Информационная безопасность *

Привет, Хабр! На связи @mirez, в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных в сегменте Standalone на Standoff Hackbase. Нашей целью была система контроля посетителей PassOffice.

Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода.

Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.

Привет, Хабр. Меня зовут Дмитрий Куколев. Я руководитель VK SOC. В этой статье я расскажу о мерах обеспечения надежности и защиты VK Cloud, о собственных ИБ-продуктах и новых сервисах безопасности для пользователей нашего облака.

С момента написания на tcl/tk удостоверяющего центра CAFL63 и утилиты cryptoarmpkcs для работы с электронной подписью меня не покидала мысль, что неплохо бы оформить их как облачные сервисы. Я постоянно смотрел в сторону проекта CloudTk.

Так или иначе, вайб-кодинг становится, — а где-то уже стал, — частью процесса разработки программного кода. Команда PVS-Studio видит в этом новые задачи для статических анализаторов по поиску ошибок в коде, возникающих при использовании ИИ-ассистентов и т.п. Первый шаг — собрать примеры реальных дефектов для изучения.

Отношение к вайб-кодингу и его вариациям неоднозначное. Я разделяю мнение, что использование сгенерированного кода, особенно без полного его понимания программистом, плохо скажется на надёжности и безопасности приложений. Так что работы у статических анализаторов только прибавляется :)

AI-сгенерированный код, возможно, будет содержать новые непривычные виды ошибок. Соответственно, чтобы их изучить и научиться выявлять, необходимо сначала собрать их коллекцию.

IoT-сети проектировали для миллионов устройств, но они захлебываются уже от тысяч. Когда в нашем районе на секунду моргнул свет, 10 000 умных счетчиков одновременно потеряли связь и начали переподключаться. Три четверти так и не смогли выйти в эфир. Проблема в RACH — канале случайного доступа. При массовых подключениях он превращается в узкое горлышко, куда каждый пытается прорваться первым.

Меня зовут Максим Князев, старший системный инженер К2 Кибербезопасность, и я натренировал пять ИИ-агентов для управления этим хаосом. Один прогнозирует пики нагрузки, другой распределяет временные слоты, третий управляет мощностью передачи, четвертый распределяет устройства по типам и пятый оптимизирует расход батарей. В итоге количество коллизий упало с 26% до 7%, энергопотребление на 35%, а успешность подключений выросла до 96% по сравнению с использованием статического метода без агентов. Под катом рассказываю, как это работает.

Привет, Хабр!

Меня зовут Михаил Васильев, я старший специалист по машинному обучению в компании Makves (входит в группу компаний «Гарда»). Эта статья — вторая в цикле, посвященном поиску аномалий. В первой статье мы поговорили о том, что такое аномалии и почему их сложно искать, а также по шагам разобрали алгоритмы HBOS и ECOD.

Сегодня мы разберем еще один интересный алгоритм: Isolation Forest, а также немного углубимся в проблематику задачи.

В мире веб-приложений и внешних периметров крупных компаний до сих пор встречаются классические, почти музейные уязвимости. Они как запертый на замок шкаф в центре мегаполиса: кажется, что все будут просто проходить мимо, но рано или поздно найдется тот, кто попробует дернуть за ручку.

Этот кейс — наглядное подтверждение того, что для успешной атаки не всегда нужны сложные эксплойты или 0-day уязвимости. Зачастую достаточно старых и известных проблем, которые по-прежнему живут в инфраструктуре крупных компаний.

24 сентября прошла конференция Yandex Neuro Scale 2025 — главное событие Yandex Cloud, собравшее более 10 000 участников онлайн и офлайн. Переименование флагманской конференции с Yandex Scale на Yandex Neuro Scale отражает стратегический поворот компании к искусственному интеллекту как ключевому драйверу развития облачных технологий. «Нейро» не случайно появилось в названии конференции — ИИ и ML находятся в фокусе крупнейших компаний и меняют подход к созданию продуктов, — отметил руководитель Yandex Cloud Григорий Атрепьев. Компания представила масштабные обновления своей платформы, сделав ставку на интеграцию искусственного интеллекта во все аспекты облачных вычислений — от инфраструктуры до разработки приложений.

