Информационная безопасность *

После выхода первой статьи про svg-виджеты для tcl/tk прошло более года. За это время вышел не только tcl/tk версии 9.0, но и сам пэт-проект возмужал и продолжает взрослеть. Напомним, что проект svgwidgets, примеры и интерпретаторы tcl/tk с необходимыми пакетами для работы с svg-виджетами можно найти на github-е.
В проекте svgwidgets на github-е можно найти версию интерпретатора tclexecomp как для linux64 (папка tclexexcomp902), собранного из исходников tcl/tk-9.0.2, так и версию интерпретатора на базе tcl/tk-8.6 для платформ Linux64 и Win64 (папка tclexecomp200).
К ранее созданному на github-е подкаталогу examples/CryptoArmPKCS_Test, в котором выложен исходный код криптографической утилиты для работы с электронной подписью cryptoarmpkcs, который предназначен для запуска на платформе Linux64 в среде tcl/tk-9, добавлены аналогичные папки для запуска утилиты cryptoarmpkcs в среде tcl/tk-8.6 на платформах Linux64 (папка examples/CryptoArmPKCS_Test_Tk86) и Win64 (папка examples/CryptoArmPKCS_Test_Tk86_Win64). Для запуска этой утилиты ничего дополнительного устанавливать на свой компьютер не требуется. Достаточно выбрать соответствующий интерпретатор из папки tclexecomp200 или tclexexcomp902 и выполнить файл mainguipkcs_svg.tcl из соответствующей папки ~/examples/CryptoArmPKCS_Test, например:

C:>C:\Temp\tclexecomp64_v200_svg_Win64.exe c:\Temp\CryptoArmPKCS7_Test_Tk86_Win64\mainguipkcs_svg.tcl

Всем привет! Подводим итоги июня дайджестом ключевых ИБ-новостей. В середине месяца прогремела беспрецедентная 16-миллиардная утечка паролей, которой не было — сенсация оказалась не более чем журналистской уткой.

Из реальных событий, Claude показал неплохие результаты в сценарии с багхантингом. Mr.d0x представил перспективные варианты популярной атаки ClickFix. Исследователи обнаружили, что микрофоны ноутбуков и других устройств испускают радиосигналы с записанным звуком, которые легко перехватить. И наконец, четвёрке участников REvil вынесли приговоры, а во Франции поймали IntelBroker’a и ShinyHunters. Об этом и других интересных событиях июня читайте под катом!

Если в компании налажен контроль доступа к внутренним ИТ-ресурсам, хорошо не только спецам по ИБ, но и многим другим. Например, лидам, которые отвечают за доступы к базам данных в своих командах. И новым сотрудникам, избавленным от необходимости вручную собирать логины-пароли, а затем где-то их самостоятельно хранить. 

В Сравни больше 300 технических спецов, и в силу тематики наших продуктов зачастую они работают с чувствительными данными. Нам требовалось решение, которое поможет не просто централизованно управлять политиками доступов, но и проводить полноценный аудит всех действий в системе (предыдущий процесс логирования явно нуждался в модернизации).

Под обе эти задачи заточены так называемые PAM-инструменты (Privileged Access Management). Под катом рассказываем, как мы обеспечили контроль доступов и аудит инфраструктуры с помощью одного из них. В том числе об особенностях его внедрения, возможностях и некоторых ограничениях, выявленных на практике. 

Если вы работаете в сфере физической безопасности, вы наверняка сталкивались с этим: камера, система контроля доступа или устройство обнаружения вторжений, установленные несколько лет назад и до сих пор функционирующие без единого обновления. Это распространённая ситуация, которую специалисты по безопасности привыкли считать «нормой». Но реальность такова: такое отношение напрямую подвергает организацию серьёзному риску.

Бизнес – такая штука, где все нужно считать. Я не только о расходах, выручке и чистой прибыли: это классика. Если у вашей компании есть сайт, то с большой долей вероятности вам искренне любопытно знать, сколько посетителей на него заходит, что их привлекает больше всего, что их совсем не интересует и т.д.

И это стремление мне абсолютно понятно: смысл оплачивать содержание площадки, которая никак не помогает вашему делу развиваться?

Для фиксации и учета всего, что происходит на сайте компании, используются метрические программы. Многим удобен сервис Google Analytics, но у него есть один большой недостаток – он зарубежный.

Машинное обучение применяется везде: модели советуют врачам лекарства, помогают банкам ловить мошенников и пишут код вместо программистов. Проблемы с безопасностью в таких системах могут стоить денег, данных и репутации. Поэтому с 2019 года на конференции по безопасности PHDays мы проводим отдельный AI Track, а в рамках него — AI CTF, соревнование по взлому ML-систем.

Месяц назад мы провели AI CTF 2025 и хотим рассказать, какие задания мы придумали для участников, и какие атаки на AI и ML в них нужно было провернуть. На AI CTF 2025 было 14 заданий разного уровня и тематики, и 40 часов на их решение. В первой части мы с авторами разберем 8 заданий — те, что попроще.

Идея этого материала была у меня давно, ещё в 2021 году, когда я впервые попал на Standoff, и тогда я даже записал интервью с представителем Positive Technologies, но в итоге не получилось, потому что звук оказался очень плохим, даже с диктофона. Поэтому по прошествии четырёх лет я решил сделать серию материалов про киберполигоны. Я думал, материал получится в стиле NGFW, где у всех компаний есть типовые решения, отличия только в удобстве собственного ПО на железках, вендорах самого железа и интеграции с собственными разработками (у компании A интеграция в первую очередь с её ПО, у компании B — с её и так далее). Но киберполигоны меня удивили. Возможно, тех, кто прочитает всю серию интервью, и нет, но я тоже не ИБ-специалист с 50-летним стажем, и есть чему удивляться.

