Скрываем пароли. Как сделать взлом невыгодным с Пассворком
Fri, 08 May 2026 16:28:47 +0000
Сегодня поговорим о том, как повысить безопасность сервера на примере парольного менеджера Пассворк. Я покажу, как сократить поверхность атаки, а также напишем скрипт, который отстучит тебе в ЛС об атаке на менеджер паролей.
Fri, 08 May 2026 16:28:47 +0000
Сегодня поговорим о том, как повысить безопасность сервера на примере парольного менеджера Пассворк. Я покажу, как сократить поверхность атаки, а также напишем скрипт, который отстучит тебе в ЛС об атаке на менеджер паролей.
Чек-лист по OAuth. Собираем все техники атак на OAuth 2.0 и OIDC для пентеста приложений
Fri, 08 May 2026 13:30:05 +0000
Для подписчиков
Протоколы OAuth 2.0 и OIDC сегодня широко используются, однако разработчики могут по‑своему трактовать спецификацию этих протоколов при реализации в приложениях. Если намеренно не озадачиться вопросами безопасности, в реализации могут возникнуть мисконфиги, способные привести к опасным уязвимостям, например к захвату аккаунта.
Fri, 08 May 2026 13:30:05 +0000
Для подписчиков
Протоколы OAuth 2.0 и OIDC сегодня широко используются, однако разработчики могут по‑своему трактовать спецификацию этих протоколов при реализации в приложениях. Если намеренно не озадачиться вопросами безопасности, в реализации могут возникнуть мисконфиги, способные привести к опасным уязвимостям, например к захвату аккаунта.
Атака на NFS. Разбираем эскалацию привилегий через NFS
Thu, 07 May 2026 13:30:50 +0000
Для подписчиков
В этой статье подробно рассмотрим, как с помощью Network File System можно повысить привилегии на Linux-сервере. Я покажу способы быстро поднять привилегии до root благодаря кривой конфигурации и недостаткам системы.
Thu, 07 May 2026 13:30:50 +0000
Для подписчиков
В этой статье подробно рассмотрим, как с помощью Network File System можно повысить привилегии на Linux-сервере. Я покажу способы быстро поднять привилегии до root благодаря кривой конфигурации и недостаткам системы.
Взлом Trivy. Как атака на сканер уязвимостей привела к эффекту домино
Thu, 07 May 2026 04:30:39 +0000
В марте 2026 года хакерская группа TeamPCP провела серию каскадных атак на цепочку поставок. Началось все с компрометации сканера уязвимостей Trivy и компании Aqua Security, а затем атака затронула npm, PyPI, Checkmarx, Telnyx и десятки тысяч CI/CD-пайплайнов по всему миру.
Thu, 07 May 2026 04:30:39 +0000
В марте 2026 года хакерская группа TeamPCP провела серию каскадных атак на цепочку поставок. Началось все с компрометации сканера уязвимостей Trivy и компании Aqua Security, а затем атака затронула npm, PyPI, Checkmarx, Telnyx и десятки тысяч CI/CD-пайплайнов по всему миру.
Эпический билд. Собираем компьютеры для сложных математических расчетов
Wed, 06 May 2026 13:30:17 +0000
Для подписчиков
Сегодня мы сравним два мощных компьютера, самостоятельно собранных для сложных вычислений, и проведем их тестирование. Мы выясним, какая конфигурация работает лучше, как покажут себя процессоры AMD EPYC и Intel Xeon и какой объем и тип памяти оптимален для подобных задач.
Wed, 06 May 2026 13:30:17 +0000
Для подписчиков
Сегодня мы сравним два мощных компьютера, самостоятельно собранных для сложных вычислений, и проведем их тестирование. Мы выясним, какая конфигурация работает лучше, как покажут себя процессоры AMD EPYC и Intel Xeon и какой объем и тип памяти оптимален для подобных задач.
Смерть обфускации. Как ИИ ломает защиту кода за часы
Tue, 05 May 2026 13:30:16 +0000
Для подписчиков
Обфускация кода никогда не была панацеей. Это всегда был компромисс: разработчики жертвовали читаемостью и удобством отладки, атакующие — временем и ресурсами. И до определенного момента этот компромисс работал. Коммерческие обфускаторы вроде DexGuard или DexProtector действительно могли задержать опытного реверс‑инженера на недели, делая атаку экономически нецелесообразной для большинства сценариев.