Создание ИИ-агентов теперь доступно каждому

Центральным анонсом конференции стала кардинально обновленная платформа AI Studio с интегрированным конструктором ИИ-агентов Agent Atelier. Новая архитектура решает критически важную проблему современного IT — необходимость глубоких знаний в области машинного обучения для создания ИИ-решений. Платформа использует low-code интерфейс, схожий с сервисом n8n, где логика работы агента выстраивается из готовых блоков. Это позволяет компаниям значительно ускорить внедрение ИИ-решений в свои бизнес-процессы.

Платформа позволяет создавать различные типы агентов, включая голосовых ассистентов для контакт-центров, мультиагентные системы для решения комплексных задач (например, анализ спроса и планирование закупок), а также поисковых ботов на базе технологии AI Search. AI Studio уже интегрирована с сервисами «Контур.Фокус» и amoCRM, а в будущем планируется поддержка ряда других сервисов из экосистемы Яндекса.

В последние годы заметно вырос интерес к таким ролям, как инженер по безопасности приложений, DevSecOps‑инженер, а также тестировщик на проникновение. Именно такие специалисты интегрируют механизмы безопасности в процессы разработки и эксплуатации программного обеспечения, выявляют уязвимости на ранних этапах и помогают предотвращать потенциальные атаки.

Одним из наиболее распространенных инструментов для обучения и практического тестирования защищённости веб‑приложений является OWASP ZAP (Zed Attack Proxy). Этот бесплатный и открытый сканер безопасности широко применяется как профессионалами, так и начинающими специалистами для поиска уязвимостей в веб‑приложениях. Освоение работы с OWASP ZAP рекомендуется не только инженерам по информационной безопасности, но и разработчикам, DevOps‑специалистам и тестировщикам, заинтересованным в создании по‑настоящему безопасных сервисов. В Security Vision мы поддерживаем безопасность в том числе и данным инструментом, а также используем для сравнения результатов сканирования в режиме pentest наших скриптов по OWASP top 10.

В данной работе рассматривается практический подход к использованию OWASP ZAP для аудита безопасности веб‑приложений. Материал предназначен для студентов, разработчиков и всех, кто хочет освоить современные инструменты безопасной разработки.

В ARM Cortex-M (Arm v7-M) процессорах есть очень полезный блочок. Называется MPU (Memory Рrotection Unit). Попробуем разобраться что это такое и зачем нужно. .

И чтобы всё было безопасно.

Поговорим про CDN, SRI, кэш-отравления, подмены и rsbuild-плагины.

Всем привет, на связи Илья Никифоров — специалист по повышению осведомленности по Информационной Безопасности, ну еще и культуру кибербезопасности развиваю в АШАН Ритейл Россия. Снова про фишинг, сложности, открытия и дела житейские.

 В статье две части:

Часть 1 — про AWR-системы: зачем нужна платформа осведомлённости и что она автоматизирует;

Часть 2 — реальный кейс, где Google/Yandex «сломали» статистику фишинга, а в итоге у нас появились амбассадоры безопасности.

👉 Кому надо сразу мясо — перейти к кейсу →

Представьте, что вы показали другу фотографию кошки. Он сразу её узнает. Вы можете добавить к фото пару лишних пикселей, сделать её чуть ярче или даже наклеить на уголок стикер — ваш друг всё равно скажет: «Да это же кошка!». Его мозг гибок и основан на здравом смысле.

А теперь представьте, что ваш друг — это искусственный интеллект. Самый современный, натренированный на миллионах изображений. И вот вы показываете ему фото той же кошки. Он уверенно заявляет: «Это кошка. Точность: 99,9%». Вы добавляете к изображению один-единственный пиксель, подобранный особым образом. ИИ вдруг задумывается и выдаёт: «Со стопроцентной уверенностью заявляю, что это авокадо».

Это не баг и не фантастика. Это — adversarial-атака, или «состязательная атака». По сути, это оптическая иллюзия, созданная специально для машинного разума. И она reveals глубинную, почти философскую правду: ИИ видит мир не как мы. Для него картинка — это не образ, а просто гигантская таблица чисел, где каждое число — это яркость пикселя. Его гениальность — это умение находить в этой таблице хрупкие статистические закономерности. И эти закономерности можно сломать, едва к ним прикоснувшись.

