Представлен легковесный инструмент Crawlee, который может спарсить информацию с сайтов, соцсетей и других ресурсов, а также обходит защиту от ботов. Может скачать аудио, видео, изображения, метаданные, документы и прочие нужные файлы. Скрипты решения написаны на Python, имитирует поведение человека на сайтах, в соцсетях и других ресурсах. Инструмент поддерживает мультизадачность и не теряет при этом скорость. Можно собирать несколько видов данных одновременно. Работает полностью локально.
Открытый проект SubTrackr ищет и мониторит текущие подписки, отслеживает переводы и напоминает о датах списаний:
показывает подписки в одном месте;
поможет на раз отписаться от ненужных сервисом и не тратить деньги впустую;
мониторит траты, даты списаний, а также тематики подписок и их полезность;
дает рекомендации;
имеет понятный интерфейс и несколько тем для кастомизации;
работает полностью локально.
Открытый загрузчик Telegram Files позволяет скачать файлы из Telegram даже из закрытых чатов, включая аудио, видео, картинки, голосовые, гифки, документы и прочие файлы. Поддерживает сразу несколько аккаунтов в Telegram. Можно скачивать файлы из разных чатов одновременно и вообще не терять в скорости. Поддерживает превью файлов во время скачивания.Работает локально, не нарушает политику мессенджера.
Онлайн сервис проверки конфига nginx на безопасность (Gixy-Next)
На Хабре уже упоминался Gixy как средство проверки безопасности\хардеринга nginx (статья раз, статья два). Недавно появился ещё один проект, основанный на форке Gixy: Gixy-Next (репозиторий, сайт проекта). Из интересного: прямо на сайте есть возможность проверить конфиг nginx (если по какой-то причине не хочется устанавливать приложение). В тексте найденных проблем - ссылки на страницы с подробным описанием типа ошибки.
Инструментальное средство PVS-Studio разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207—2024. Выявляет критические ошибки и может использоваться при разработке безопасного программного обеспечения по ГОСТ Р 56939—2024.
Я подготовил развёрнутый материал, посвящённый функциональным возможностям PVS-Studio на начало 2026 года с точки зрения перечисленных стандартов, приказа ФСТЭК №117, методического документа "Профиль защиты" и т. д.
Обзор PVS-Studio получился большой и явно не формата статьи для Хабра. Это вообще, скорее, мини-справочник на 66 страниц. В общем, я вас предупредил :) Тех, кто не испугался, а наоборот, заинтересовался, приглашаю познакомиться с материалом по ссылке:
Статический анализатор кода PVS-Studio в 2026: ГОСТ Р 71207, ГОСТ Р 56939, приказ ФСТЭК №117
Что можно найти в документе:
как связаны между собой PVS-Studio и различные ГОСТы;
требования к статическим анализаторам кода и насколько им соответствует PVS-Studio;
разбор технологий анализа, реализованных в PVS-Studio;
примеры выявляемых критических ошибок и что это такое;
характеристики анализатора: языки, поддерживаемые операционные системы, скорость работы, форматы отчётов;
и т. д.
Если вас заинтересовали озвученные здесь темы или у вас появились вопросы, то напишите нам.
P.S. Команда PVS-Studio будет со стендом на ТБ Форум 2026 (18–20 февраля 2026, МВЦ "Крокус Экспо", павильон 2, зал 10). Я там тоже буду. Приходите задавать вопросы на тему публикации, стандартов и вообще.
Скрытые уязвимости в CI/CD: что мы упускаем и как защитить процесс доставки
CI/CD давно перестал быть просто удобным способом ускорить релизы. Сегодня это критическая часть цепочки поставки, через которую проходит весь код, зависимости и инфраструктурные изменения. Именно поэтому пайплайн всё чаще становится целью атак, при этом многие уязвимости остаются незаметными годами.
Одна из самых недооценённых проблем — избыточные права. Токены доступа, используемые в пайплайнах, часто имеют больше разрешений, чем требуется для конкретного шага. Компрометация такого токена даёт атакующему доступ не только к репозиторию, но и к облачной инфраструктуре, артефактам и секретам.
Вторая зона риска — зависимости и сторонние экшены. Автоматизация строится на готовых шагах и шаблонах, которые редко проходят полноценный аудит. Обновление популярного экшена или контейнерного образа может незаметно внести вредоносный код в процесс сборки, и он будет исполняться с доверенными правами.
Отдельного внимания заслуживает хранение секретов. Даже при использовании секретных хранилищ они нередко утекaют в логи, артефакты или кэши. Проблема усугубляется тем, что логи CI часто доступны большему кругу людей, чем production-системы.
