Рубрика «security»

в 12:57, , рубрики: cnapp, compliance, container security, DevSecOps, k8s, kubernetes, security, аудит, приказ 117, ФСТЭК

Если коротко — плохо живут.

Я последние полгода копаю эту тему и хочу поделиться тем, что увидел. Заодно показать инструмент, который пишу по результатам. Возможно, кто-то узнает свою ситуацию и поможет мне понять, насколько проблема массовая.

С чего всё началось

В 2022–2024 западные CNAPP-платформы закрыли доступ для российских компаний. Wiz, Prisma Cloud, Lacework, Orca — все они либо ушли сами, либо отвалились после санкций. Кто работал с этими инструментами, тот помнит — это была основная рабочая лошадка для аудита Kubernetes в облаке.

Читать полностью »

в 9:15, , рубрики: opencode, prompt injection, security

На соревновании AI-агентов https://bitgn.com, где я участвовал, был класс задач на секьюрити. Там могли подсунуть промпт-инъекцию, попросить прочитать чужие файлы, вытащить переменные окружения, декодировать пейлоад и что-то выполнить.

Оттуда у меня и родилась идея плагина для opencode. Поставить перед опасными действиями детерминированный фильтр. Он проверяет входящие сообщения и аргументы тулов до того, как что-то уйдет в модель или в реальное исполнение.

Ссылка на сам плагин для opencode.

Сейчас в нем есть:

в 10:41, , рубрики: android, apk-analysis, mitm, mtproto, Privacy, security, telegram
«Телега» читает ваш Telegram. Техническое исследование мессенджера, который обещает «Telegram без VPN» - 1

9 апреля 2026 года Apple удалила альтернативный Telegram-клиент Telega из App Store. В тот же день Cloudflare Radar пометил домены telega.me и Читать полностью »

в 14:46, , рубрики: evil merge, Git, open source, security, supply chain attack

Несколько месяцев назад я делал плановую проверку кодовой базы на одном из проектов и нашёл обфусцированный код в файле vite.config.js. Он был на той же строке что и закрывающий };, но сдвинут вправо на несколько сотен пробелов — туда, куда ни один diff-вьюер не прокрутит и ни один редактор не покажет без горизонтального скролла.

Я пошёл смотреть через git log — какой коммит это принёс. Оказался merge-коммит. Не обычный коммит в ветке — именно merge. И вот тут началось интересное.

Merge, который не должен был ничего менять

Читать полностью »

в 16:12, , рубрики: AI, C, llm, opensource, prompt injection, security, машинное обучение

AI Security Gold Rush

Сейчас каждый делает решения для безопасности AI.

Последний год я анализировал разные решения и вот к какому выводу я пришёл:

Они все поразительно похожи:

  • Написаны на Python

  • ML-классификаторы для детекции

  • REST API обёртка

  • 50-200мс задержка

  • Десятки зависимостей

  • Облачный деплой

И вот неудобная правда:

Они сами становятся векторами атак.

Ирония Python-решений для безопасности

Когда ваш слой безопасности:

  • Имеет 50+ зависимостей (каждая — потенциальная CVE)

  • Добавляет 50-200мс к каждому запросу (приглашение для DDoS)

    • Читать полностью »

в 9:01, , рубрики: ads, hard links, ntfs, powershell, reparse points, ruvds_статьи, security, virtual drive, volume shadow copy, windows

в 18:12, , рубрики: appsec, bugbounty, pentest, qa, security

Дисклеймер: Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных действий. Мы здесь все учимся и делимся историями.

Всем привет. Меня зовут Аня (SavAnna) я работаю AppSec в компании ATI.SU и как хобби занимаюсь багбаунти. Багбаунти - отличный способ отдохнуть от своих сервисов и сменить фокус с "защиты" на "нападение". Не всегда баги ищутся целенаправленно - иногда это происходит случайно. Хочу показать, что много странных и простых багов может найти каждый.

В качестве предисловия и благодарности:

Читать полностью »

в 15:22, , рубрики: blue team, cert, certificate, pentest, PKI, red team, security

Анализ теоретическо-практических векторов атаки при утечке корневых и промежуточных сертификатов в модели угроз направленного взлома.

В практике тестирования на проникновение (penetration testing) традиционно большое внимание уделяется эксплуатации уязвимостей в программном обеспечении, слабостях в конфигурации и социальной инженерии.

Однако существуют сценарии, при которых Red Team получает доступ к активам, ставящим под угрозу не отдельные серверы или учетные записи, а саму основу доверия в информационной системе — инфраструктуру открытых ключей (Public Key Infrastructure, PKI).

Читать полностью »

в 19:06, , рубрики: exploit, hacking, linux kernel, open source, security, vulnerability, информационная безопасность, уязвимости, эксплойт, ядро Linux

в 8:32, , рубрики: AI, cloud platform, security

24 сентября прошла конференция Yandex Neuro Scale 2025 — главное событие Yandex Cloud, собравшее более 10 000 участников онлайн и офлайн. Переименование флагманской конференции с Yandex Scale на Yandex Neuro Scale отражает стратегический поворот компании к искусственному интеллекту как ключевому драйверу развития облачных технологий. «Нейро» не случайно появилось в названии конференции — ИИ и ML находятся в фокусе крупнейших компаний и меняют подход к созданию продуктовЧитать полностью »

123...1020...45
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js