Итак, встречайте мой разговор с руководителем киберполигона и центра развития навыков компании Innostage Дмитрием Матвеевым. Мы поговорили о киберполигоне Innostage, его особенностях и нужно ли заказчику обосновывать затраты на разворачивание киберполигона внутри инфраструктуры. Приятного чтения!

Приветствую, Хабр! Вчера меня усадили за Win-машину и попросили посмотреть смартконтракт на Solidity в Cursor. Я зашел во встроенный магазин расширений и установил соответствующий плагин из топа поиска. Из заголовка понятно, что ничего я не получил, а лишь заразился в два клика.

Всем привет!

В этом материале мы подводим итоги IV Международного киберчемпионата
по информационной безопасности. Он стал рекордным по количеству участников:
мы собрали 190 заявок из 26 стран мира, из них отобрали 117 команд (40 команд было
в 2024 году). За победу сражались около 500 киберзащитников. Финал киберчемпионата состоялся на ежегодной конференции ЦИПР-2025 в Нижнем Новгороде, и мы уверены,
что он добавил динамики в международную программу форума.

Благодарим Минцифры России за поддержку киберчемпионата и МИД России за помощь в привлечении иностранных команд и продвижении формата киберучений в самых неожиданных уголках нашей планеты. И конечно же особая благодарность нашему технологическому партнеру – «Лаборатории Касперского».

Привет! Меня зовут Константин Полуэктов, я solution architect в Yandex Cloud и технический эксперт в онлайн-магистратуре от Яндекса и ИТМО «DevOps-инженер облачных сервисов». В этой статье я расскажу о сфере DevOps: что изменилось за последние годы и чего ждать в будущем.

Привет, Хабр! Меня зовут Ирина Созинова, я эксперт по информационной безопасности в Авито. Моя прошлая публикация была о том, как мы выстраиваем в Авито процесс оценки рисков безопасности. В этой же статье рассказываю, на какой функционал стоит обратить внимание при выборе инструмента в целом и что было важно конкретно для нас. А еще — разбираю плюсы и минусы системы класса GRC для управления рисками. 

Современные веб-приложения требуют не только высокой производительности, но и надёжной защиты — от классических SQL-инъекций до сложных атак, включая перегрузку API. В условиях растущих киберугроз и ограничений на использование западного программного обеспечения особенно важно выбрать эффективную архитектуру, отвечающую требованиям российского рынка.
В этой статье мы делимся практическим опытом построения системы безопасности с использованием аппаратного балансировщика DS Proxima и решения SolidWall WAF для защиты веб-приложений и API. Рассматриваем архитектурные особенности, результаты тестирования и ключевые преимущества подхода, который объединяет безопасность, масштабируемость и предсказуемую производительность.

Даннаяпубликация является переводом статьи Matt Maloney — «Security risks in AI supply chains».

Компании всё чаще вынуждены внедрять передовые технологии ИИ, чтобы не отставать от конкурентов. Однако спешка в этом деле может привести к ошибкам и угрозам безопасности. Новый отчёт Коалиции безопасного ИИ описывает неожиданные угрозы, которые могут возникнуть из‑за данных, моделей и технической инфраструктуры, лежащих в основе искусственного интеллекта. Также в отчёте рассказывается, как компании могут защититься от этих рисков.

Среди главных выводов отчёта:

Давайте представим, как могло бы выглядеть рабочее место SOC-аналитика будущего. В том числе рассмотрим, какие были бы полезны в реагировании и расследовании ML-помощники: некоторые из упомянутых в статье мы уже внедрили в наши продукты, а некоторые – еще в планах или могут послужить в качестве идеи для тех, кто сталкивается с подобными задачами.

Доброго времени суток!

Продолжаем цикл статей по Starting Point платформы HTB Labs. Тут мы поговорим про такую базу данных, как Redis.

Внимание!!!
Я настоятельно рекомендую сначала попробовать решить задачу самостоятельно, а в случае затруднений обратиться к подробному пошаговому руководству. Это позволит вам лучше понять процесс и развить собственные навыки. Также вы можете изучить различные подходы к решению и логику мышления.

Всем привет! Время для разбора ключевых CVE июня. В прошлом месяце прогремела уязвимость в Linux на получение root-прав через UDisks. Также засветилась критическая уязвимость под RCE в Secure Boot.

Критическими CVE отметились Cisco ISE, HPE StoreOnce Software, драйверы GPU Adreno от Qualcomm и RoundCube Webmail — последние две под произвольный код. У Asus очередной неловкий момент с кривым ПО: на этот раз захардкоженный ключ в Armoury Crate и возможность повышения привилегий до System. А в WinRar под Windows уязвимость под запись за пределы целевой директории — например, в папку автозагрузки. Обо всём этом и других интересных CVE первого летнего месяца читайте под катом!

С момента смены лицензирования Hashicorp Vault утекло много времени и с момента появления проекта OpenBao, мы регулярно следили за его судьбой. Несколько дней назад завезли enterprise-функционал, который доступен безвозмездно. И хотелось бы поделиться этой информацией с сообществом

Всем привет!

Опен-сорс и почему в российских ПО появляется код из библиотек, расположенных на серверах из недружественных юрисдикций – самая модная тема сезона.

Поэтому Владимир Высоцкий, руководитель по развитию бизнеса продукта Solar appScreener, в этом материале решил напомнить об основных рисках открытого кода и как их можно избежать на этапе разработки вашего продукта.

Построить Rate Limiter — легко. Сделать его быстрым, отказоустойчивым и работающим в нескольких дата-центрах — сложнее. Делюсь опытом реализации нашего облачного Rate Limiter в DDoS-Guard: принцип работы, анализ правил и реальные примеры из практики.