваш сервер на Windows? В статье разберём полный цикл настройки приватного MTProto прокси с Fake TLS на Windows Server + Docker: выбор образа, подводные камни (BOM в конфиге, порт 443 и HTTP.sys, флаги которых нет в v2), изоляция на отдельном IP и PowerShell-скрипт для пересоздания прокси с новым секретом одной командой. Все грабли — собраны на практике.

Disclaimer: название компании и детали изменены, но ситуация реальная. Пишу не хайпа, ради, а потому что таких историй сейчас становится слишком много.

Я работал руководителем ИТ в региональной сети стоматологических клиник: больше двадцати точек, около 250 сотрудников, CRM, 1С, почта, серверы, персональные данные пациентов, регулярные закупки оборудования и расходников. ИТ‑отдел — два с половиной человека. Отдельного ИБ‑специалиста не было, всё, что связано с безопасностью, автоматически ложилось на меня.

Почта — Exchange 2019, торчащий наружу. VPN для руководства «неудобно», двухфакторки нет, IMAP/SMTP включены, из защиты спаморез и антивирус. Классическая история.

Пробовал разворачивать бесплатный postfix+dovecot+roundcube — после Exchange руководству не зашло.

Когда в октябре 2025 Exchange 2019 перестал поддерживаться, я пошел к генеральному. Обозначил, что обновления больше не выходят. И что старый Exchange будет безопасным строго до появления новых уязвимостей, закрыть которые мы уже не можем. Понятно, что Exchange SE покупать никто даже не собирался, потому что дорого, сложно купить в РФ, да и платить надо постоянно. Смотрели Яндекс и Mail корпоративные решения — по функциональности ок, но начальство сразу сказало: никаких облаков, всё должно лежать у нас. Общий аргумент был простой: «Мы не Сбер. Кому мы нужны? Работает — не трогай. Денег нет».

Я пытался объяснять, что вопрос не в том, «ломятся к нам или нет», а в том, что при следующей серьёзной уязвимости мы просто останемся без патча. Напоминал историю с ProxyLogon, когда Exchange массово ломали. Без толку.

Мы отказались от формального деления команды на L1, L2 и L3. Разрешили инженерам брать задачи независимо от грейда. Не паникуем, если SLA горит красным. И знаете что? Это работает.

У нас в К2Тех есть собственный Центр экспертизы по комплексному сервису, который объединяет все направления техподдержки. От инженерных систем до инфраструктуры и ПО. Ну и конечно же, поддержку ИБ. Меня зовут Олег Лунгу, я руководитель группы инженеров технической поддержки К2 Кибербезопасность (входит в К2Тех). Сегодня расскажу, как вырастил команду с нуля до 30+ спецов, эффективно решающих задачи, которые мучают клиентов месяцами.

Как протокол заимствует чужое рукопожатие, почему v1 и v2 были дырявыми, что именно в v3 нашёл Aparecium и где у этого подхода архитектурный потолок

Большинство прокси-протоколов пытаются выглядеть как HTTPS: генерируют свой сертификат, настраивают TLS, надеются что DPI не присмотрится слишком внимательно. ShadowTLS идёт другим путём — берёт чужое рукопожатие целиком, не подделывая ничего

Пока TLS-рукопожатие идёт, всё что видит анализатор трафика — честный ClientHello, честный ServerHello, честный сертификат настоящего сервера-донора. Всё что происходит после завершения рукопожатия — туннельный трафик. К тому моменту DPI должен был уже принять решение пропустить соединение.

Прежде чем читать дальше. ShadowTLS v3 на март 2026 года работает не везде и не всегда. В июне 2025-го инструмент Aparecium показал два воспроизводимых вектора детекции: фиксированная разница в длине ServerFinished и некорректная обработка NewSessionTicket от OpenSSL-серверов. Против провайдеров с базовой SNI-блокировкой без активного зондирования протокол вполне работает. Против ТСПУ с активным зондированием риск реальный. Статья описывает архитектуру и механизм работы, а в конце разбирает где и почему детекция срабатывает.

Привет, Хаброжители! Опытные хакеры постоянно охотятся за уязвимыми приложениями, поэтому никогда не переставайте беспокоиться о безопасности. Задача становится особенно сложной, если приходится работать с унаследованным кодом, новыми технологиями и сторонними фреймворками. Научитесь защищать Java-приложения с помощью Spring Security — проверенного и гибко настраиваемого фреймворка для аутентификации и управления доступом.

Война 1812 года — это не только грохот пушек, «Москва, спаленная пожаром», и Бородино. Пока противоборствующие императоры со своими генералами склонялись над картами, а бравый Денис Давыдов шел в партизанский рейд и подкручивал на скаку гусарские усы, в кабинетах криптографов, походных типографиях и тылах шла своя война — информационная.

И русские, и французы внедряли агентов в ряды противника, пускали дезинформацию, шифровали сами и перехватывали вражеские шифровки. Что уж там, правая рука и покровитель «черного кабинета» одного из воюющих императоров работал на противника и сливал ему бесценную информацию, а заодно и ключи от шифров. Словом, всё в лучших традициях романов Йена Флеминга и Юлиана Семенова.  