Давайте заглянем в лабораторию хакеров ИИ и посмотрим на три самых наглядных примера, которые больше похожи на сцены из шпионского боевика.

Книга «Реальная криптография» за авторством Дэвида Вонга является весьма любопытным литературно-теоретический гибридом «упрощенного учебника по криптографии» (первая половина книги) и «реального положения дел» (вторая половина книги).

Автор позиционирует книгу как практическое руководство для широкого круга читателей, предпринимая попытки уйти от классического и набившего оскомину шифра Цезаря и прочих исторических моментов, обещая читателю актуальные примеры, рекомендации и криптографические «рецепты».

RBACX — авторизация без боли в Python-проектах

Когда доступ «размазан» по вьюхам и миддлварам, ревью и тесты превращаются в квест - появляется мотивация все это унифицировать. Я написал RBACX — лёгкий движок, где правила описываются декларативно (JSON/YAML), а проверка прав — это один понятный вызов. В статье показываю, как собрать из него аккуратный PDP для микросервисов и монолитов.

Я последние два года пишу бэкенд в стартапе MindUp — это мой первый пост на Хабре, и первая библиотека. Буду рад вопросам и критике. Если тема авторизации болит так же, как у меня, загляните!

В современном бизнесе требования к соблюдению норм и стандартов становятся неотъемлемой частью стратегического управления. Однако многие компании по‑прежнему воспринимают комплаенс как формальную обязанность, направленную лишь на выполнение минимальных требований регуляторов. Такой подход чреват серьезными рисками, начиная от штрафов и заканчивая потерей репутации.

Разберем, почему комплаенс должен быть интегрирован в бизнес‑процессы, какие риски он помогает предотвратить и какую роль играет автоматизация с использованием SGRC «Security Governance, Risk Management and Compliance» — систем.

Искусственный интеллект потихоньку делает жизнь проще, но он же становится источником рисков, особенно когда речь идет о нейросетях как о новом подрядчике. Когда компании их интегрируют, не всегда получается досконально продумать то, чем это может быть чревато. 

Сегодня я пытаюсь понять реальные риски внедрения нейросетей в рабочие процессы. Надеюсь на твои комментарии, наблюдения и страхи, Хабр!

Привет, Хабр! Сегодня киберугрозы эволюционировали из кустарных атак в сложные, многоходовые сценарии, способные поставить на паузу работу организации любого масштаба. Но особенно больно они бьют по малому и среднему бизнесу.

Почему? У корпораций есть выделенные службы ИБ, SOC‑центры, и бюджеты на проактивную защиту. У малого и среднего бизнеса ресурсы ограничены. Для злоумышленников это сигнал о том, что сопротивление будет минимальным.

Знать, как именно атакуют, — значит понимать, как защищаться. В этом материале я расскажу о пяти наиболее распространённых киберугрозах.

Расходы корпоративных клиентов и ИП на звонки могут вырасти в несколько раз с 1 октября 2025 года.

Все дело в законе, который вступил в силу с 1 сентября 2025 года, о борьбе со спамом и мошенниками. Так называемая маркировка звонков и массовые автоматические вызовы.

Разбираем то, какой «схематоз» приготовили мобильные операторы своим абонентам с 1 октября 2025 года, чтобы «навариться» на новом законе. И какую сумму придется заплатить абонентам за маркировку звонков.

Мы все росли на шпионских фильмах и детективах, в которых (особенно в бесконечной саге про Джеймса Бонда) у спецагентов всегда есть набор чудо-игрушек: часы-гранатометы, ручки-пистолеты и машины-ракетницы. Как будто у каждой серьезной разведки в секретных лабораториях сидит целый отдел креативных инженеров из вселенной Marvel.

В реальности все, как можно догадаться, куда скромнее — но вместе с тем порой даже абсурднее. Помада-убийца и голуби-шпионы; монета, внутри которой спрятан микрофильм; кот с радиопередатчиком в ухе — все это реальные примеры необычных гаджетов особого назначения.

Шпионская техника XX века — не магия и не супероружие, а смесь инженерной смекалки, простоты и маскировки. Взглянем на реальные гаджеты разведок — и сравним их с культурными мифами о «всесильных спецслужбах».