Tue, 05 May 2026 13:30:16 +0000
Для подписчиков
Обфускация кода никогда не была панацеей. Это всегда был компромисс: разработчики жертвовали читаемостью и удобством отладки, атакующие — временем и ресурсами. И до определенного момента этот компромисс работал. Коммерческие обфускаторы вроде DexGuard или DexProtector действительно могли задержать опытного реверс‑инженера на недели, делая атаку экономически нецелесообразной для большинства сценариев.
ИИ-агент или угроза? Хроника (не)безопасности OpenClaw
Tue, 05 May 2026 05:00:34 +0000
Конец 2025-го и начало 2026 года прошли под знаком одного небольшого опенсорсного проекта, который сначала свел с ума GitHub, а потом — ИБ‑сообщество. Локальный ИИ‑ассистент OpenClaw австрийского разработчика Петера Штайнбергера (Peter Steinberger) за пару месяцев собрал сотни тысяч звезд, армию пользователей, а его автора пригласили работать в компании OpenAI.
Tue, 05 May 2026 05:00:34 +0000
Конец 2025-го и начало 2026 года прошли под знаком одного небольшого опенсорсного проекта, который сначала свел с ума GitHub, а потом — ИБ‑сообщество. Локальный ИИ‑ассистент OpenClaw австрийского разработчика Петера Штайнбергера (Peter Steinberger) за пару месяцев собрал сотни тысяч звезд, армию пользователей, а его автора пригласили работать в компании OpenAI.
Хроника блокировки Telegram. Как россиянам вернули 2018 год
Mon, 04 May 2026 05:00:12 +0000
По состоянию на апрель 2026 года Telegram работает лишь у тех, кто умеет и хочет пользоваться средствами для обхода блокировок. В этом году против Павла Дурова возбудили уголовное дело о содействии терроризму, реклама в Telegram оказалась вне закона, и Дуров приветствовал россиян «в цифровом сопротивлении». В этой статье «Хакер» собрал хронику событий последних месяцев.
Mon, 04 May 2026 05:00:12 +0000
По состоянию на апрель 2026 года Telegram работает лишь у тех, кто умеет и хочет пользоваться средствами для обхода блокировок. В этом году против Павла Дурова возбудили уголовное дело о содействии терроризму, реклама в Telegram оказалась вне закона, и Дуров приветствовал россиян «в цифровом сопротивлении». В этой статье «Хакер» собрал хронику событий последних месяцев.
Бумажные спецвыпуски «Хакера»: остатки тиражей и предзаказ нового номера
Thu, 30 Apr 2026 18:00:40 +0000
Тиражи первых двух печатных спецвыпусков «Хакера» уже распроданы полностью, а запасы остальных активно сокращаются на нашем складе. Сейчас отличный момент, чтобы успеть забрать свой экземпляр. Также открыты предзаказы на четвертый спецвыпуск, в который войдут лучшие статьи 2021–2022 годов. Пока он не ушел в печать, действует специальная цена.
Thu, 30 Apr 2026 18:00:40 +0000
Тиражи первых двух печатных спецвыпусков «Хакера» уже распроданы полностью, а запасы остальных активно сокращаются на нашем складе. Сейчас отличный момент, чтобы успеть забрать свой экземпляр. Также открыты предзаказы на четвертый спецвыпуск, в который войдут лучшие статьи 2021–2022 годов. Пока он не ушел в печать, действует специальная цена.
У компании Checkmarx похитили данные из приватных репозиториев на GitHub
Thu, 30 Apr 2026 17:30:35 +0000
Атака на цепочку поставок затронула инструменты компании Checkmarx, привела к краже секретов и утечке данных из приватных репозиториев на GitHub. ИБ-исследователи считают, что в этом инциденте участвовали сразу несколько хакерских группировок.