Под катом вас ждет увлекательный рассказ о том, как проходила информационная война между русскими и французами в 1812 году, как перехватывали шифровки и как это помогало войскам. Отдельное внимание уделим шифрам Наполеона.

На связи Игорь Гиркин, архитектор систем информационной безопасности компании «Гарда».

Раньше от сетевого устройства требовалось лишь одно: быстро и без потерь передавать пакеты. Сегодня эти времена остались в прошлом. Современный коммутатор — это важное звено периметра безопасности, находящееся на первой линии обороны. Используя его только для коммутации трафика, вы упускаете мощный инструмент для отражения угроз.

В этой статье я рассмотрю, какие механизмы защиты встроены в современные L2/L3-коммутаторы и как их правильно применять для обеспечения сетевой безопасности.

Привет, Хабр! Это Антон Дятлов, инженер по защите информации в Selectel. Не так давно компания «Эшелон» выпустила Сканер-ВС 7, в котором изменилась логика работы с API. Старый скрипт перестал корректно работать, да и улучшения напрашивались сами собой. 

Рассмотрим основные изменения и улучшения. Ниже я приведу фрагменты кода и поясню, что именно изменилось и как это работает. Детали под катом.

Пишу эту статью как основатель стартапа Авториза. И она не для того, чтобы донести какие-то особо ценные знания, а скорее, чтобы пригласить вас к диалогу. Я хочу понять - стоит ли этим вообще заниматься, нужно ли это людям, или это лишь мои фантазии - когнитивное искажение основателя. В самой статье я раскрываю идею проекта.

И я хочу обратиться к вам как профессионалам своего дела: А какие инструменты используете вы? Какие у вас возникают проблемы? Насколько быстро, дешево и просто вы их решаете?

Современные IoT-устройства, несмотря на компактные размеры и ограниченные ресурсы, представляют собой полноценные embedded-системы. Под пластиковым корпусом бюджетного гаджета часто скрывается стандартный Linux-компьютер с собственным ядром, драйверами, файловыми системами и сетевыми службами.

Статья посвящена проведению полного цикла реверс-инжиниринга типовой IP-камеры: от аппаратного анализа печатной платы до закрепления в операционной системе с root-правами.

Разберём путь от подключения к внутренним отладочным интерфейсам устройства до реализации устойчивого удаленного root-доступа по Wi-Fi. На примере IP-камеры Aceline AIP-O4 наглядно рассмотрим типовую архитектуру бюджетного IoT-девайса и классические ошибки, допускаемые вендорами при проектировании безопасности.

На прошлой неделе исследователь Крис Азиз опубликовал информацию о новом способе обхода систем безопасности, якобы позволяющем протаскивать вредоносное ПО под видом обычного ZIP-архива. В свойствах каждого архива в этом формате есть поле Compression Method. При желании данные в архиве можно вовсе не сжимать, и тогда в этом поле будет прописано 0 (STORED). Обычный сжатый архив имеет свойство DEFLATE compressed. Защитному решению или архиватору данный статус указывает на то, что архив нужно сначала распаковать.

«Метод», предложенный Азизом, максимально простой. Устанавливаем в поле Compression Method статус STORED (сжатие отсутствует) для обычного архива со сжатием данных, у которого в норме должен быть флаг DEFLATE Compressed. Собственно, на этом все. Защитные решения доверяют описанию архива и сканируют его как контейнер с несжатыми данными. Так как на самом деле данные заархивированы, вредоносное содержимое не будет прочитано. Что открывает возможность «протаскивания» вредоносного кода на компьютер жертвы с последующим выполнением. Но именно на стадии выполнения вредоносного кода казалось бы стройная идея исследователя быстро рушится.

Предыдущая статья

Продолжаем создавать сервис анонимных «мертвых ящиков» DeadDrop на чистом Go.

Во второй части (первый подвыпуск) закладываем фундамент: учимся принимать POST-запросы, загружать файлы с проверкой MIME-типа и размера, создаём in-memory хранилище с потокобезопасным доступом через RWMutex. Пишем утилиты для генерации криптостойких ID и паролей. Разбираемся с интерфейсами и готовим архитектуру к дальнейшему развитию.

Без фреймворков, только net/http и стандартная библиотека.

Привет, Хабр! С вами эксперты ИнфоТеКС. Сегодня поговорим о подходе Architecture as Code и о том, как он может улучшить ваши рабочие процессы.

Привет! Если вы читаете эту статью, то скорее всего столкнулись с блокировками Telegram или просто хотите обеспечить себе стабильный и безопасный доступ к мессенджеру. Я покажу, как поднять свой собственный MTProto прокси с Fake TLS на любом VPS сервере за 5 минут с помощью готового скрипта.

В этой статье посмотрим на модуль ACME веб‑сервера Angie. Модуль позволяет с минимальными усилиями получить TLS‑сертификаты и автоматически их обновлять. Наверняка вы уже работали с бесплатными сертификатами от Let«s Encrypt и можете задать закономерный вопрос: зачем это делать веб‑сервером, когда есть утилиты вроде certbot, acme.sh и acmebot? Для ответа нужно хотя бы один раз попробовать модуль ACME и удобство конфигурации станет очевидным.»

Начнём с краткого введения в тему ACME.