Информационная безопасность *

За последние два‑три года компании в РФ перестали относиться к ИИ как к «чудо машине» и начали встраивать его в рабочие процессы: от помощи специалистам контакт‑центров в чатах с клиентами и «серым» помощникам разработчиков до написания полноценных продуктов. Если раньше нельзя было сказать, что ты использовал ИИ для задачи, так как тебя закидают помидорами, сегодня — этот навык must have для каждого. В этой статье речь пойдет о безопасной разработке с использованием генеративных ИИ. Крупные опросы и отчёты фиксируют одинаковую картину: большинство организаций уже экспериментируют с LLM‑системами или планируют их внедрение, в том числе в зонах, где раньше работали только люди или классические скрипты.

30 часов хронологии того, как агент Cursor, Railway API и индустрия, которая продаёт безопасность быстрее, чем её реализует, положили малый бизнес, обслуживающий прокатные компании по всей стране.

Меня зовут Джер Крейн, я основатель PocketOS. Мы делаем ПО для прокатного бизнеса — в первую очередь для аренды автомобилей: бронирования, платежи, управление клиентами, отслеживание транспортных средств. Некоторые наши клиенты с нами уже больше 5 лет и они буквально не могут работать без нас.

Вчера днём ИИ-агент на базе Cursor с Claude Opus 4.6 от Anthropic удалил нашу продакшн-базу данных и все резервные копии на уровне тома одним API-вызовом к Railway, нашему инфраструктурному провайдеру.

На это ушло 9 секунд.

Затем агент, когда его попросили объяснить произошедшее, написал признание — с перечнем конкретных правил безопасности, которые он нарушил.

Компания Apple на прошлой неделе выпустила внеочередной патч, обновляющий операционные системы iOS и iPadOS до версии 26.4.2. Аналогичный патч выпущен и для предыдущей версии iOS/iPadOS 18. Обновления закрывают ошибку CVE-2026-28950 в механизме хранения нотификаций, из-за которой «нотификации, помеченные к удалению, могли сохраняться на устройстве».

Apple по традиции не раскрывает подробностей по обнаруженным и закрытым уязвимостям, но достаточно легко связать свежевыпущенный патч с публикацией издания 404media в начале апреля. Там на основании материалов дела в американском суде сообщается о том, как представители правоохранительных органов смогли «вытащить» переписку в защищенном мессенджере Signal из того самого кэша нотификаций.

Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП)

На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. 

И каждый из них добавляет определенный набор требований:

- где и как проверять сертификаты;

- как организовать доверие к удостоверяющим центрам;

- как встроить УКЭП в веб-приложения;

- как обеспечить масштабирование и эксплуатацию;

- как работать с разными типами клиентов и устройств.

В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.

1941 год, тяжелые бои в Европейской части СССР. Большие военные потери, тяжелое время для экономики, для населения. Фашист вовсю использует радиоканалы связи для продвижения вражеской пропаганды. Ну, например, вещает в радиоэфир, как хорошо жить в Германии и как плохо в СССР. Предлагает сдаться, ну и далее по списку.

Далее в Кремль, к Сталину является компания уважаемых и предприимчивых людей. Предлагает решить проблему. За государственный счет, всего за жалкие пару десятков миллиардов в их личный карман. Главное - как решить? Фактически – перекрыв весь спектр радиочастот, поставив оборудование-глушилки китайского немецкого собственного производства. Чтобы вообще никто вещать не мог. Тогда точно враг достучаться не сможет! А как же собственная связь, суверенная, та самая, которая нужна собственным вооруженным силам и собственному гражданскому населению? А вот так. Как-нибудь.

Товарищ Сталин и успешные предприниматели ударяют по рукам, после этого спешно создается наркомат по надзору в сфере радиовещания. Заместителю его руководителя назначается заплата в 1.5 раза выше, чем у наркома обороны. И в 3 раза выше, чем у наркомов образования и медицины. А зарплата самого наркома по надзору даже не разглашается.

Что это, социалистический сюр? Нет, это капиталистическая действительность.

Недавно наткнулся на расширение Page Locker в Chrome Web Store. По описанию — всё безобидно: блокировка страниц, размытие контента, защита по PIN/таймеру. Типичный productivity/security тул.

Но при разборе кода оказалось, что внутри есть поведение, которое с заявленным функционалом вообще не связано.

Разберёмся.

Когда мои сайты положили DDoS-атакой, я не смог нормально воспользоваться бесплатной защитой CloudFlare. Из-за ограничений со стороны РКН часть его подсетей в России заблокирована у многих интернет-провайдеров, включая мобильных операторов.

Чтобы не потерять российских пользователей, пришлось срочно переходить на российское решение и платить за проксирование трафика. Цена вопроса — десятки тысяч рублей в месяц всего за два домена. И это за минимальный, самый дешевый тариф. Из-за этого я сильно сгорел, потому что на CloudFlare я бы отбился бесплатно. А теперь — ежемесячный, неприятный для меня счет, потому что альтернатив просто нет.