Thu, 30 Apr 2026 17:30:35 +0000
Атака на цепочку поставок затронула инструменты компании Checkmarx, привела к краже секретов и утечке данных из приватных репозиториев на GitHub. ИБ-исследователи считают, что в этом инциденте участвовали сразу несколько хакерских группировок.
СМИ: скачивания VPN-приложений в российском Google Play выросли в 14 раз
Wed, 29 Apr 2026 08:30:55 +0000
«Коммерсант» сообщает, что в России резко возрос интерес к VPN-сервисам: пользователи продолжают искать способы обхода, несмотря на ужесточение регулирования. По данным аналитиков Digital Budget (на основе статистики Similarweb), в марте 2026 года число скачиваний VPN-приложений в Google Play достигло 9,2 млн — это в 14 раз больше, чем годом ранее.
Wed, 29 Apr 2026 08:30:55 +0000
«Коммерсант» сообщает, что в России резко возрос интерес к VPN-сервисам: пользователи продолжают искать способы обхода, несмотря на ужесточение регулирования. По данным аналитиков Digital Budget (на основе статистики Similarweb), в марте 2026 года число скачиваний VPN-приложений в Google Play достигло 9,2 млн — это в 14 раз больше, чем годом ранее.
СМИ: Минцифры работает над дополнительной тарификацией международного трафика пользователей
Tue, 28 Apr 2026 17:30:50 +0000
В Минцифры ведется работа над новой мерой борьбы с обходом блокировок: ведомство рассматривает введение дополнительной платы за международный трафик в мобильных сетях. Хотя речь идет о «противодействии использованию VPN-сервисов, не исполняющих требования законодательства», на практике весь международный трафик могут приравнять к использованию сервисов обхода.
Tue, 28 Apr 2026 17:30:50 +0000
В Минцифры ведется работа над новой мерой борьбы с обходом блокировок: ведомство рассматривает введение дополнительной платы за международный трафик в мобильных сетях. Хотя речь идет о «противодействии использованию VPN-сервисов, не исполняющих требования законодательства», на практике весь международный трафик могут приравнять к использованию сервисов обхода.
Брандмауэр Cisco в федеральном ведомстве в США был заражен бэкдором Firestarter
Tue, 28 Apr 2026 15:30:17 +0000
Спецслужбы США и Великобритании предупредили о малвари Firestarter, которая закрепляется на устройствах Cisco Firepower и Secure Firewall с софтом Adaptive Security Appliance (ASA) или Firepower Threat Defense (FTD) и не удаляется ни после установки патчей, ни после обновления прошивки.
Tue, 28 Apr 2026 15:30:17 +0000
Спецслужбы США и Великобритании предупредили о малвари Firestarter, которая закрепляется на устройствах Cisco Firepower и Secure Firewall с софтом Adaptive Security Appliance (ASA) или Firepower Threat Defense (FTD) и не удаляется ни после установки патчей, ни после обновления прошивки.
Жрем мозги ИИ. Подбираем тулзы для пентеста LLM
Tue, 28 Apr 2026 13:30:57 +0000
Для подписчиков
Сегодня с ноги вломимся в мир пентеста ИИ. Я нашел для тебя классные тулзы для автоматического тестирования больших языковых моделей и несколько отличных лабораторных работ, чтобы ты мог отработать навыки как автоматического, так и ручного тестирования нейронок.
Tue, 28 Apr 2026 13:30:57 +0000
Для подписчиков
Сегодня с ноги вломимся в мир пентеста ИИ. Я нашел для тебя классные тулзы для автоматического тестирования больших языковых моделей и несколько отличных лабораторных работ, чтобы ты мог отработать навыки как автоматического, так и ручного тестирования нейронок.
Npm-пакет Bitwarden взломали ради кражи учетных данных разработчиков
Tue, 28 Apr 2026 12:30:44 +0000
В конце прошлой недели npm-пакет bitwarden/cli стал вредоносным: злоумышленники внедрили в него инфостилер, который похищал токены, SSH-ключи и секреты из CI/CD-пайплайнов разработчиков.