Неочевидная, но опасная категория уязвимостей — доверие к окружению сборки. Самохостинг раннеров без изоляции, повторное использование виртуальных машин и отсутствие очистки после джобов позволяют атакующему закрепиться в системе и влиять на последующие сборки.
Защита CI/CD начинается с принципа минимальных привилегий. Каждый токен, сервисный аккаунт и ключ должен иметь строго ограниченный набор прав и короткий срок жизни. Второй шаг — контроль цепочки зависимостей: фиксация версий, проверка хэшей, собственные зеркала и регулярный аудит используемых экшенов и образов.
Важно также относиться к пайплайну как к коду: проводить ревью изменений, логировать подозрительные действия и мониторить аномалии. Изоляция окружений, одноразовые раннеры и автоматическая ротация секретов значительно снижают потенциальный ущерб от атаки.
CI/CD — это не просто автоматизация, а часть поверхности атаки. Чем раньше это осознаётся, тем меньше шансов, что уязвимость проявится уже после успешного релиза.
А какие риски в своих пайплайнах вы обнаружили только со временем?
Представлен открытый проект MatrixDefender-4.2, который помогает убрать майнеры на ПК или ноутбуке, а также различные сетевые угрозы и прочий мусор. Сервис написан на Python, устанавливается за пару кликов. Проект находит и удаляет майнеры, лечит от LimeRAT, QuasarRAT и другие угрозы, блокирует С2-сервервы, которые управляют атаками на ПК.
Как зарегистрировать новый домен и сразу получить проблемы
25 декабря 2025 я зарегистрировал в RU-Center новый домен в зоне .RU.
Прописал NS-записи на Beget, но сам домен в панели не добавлял — не нужен был на этом этапе. Обычно в таких случаях при открытии домена в браузере показывается стандартная заглушка Beget: «Домен не прилинкован к директории».
Начались праздники, я забыл о нём.
14 января — сюрприз от RU-Center
Получаю письмо:
«В соответствии с пунктом 5.7 Правил регистрации доменных имен делегирование домена [domain.tld] приостановлено...»
«По вопросам разъяснения причин прекращения делегирования рекомендуем обращаться: incident@cert.gov.ru».
А чуть ниже — цитата от НКЦКИ (Национальный координационный центр по компьютерным инцидентам):
«Доменное имя [domain.tld] используется для проведения компьютерных атак.»
«Тип атаки: фишинг.»
«Легитимный сайт — https://web.telegram.org/».
Видимо, мой домен кто-то использовал для фишинга Telegram.
Первая реакция — «ну и ладно, не сильно нужен он мне», но потом включилась профессиональная деформация: надо разобраться.
Пишу в RU-Center
«Подскажите дату, когда была зафиксирована атака. Я зарегистрировал домен 29.12.2025, он был на DNS Beget, но не использовался — только заглушка.»
Ответ стандартный:
«Жалоба поступила 14.01.2026. По вопросам разъяснения причин рекомендуем обращаться в НКЦКИ.»
Пишу в НКЦКИ
«Домен зарегистрирован 29.12.2025, DNS прописаны на Beget, но не прилинкован. Как он мог участвовать в атаке?»
Ответ неожиданный:
«Ваш домен был взломан путем подмены DNS-записи у провайдера хостинга. В результате размещался фишинговый контент. Дата обнаружения — 14.01.2026. Возможно, взлом произошёл раньше. Просим обратиться к хостинг-провайдеру и обеспечить корректную настройку DNS.»
Хорошо. Пишу в Beget.
Пишу в Beget
«Домен был зарегистрирован 29.12, прописан в NS, но не добавлен в аккаунт. НКЦКИ пишет, что DNS были подменены. Прошу разобраться.»
Ответ:
«Домен [domain.tld] находится на аккаунте с логином [username]. У вас есть доступ к этому аккаунту?»
Нет, конечно. И понятия не имею, кто это.
Дальше — процесс восстановления, подтверждения, перенос на мой аккаунт. Всё закончилось благополучно, но с неприятным послевкусием.
Развязка
Позже я уточнил у Beget:
«Когда домен был добавлен в чужой аккаунт?»
Ответ: «30.12.2025.»
То есть сразу после регистрации домена кто-то добавил его к себе.
Это даже не взлом в классическом смысле, а скорее «киберсквоттинг на уровне DNS» — когда ловят новые домены, прописанные на публичные NS, и быстро создают запись у себя, пока владелец не дошёл до панели.