Но самое интересное на мой взгляд произошло дальше. Пытаясь разобраться, кто и как организовывает DDoS-атаки в 2026 году, я обнаружил массу специализрованных сервисов: так называемых DDoS-стрессеров — сервисов, где можно запустить атаку на любой ресурс в пару кликов за небольшие деньги.

Пока в мире с такими незаконными сервисами борются, проводя крупные международные операции вроде Operation PowerOFF, в России — из-за необъяснимой лояльности ряда крупных компаний — они чувствуют себя вполне комфортно.

Чем закончилось мое взаимодействие с этими компаниями, предоставляющими инфраструктуру DDoS-стрессерам, в попытке прекратить их работу — вы узнаете в этом материале.

15 апреля 2026 года Pragmata, новый sci-fi экшен от Capcom, появилась на пиратских ресурсах. Игра официально вышла 17 апреля. Платящие клиенты ждали разблокировки в Steam, а пираты уже бегали по лунной станции. Денуво, который должен был защитить хотя бы первые недели — самые продажные дни, ради которых эту защиту и покупают — пробит через hypervisor bypass от команды DenuvOwO. И это не аномалия: с декабря 2025-го Denuvo проигрывает каждую неделю. Persona 5 Royal, Borderlands 4, Resident Evil: Requiem, Crimson Desert, теперь Pragmata.

Под капотом — модифицированный open-source отладчик HyperDbg, EfiGuard как UEFI-bootkit, патчинг PatchGuard через паттерн-матчинг Zydis, спуфинг CPUID и KUSER_SHARED_DATA через EPT. Технически — kernel rootkit, юридически — пакет «play & restore» из закрытого Telegram-канала. Денуво живёт в Ring 3, обход — в Ring -1, между ними четыре уровня привилегий: detection из user-mode принципиально невозможен.

В статье разбираю шесть слоёв защиты, которые приходится снять, чтобы загрузить пиратский гипервизор: Secure Boot, PatchGuard, DSE, CPUID/RDTSC, KUSER_SHARED_DATA, Steam ownership. Что держит — HVCI. Что может сделать Irdeto и почему все варианты плохи. И на закуску — voices38, который через 40 дней после релиза Resident Evil: Requiem опубликовал классический crack: +5% FPS и работа под Proton на Linux, чего hypervisor-метод никогда не умел.

Привет, Хабр! Меня зовут Данил Зарипов, я занимаюсь продуктовой экспертизой в Positive Technologies. Эту статью мне помог подготовить мой коллега Кирилл Маслов — наш эксперт по направлению Asset Management. Мы решили не искать лёгких путей и выбрали тему, которая большинству из вас хорошо знакома. Казалось бы, что нового можно сказать про домены, пусть и с точки зрения безопасности? 

Для атакующего захват домена — это фактически победа. Получив контроль над контроллером домена, злоумышленник получает доступ ко всем учетным записям, компьютерам, групповым политикам и доверительным отношениям, а дальше дело техники: найти учетки бухгалтеров и топ-менеджеров, переключиться на их машины, читать почту, копировать документы. Это самые безобидные последствия.

Как это часто бывает в информационной безопасности, самое знакомое скрывает множество нюансов. Давайте разбираться!

Умные колонки, ТВ, камеры и другие устройства с ИИ-ассистентом сегодня — это уже не просто бытовая электроника повседневной жизни. С точки зрения безопасности это распределённая система, в которой граница доверия проходит через несколько уровней — от аппаратных механизмов до серверной логики, поэтому и подход к защите должен быть разносторонний.

Меня зовут Никита, и мне как инженеру по информационной безопасности Алисы и Умных Устройств Яндекса приходится быть по обе стороны баррикад: думать, как сделать устройства безопасными и знать, как их «ломать». Всегда нужно рассматривать потенциальные векторы атак и способы защиты от них. В этом во многом помогает наша программа «Охота за ошибками». А сегодня я расскажу о том, как смотреть на смарт-девайсы с точки зрения информационной безопасности, какие есть реальные риски и как их минимизировать.

Это часть 2. Первую часть смотреть по ссылке.

Данная статья является второй из цикла по описанию особенностей построения приложений с использованием идей, описанных в книге «Искусство неизменяемой архитектуры: теория и практика управления данными в распределенных системах».

Описание создаваемого ТЕСТОВОГО / ТРЕНИРОВОЧНОГО приложения и базовые сокращения можно найти в начале первой части.

В рамках данной статьи будет описана задача реализации аутентификации внешних клиентов/сервисов с помощью сертификатов и идей «неизменяемой архитектуры».

Что такое аутентификация и ее отличие от авторизации можно уточнить по этой ссылке.