Tue, 28 Apr 2026 12:30:44 +0000
В конце прошлой недели npm-пакет bitwarden/cli стал вредоносным: злоумышленники внедрили в него инфостилер, который похищал токены, SSH-ключи и секреты из CI/CD-пайплайнов разработчиков.
Уязвимость в Firefox позволяла отслеживать пользователей Tor
Tue, 28 Apr 2026 10:30:33 +0000
Исследователи из компании FingerprintJS обнаружили уязвимость, которая затрагивает все браузеры на базе Firefox, включая Tor Browser. Проблема позволяет сайтам создавать стабильный идентификатор пользователя и отслеживать его активность между разными доменами без использования cookie, localStorage и каких-либо явных признаков трекинга.
Tue, 28 Apr 2026 10:30:33 +0000
Исследователи из компании FingerprintJS обнаружили уязвимость, которая затрагивает все браузеры на базе Firefox, включая Tor Browser. Проблема позволяет сайтам создавать стабильный идентификатор пользователя и отслеживать его активность между разными доменами без использования cookie, localStorage и каких-либо явных признаков трекинга.
Минцифры: большинство VPN не обеспечивают защиту конфиденциальности
Tue, 28 Apr 2026 08:30:37 +0000
Представители Минцифры прокомментировали жалобы пользователей на недоступность «Госуслуг» и других российских сервисов из-за границы. В ведомстве заверили, что ключевые платформы работают в штатном режиме, а ограничения для пользователей с VPN объяснили соображениями безопасности. В ведомстве сообщают, что скоро на «Госуслугах» появится кнопка для жалоб на ложные срабатывания фильтров.
Tue, 28 Apr 2026 08:30:37 +0000
Представители Минцифры прокомментировали жалобы пользователей на недоступность «Госуслуг» и других российских сервисов из-за границы. В ведомстве заверили, что ключевые платформы работают в штатном режиме, а ограничения для пользователей с VPN объяснили соображениями безопасности. В ведомстве сообщают, что скоро на «Госуслугах» появится кнопка для жалоб на ложные срабатывания фильтров.
Apple исправила уязвимость, позволявшую восстанавливать удаленные сообщения Signal
Mon, 27 Apr 2026 17:30:51 +0000
Разработчики Apple выпустили обновления iOS 26.4.2 и iOS 18.7.8, которые устраняют проблему с хранением push-уведомлений на устройствах пользователей. Именно из-за этой ошибки ФБР ранее удалось извлечь удаленные сообщения Signal с iPhone подсудимой.
Mon, 27 Apr 2026 17:30:51 +0000
Разработчики Apple выпустили обновления iOS 26.4.2 и iOS 18.7.8, которые устраняют проблему с хранением push-уведомлений на устройствах пользователей. Именно из-за этой ошибки ФБР ранее удалось извлечь удаленные сообщения Signal с iPhone подсудимой.
Малварь fast16 существовала до появления червя Stuxnet
Mon, 27 Apr 2026 15:30:53 +0000
Исследователи из компании SentinelOne обнаружили ранее неизвестный фреймворк для промышленного саботажа, датированный 2005 годом (за пять лет до появления Stuxnet). Вредонос получил кодовое название fast16 и предназначался для незаметной подмены результатов в высокоточном инженерном и научном ПО.
Mon, 27 Apr 2026 15:30:53 +0000
Исследователи из компании SentinelOne обнаружили ранее неизвестный фреймворк для промышленного саботажа, датированный 2005 годом (за пять лет до появления Stuxnet). Вредонос получил кодовое название fast16 и предназначался для незаметной подмены результатов в высокоточном инженерном и научном ПО.
HTB Sorcery. Захватываем домен FreeIPA
Mon, 27 Apr 2026 15:00:46 +0000
Для подписчиков
Сегодня будем эксплуатировать домен FreeIPA и пройдем полную цепочку, начиная с атаки на сайт. Проэксплуатируем инъекцию Cypher, затем обойдем проверку Passkey на сайте и получим RCE через сервис Kafka. Проведем разведку на хосте, затем успешный фишинг и многое другое.