Выводы
Не оставляйте домен “висеть” без зоны. Даже если кажется, что всё под контролем.
Сразу добавляйте домен в хостинг и создавайте зону DNS. Пусть даже просто указывает на пустую директорию.
Проверяйте, на чьих серверах реально отвечает ваш домен.
Не полагайтесь на “по умолчанию” — иногда именно там и происходит самое интересное.
Действуя на расслабоне, я оставил лазейку, которой кто-то воспользовался.
Я делаю конструктор Телеграм-ботов «Бот в блокноте» и веду канал про ИИ-клиент «Cherry Studio» — ссылки можно найти в моём профиле 👇. Присоединяйтесь!
Дети научились проходить проверку на возраст в Roblox с помощью нарисованных усов и бороды.
Представлен открытый проект EyeOfWeb. Это локальный OSINT-поисковик с точных распознаванием лиц на базе нейросети InsightFace, которая сканирует черты лица с фото и сравнивает с тысячами изображений в сети. Источники поиска можно задать вручную: сайты, форумы, соцсети, тематические порталы и другие ресурсы. Также можно добавить поиск по метаданным фото. Сервис помогает устроить даже мультипоиск нескольких людей с фото. Для работы нужно 8 ГБ памяти.
Представлен открытый проект Mimesis: The Fake Data Generator для генерации фейковых данный для проектов, пентеста, хакинга или анонимности в сети, включая ФИО, email, адреса проживания, телефоны, локации, смена стран и адаптирование данных в соответствие с задачами. Полезно также для создания файлов JSON и XML произвольной структуры, а также анонимизации данных. Устанавливается за один клик, имеет простой и понятный интерфейс.
О тактике киберпреступников и трендах 2026 года
Главный аналитик экспертно-аналитического центра InfoWatch Сергей Слепцов рассказал Cyber Media о ключевых тенденциях в киберпреступлениях, которые определили 2025 год и будут развиваться в 2026 году.
«Стоит отметить усложнение методов атак на наиболее значимые организации; поиск уязвимостей в отечественном ПО, замещавшем западные продукты; рост фишинговых кампаний. Хакеры применяют ИИ для разведки, автоматизации процессов атак путем использования сразу нескольких техник, генерации фишинговых сообщений и вредоносного кода.
Кроме этого, злоумышленники все чаще проводят комбинированные атаки на гибридные инфраструктуры, как на on-premise-сегмент, так и на облачное размещение. Растет доля атак с целью вымогательства, в том числе широко распространяется услуга даркнета — вымогательство как сервис (Ransomware as a service)».
Обновлён открытый ИБ-проект на Go под названием cariddi для поиска уязвимостей и проблемных мест на любых сайтах, включая спрятанные API‑ключи и токены, забытые админки, файлы, которые не должны были быть в открытом доступе.
Эти три открытый проекта по ИБ позволяют анализировать и изучать беспроводные сети Wi‑Fi:
Wi‑Fi‑autopwner — моделирование взлома сетей Wi‑Fi с простой защитой. Работает в консоли.
Wi‑Fi Exploitation Framework — сервис, который поможет проверить и пробить безопасность беспроводной сети, а также протестировать на ней различные виды тестовых атак: от простых до комплексных.
Freeway — Python‑сервис, который показывает механизм работы беспроводных сетей и их уязвимостей, помогает выявить способы перегрузки сети и смоделировать атаки с нарушением аутентификации.
Представлен открытый бесплатный сервис Maltrail для анализа входящего и исходящего трафика и вредоносов в нём. Проект умеет:
обнаруживать опасные домены, URL и IP;
распознавать вредительские HTTP User‑Agent‑строки;
выявлять актуальные инструменты атак на ПК;
высокий уровень сетевой безопасности без сложного развёртывания — сервис ставится за один клик;
может помочь найти вирусы, майнеры и прочий мусор, который обращается в сети.
обзор книги: Валерий Комаров "Опасная профессия. Будни работы в сфере информационных технологий" я делать пожалуй не буду, благо она доступна бесплатно на ridero, литресе и еще черт знает где. просто рекомендую найти, скачать и внимательно прочитать всем работающим и стремящимся в ИТ и ИБ в РФ, особенно связанным с ГИС (гос.инф.системами), объектами КИИ (критической информационной инфраструктуры), и информационными системами, аттестованными по ФСТЭК. автор на множестве примеров из реальной судебной практики показывает, как можно пострадать по уголовной части за совершенную ерунду (это для вас ерунда, а для безопасников и правоохранитетей - жирная палка и премия).