Cursor — AI-powered IDE на базе VS Code, которая обрабатывает миллионы строк кода разработчиков через свои серверы. Когда я задумался о безопасности этого продукта, возник вопрос: насколько надёжна серверная модель авторизации, которая стоит между бесплатным пользователем и Claude 4 Opus?

Геопространственная разведка (GEOINT) привлекает все больший интерес и внимание широкой общественности. Действительно, способность синтезировать сложные ситуации в визуальных представлениях позволяет ей напрямую охватить большую аудиторию

— В этой статье мы разберёмся с GEOINT и покажем, что подобные исследования доступны каждому

В марте 2026 году криптографы из Google Quantum AI опубликовали доказательство, что сверхпроводящий квантовый компьютер с 500 000 физических кубитов (это 1200 кубитов с коррекцией ошибок) способен взломать приватные ключи Bitcoin максимум за 9 минут (быстрее, чем 10-минутное время генерации новых блоков). Хотя опасность квантовых вычислений для традиционных шифров известна давно, ранее для этого предполагалась более серьёзная конфигурация, чем 500 тыс. кубитов.

Новое доказательство поднимает перед финансовой индустрией несколько вопросов. Самый главный — когда будут разработаны и поступят в продажу квантовые компьютеры на 500 тыс. кубитов, если сейчас у самого мощного около 150 кубитов?

Исследователи Google Quantum AI в техническом отчёте дают рекомендации по минимизации ущерба.

Когда компания Anthropic анонсировала свою большую языковую модель Mythos , на первый взгляд этот инструмент произвёл неиллюзорное впечатление, а кого-то и всерьёз озаботил. Но, вчитавшись в материалы о Mythos, замечаешь, что общественный отклик не столь однозначен, как броские заголовки. То и дело приводится цифра «до 20 000 долларов», но она не означает, что Mythos походя нашла один катастрофический баг, поиск которого был оценён в такую сумму. В собственном отчёте компании Anthropic описано, что в эту сумму входит обширный поиск, сложившийся из тысячи взаимодополняющих прогонов, а найдено было несколько десятков трофеев. Бесспорно, это тоже замечательное достижение, но правда отличается от той патетической версии событий, которую подхватила молва. Далее компания Mozilla выпустила статью, в которой рассказала, что при помощи Mythos удалось выявить в браузере Firefox 150 множество проблем, найденных средствами ИИ, причём, они клонят всё к тому же: искусственный интеллект всерьёз заявил о себе в поиске уязвимостей. В оригинале этот пост называется «The zero-days are numbered» (Нулевые дни сочтены).

В Государственную думу Российской Федерации 26 декабря 2025 года внесён законопроект № 1110676-8, который изменяет и дополняет сразу несколько законов. Интересных моментов в этом законопроекте много, рассмотрю только самые на мой взгляд существенные.

Обычно говорят:
- ручки просто стали не нужны
- помогали удерживать добычу
- участвовали в брачных играх
Но есть и другая, куда более жёсткая гипотеза, о которой и читайте в этой статье.

Думаю, вы уже в курсе, что происходит в РФ с белыми списками: работают белые списки, ТСПУ в режиме drop-all пропускает только одобренные IP + SNI, рунет медленно, но верно становится интранетом

Мы просканировали 46 млн российских IP-адресов, нашли 63 тысячи выживших, разобрали работу ТСПУ. И главное - актуальные методы пробива (от Serverless-функций и покупки VPS с белым IP до туннелей через WebRTC).

В 1980-е годы произошли еще два события, благодаря которым биометрия теоретически превращалась в абсолютно точную науку. В 1984 генетик из Лестерского университета Алек Джеффрис открыл в ДНК человека повторяющиеся последовательности нуклеотидов, уникальные для каждого человека, а в следующем 1985 году в журнале «Nature» он опубликовал одну за другой две статьи, которые сделали его открытие, как любили говорить как раз в те годы в нашей стране, достоянием гласности. 

В номере «Nature» от 7 марта 1985 года в статье под заголовком «Гипервариабельные «минисателлитные» участки в ДНК человека» он писал: «Геном человека содержит множество диспергированных тандемно повторяющихся «минисателлитных» участков из 10-15 пар оснований… Многие минисателлиты сильно полиморфны из-за аллельных вариаций в количестве копий повторов в минисателлитах. Зонд, основанный на тандемном повторении ядерной последовательности, может одновременно обнаруживать множество сильно вариабельных локусов и служить индивидуальным “отпечатком” ДНК при генетическом анализе человека».

Если вы сейчас вкатываетесь в Linux на фоне хайпа вокруг DevOps и инфобеза — статья для вас.

Собрал в одном месте всё, что нужно знать о правах в Linux, простым и понятным языком: символьная и восьмеричная нотация, SUID/SGID/Sticky bit, SELinux-контекст, DAC, MAC, RBAC, ABAC, команды ls/stat/chmod/chown/find — с примерами и схемами, к которым легко вернуться.