Mon, 27 Apr 2026 15:00:46 +0000
Для подписчиков
Сегодня будем эксплуатировать домен FreeIPA и пройдем полную цепочку, начиная с атаки на сайт. Проэксплуатируем инъекцию Cypher, затем обойдем проверку Passkey на сайте и получим RCE через сервис Kafka. Проведем разведку на хосте, затем успешный фишинг и многое другое.
Лучшие статьи 2021–2022 годов. Не пропусти четвертый бумажный спецвыпуск «Хакера»
Fri, 17 Apr 2026 18:00:05 +0000
Новый спецвыпуск «Хакера», в который войдут лучшие статьи 2021–2022 годов, уже в работе. Если ты планировал обновить свою коллекцию или просто соскучился по ощущению настоящего журнала в руках — самое время оформить заказ. Пока номер еще не передан в типографию, действует сниженная цена для тех, кто оформит предзаказ заранее.
Fri, 17 Apr 2026 18:00:05 +0000
Новый спецвыпуск «Хакера», в который войдут лучшие статьи 2021–2022 годов, уже в работе. Если ты планировал обновить свою коллекцию или просто соскучился по ощущению настоящего журнала в руках — самое время оформить заказ. Пока номер еще не передан в типографию, действует сниженная цена для тех, кто оформит предзаказ заранее.
В Windows появилась защита от вредоносных файлов .rdp
Fri, 17 Apr 2026 17:30:55 +0000
Microsoft представила новые механизмы защиты Windows, которые должны затруднить фишинговые атаки через файлы Remote Desktop (.rdp). Теперь система будет предупреждать пользователей о рисках при открытии таких файлов, а перенаправление локальных ресурсов на удаленный хост по умолчанию будет отключено.
Fri, 17 Apr 2026 17:30:55 +0000
Microsoft представила новые механизмы защиты Windows, которые должны затруднить фишинговые атаки через файлы Remote Desktop (.rdp). Теперь система будет предупреждать пользователей о рисках при открытии таких файлов, а перенаправление локальных ресурсов на удаленный хост по умолчанию будет отключено.
Взлом 30 плагинов для WordPress привел к распространению малвари на тысячи сайтов
Fri, 17 Apr 2026 16:30:45 +0000
ИБ-специалисты обнаружили, что более 30 плагинов из пакета EssentialPlugin были скомпрометированы. Еще в 2025 году неизвестные злоумышленники внедрили в них бэкдор, который открывает несанкционированный доступ к сайтам под управлением WordPress. Пострадать от этой кампании могли сотни тысяч сайтов.
Fri, 17 Apr 2026 16:30:45 +0000
ИБ-специалисты обнаружили, что более 30 плагинов из пакета EssentialPlugin были скомпрометированы. Еще в 2025 году неизвестные злоумышленники внедрили в них бэкдор, который открывает несанкционированный доступ к сайтам под управлением WordPress. Пострадать от этой кампании могли сотни тысяч сайтов.
За управление сайтами в даркнете предложили ввести уголовную ответственность
Fri, 17 Apr 2026 15:30:11 +0000
Генеральный прокурор РФ Александр Гуцан выступил в Совете Федерации с ежегодным докладом о состоянии законности и правопорядка и сообщил, что правительство согласовало проект поправок, вводящих уголовную ответственность за управление сайтами в даркнете.
Fri, 17 Apr 2026 15:30:11 +0000
Генеральный прокурор РФ Александр Гуцан выступил в Совете Федерации с ежегодным докладом о состоянии законности и правопорядка и сообщил, что правительство согласовало проект поправок, вводящих уголовную ответственность за управление сайтами в даркнете.
Delta Chat изнутри. Как устроен мессенджер, работающий поверх электронной почты
Fri, 17 Apr 2026 13:30:49 +0000
Для подписчиков
Мессенджер без собственных серверов, без номера телефона, без привязки к облаку — и при этом с end-to-end-шифрованием из коробки. Delta Chat работает поверх обычной электронной почты: сообщения идут по IMAP и SMTP, но шифруются через OpenPGP. Снаружи — привычный чат с контактами, группами и мгновенной доставкой. Внутри — нетривиальная связка криптографии, протоколов рукопожатия и жестких ограничений на формат пакетов.