если у кого проблемы со скачиванием то
https://www.upload.ee/files/18954335/_________________.pdf.html
На недавно прошедшем мероприятии 39th Chaos Communication Congress 27 дек 2025 была обнародована информация о впечатляющих уязвимостях в программном обеспечении беспроводных (bluetooth) наушников на базе чипа ф. Airoha. Результаты таковы, что можно смело наводить панику: на видео демонстрируется не только дистанционное считывание названия проигрываемой наушниками композиции, но и обеспечивается доступ к звуковому каналу (bluetooth профиль HFP HF со всеми его фичами), что важно - незаметно для пользователя наушников, а далее - и к софту на смартфоне пользователя. Немаловажно что протестированы наушники вовсе не каких то там непонятных производителей, а известнейших и популярных брендов: многие модели Sony и Marshall, а также некоторые JBL, Jabra, Beyerdynamic, Bose (далее по ссылке есть список протестированых моделей). Выглядит впечатляюще, хотя и сильно подглюкивает, но уже близко к тому что мы видим в компьютерных играх и фильмах про хакеров.
https://www.youtube.com/watch?v=TK5Tz4Bt94Y
Изначально реверсеры раскрутили и прошивки для нескольких устройств, а затем фирменный протокол обмена поверх bluetooth (называется RACE). В нем есть и доступ к оперативке устройств и доступ к флешу. Ну и дырок всяких достаточно.
В текстовом виде + ссылки: https://insinuator.net/2025/12/bluetooth-headphone-jacking-full-disclosure-of-airoha-race-vulnerabilities/
Производители наушников уже оповещены и конечно же обновили прошивки.
Обновлена открытая база по 500+ ИБ-сервисам Awesome OSINT For Everything, включая:
базовую сетевую разведку, чтобы собрать «скелет» цели — домены, почты, имена, поддомены, URL;
метапоисковики и поиск по специфическим типам данных — кэши, PGP-ключи, публичные бакеты, прямые ссылки и подобное;
кастомные поисковые движки;
поиск и контроль утечек любых данных — понять, светились ли email/телефон/учетки в открытых базах, найти следы компрометации;
просмотр истории владения доменом. Поиск всех доменов, связанных с конкретным человеком;
проверка URL на вредоносы, пробив репутации ресурса;
поиск по открытым датасетам, реестрам или санкционным спискам;
детальный поиск по кусочкам кода в любом репозитории и в сети;
гео-поиск с визуализацией на карте;
радио/сканеры и Wi-Fi-картография — можно пробить человека в сети и по использованию оборудования;
распознавание и анализ автомобильного номера, VIN-номера, а также передвижений машин;
поиск следов криптоплатежей из открытых источников;
поиск по базам судов, реестрам, зарплатным базам, FOIA-ресурсам, публичным архивы на предмет утечек.
В Китае цифровые валюты центральных банков (CBDC) хотят привязать к цифровой идентификации пользователя. Мужчину, который ехал без шлема, полицейский подключил к дистанционным диспетчерам с помощью небольшого устройства и в режиме реального времени списал с цифрового кошелька штраф — 25 юаней.
Состоялся первый мажорный релиз открытого проекта для шифрования текста и файлов Stirlitz. Программа написана на языке С++ и распространяется под лицензией GPLv3. Приложение адаптировано для работы в операционных системах семейства Linux, Windows и Android. Для пользователей Arch Linux в AUR доступен сценарий сборки пакета. Для пользователей Windows доступен экспериментальный инсталлятор. Для пользователей Android доступен экспериментальный пакет в формате apk.
Основные возможности Stirlitz 1.0:
Шифрование текста и файлов для передачи через любые каналы публичной связи (мессенджеры, e‑mail сообщения и тому подобное). Шифрование осуществляется на базе публичных ключей (алгоритм Ed25519) и алгоритма шифрования AES256.
Шифрование файлов для локального хранения. Шифрование осуществляется через задание имени пользователя и пароля с использованием алгоритма AES256.
Создание шифрованных профилей для хранения ключей, используемых для обмена сообщениями через публичные каналы связи.
Создание одноразовых профилей: ключи хранятся в защищённой памяти, выделяемой с помощью библиотеки libgcrypt, и уничтожаются после выхода из профиля или закрытия программы.
Криптографические функции вынесены в отдельную библиотеку stirlitz, которая может быть собрана и использоваться полностью независимо.
Для библиотеки stirlitz доступна документация в формате html.