Fri, 17 Apr 2026 13:30:49 +0000
Для подписчиков
Мессенджер без собственных серверов, без номера телефона, без привязки к облаку — и при этом с end-to-end-шифрованием из коробки. Delta Chat работает поверх обычной электронной почты: сообщения идут по IMAP и SMTP, но шифруются через OpenPGP. Снаружи — привычный чат с контактами, группами и мгновенной доставкой. Внутри — нетривиальная связка криптографии, протоколов рукопожатия и жестких ограничений на формат пакетов.
Критическая уязвимость в Nginx UI позволяет получить полный контроль над сервером
Fri, 17 Apr 2026 12:30:39 +0000
ИБ-исследователи предупредили, что критическая уязвимость в популярном инструменте управления веб-сервером Nginx (nginx-ui) активно используется злоумышленниками и позволяет полностью захватить сервер.
Fri, 17 Apr 2026 12:30:39 +0000
ИБ-исследователи предупредили, что критическая уязвимость в популярном инструменте управления веб-сервером Nginx (nginx-ui) активно используется злоумышленниками и позволяет полностью захватить сервер.
После случайной блокировки разработчиков Microsoft запускает ускоренную процедуру восстановления
Fri, 17 Apr 2026 10:30:49 +0000
Компания Microsoft пытается сгладить последствия от недавних массовых блокировок аккаунтов разработчиков и вводит ускоренную процедуру для восстановления в Windows Hardware Program.
Fri, 17 Apr 2026 10:30:49 +0000
Компания Microsoft пытается сгладить последствия от недавних массовых блокировок аккаунтов разработчиков и вводит ускоренную процедуру для восстановления в Windows Hardware Program.
Grinex: биржу атаковали западные спецслужбы. У пользователей похитили более 1 млрд рублей
Fri, 17 Apr 2026 08:30:32 +0000
Представители криптовалютной биржи Grinex, которую западные власти считают преемницей подсанкционной Garantex, опубликовали в своем Telegram-канале сообщение о масштабном взломе. Сообщается, что за атакой стояли западные спецслужбы, а с криптокошельков биржи было похищено более 1 млрд рублей, принадлежащих российским пользователям.
Fri, 17 Apr 2026 08:30:32 +0000
Представители криптовалютной биржи Grinex, которую западные власти считают преемницей подсанкционной Garantex, опубликовали в своем Telegram-канале сообщение о масштабном взломе. Сообщается, что за атакой стояли западные спецслужбы, а с криптокошельков биржи было похищено более 1 млрд рублей, принадлежащих российским пользователям.
Хостеров могут обязать выявлять и отказывать в услугах операторам VPN
Fri, 17 Apr 2026 07:30:06 +0000
По информации «Коммерсанта», ко второму чтению пакета антимошеннических поправок были предложены новые меры, направленные против VPN-сервисов. Предлагается запретить хостинг-провайдерам предоставлять вычислительные мощности владельцам сайтов и информационных систем, через которые можно получать доступ к заблокированному контенту.
Fri, 17 Apr 2026 07:30:06 +0000
По информации «Коммерсанта», ко второму чтению пакета антимошеннических поправок были предложены новые меры, направленные против VPN-сервисов. Предлагается запретить хостинг-провайдерам предоставлять вычислительные мощности владельцам сайтов и информационных систем, через которые можно получать доступ к заблокированному контенту.
СМИ: операторы подписали мораторий на расширение зарубежных каналов связи
Thu, 16 Apr 2026 17:30:19 +0000
Около 20 компаний-владельцев зарубежных каналов связи подписали мораторий на их расширение. Об этом со ссылкой на четыре источника на телекоммуникационном рынке сообщает РБК. Речь идет об аренде и вводе в эксплуатацию новых каналов, по которым передается весь зарубежный трафик.
1 2 3 4 5 6
Thu, 16 Apr 2026 17:30:19 +0000
Около 20 компаний-владельцев зарубежных каналов связи подписали мораторий на их расширение. Об этом со ссылкой на четыре источника на телекоммуникационном рынке сообщает РБК. Речь идет об аренде и вводе в эксплуатацию новых каналов, по которым передается весь зарубежный трафик.