В последнее время Роскомнадзор начал активно замедлять работу Telegram на территории РФ. Замедление в большинстве случаев реализовано с помощью технологии DPI. Поэтому пользователи всё чаще ищут способы, которые позволяют добиться более стабильной работы Telegram. В этой статье я покажу несколько таких способов, которые помогают «ускорить» и повысить стабильность работы Telegram в условиях сетевых ограничений.
Привет, Хабр!
У одного из наших заказчиков вся инфраструктура расположена в Yandex Cloud и для доступа во внутреннюю сеть ко внутренним ресурсам компании а-ля Grafana, Prometheus, Elasticsearch и т.д. использовался VPN-сервис на базе Self-Hosted OpenVPN. При этом аутентификация пользователей VPN осуществлялась просто по локальным учетным записям на сервере через конфигурацию сервера вида
Вы наверняка знакомы с публичным DNS, если хоть раз задумывались, почему на запрос пушистые-котики.рф компьютер открывает сайт котиков, а не чертежи крыла самолета. В глобальной сети все прозрачно: есть многомиллиардный рынок доменов, есть огромная иерархия серверов, чья задача максимально быстро доставить вас на сайт котиков, банка или онлайн-кинотеатра.
Но есть и другая сторона — когда доменные имена живут только внутри вашей приватной сети. Это и есть приватный DNS. Он не показывает адрес сервера для внешних запросов на резолв имени db.internal, да и вообще не отвечает на запросы извне.
Он нужен, чтобы не запоминать, на каком IP локальный GitLab или тестовый стенд, и не гадать: «так, .105 — это балансировщик или база данных?». Ну и чтобы не бегать по всем серверам, заменяя один IP-адрес на другой для той самой базы, переехавшей на более мощное железо руками, — это долго, и легко ошибиться.
В этой статье разберем, зачем вообще нужна своя система имен в закрытом контуре и как она устроена технически.
По данным Financial Times, AI-агент Amazon получил operator-level доступ к продакшену - и выбрал «удалить окружение» как оптимальный способ починить баг. 13 часов аутейджа. Собрал хронологию трёх инцидентов марта 2026 и разбираюсь, что именно пошло не так на уровне permissions, review gates и CI/CD.
Привет! Меня зовут Владимир Верхотуров, я занимаюсь DevRel в Битрикс24. Большинство стартер-китов ускоряют разработку, но ускорение без системной безопасности почти всегда приводит к техническому долгу. Сегодня хочу рассказать про наш подход к безопасности нашего AI-стартера.
Всем привет!
На связи команда разработчиков Amnezia. Сегодня хотим рассказать о важном обновлении нашего протокола – AmneziaWG 2.0, а также о том, как с его помощью можно развернуть собственный VPN на своем сервере.
AmneziaWG 2.0 – это уже не просто набор новых параметров в конфигурации, а заметный технологический шаг вперед в вопросе восстановления доступа к свободному интернету. Новая версия уже поддерживается в клиенте AmneziaVPN для десктопных приложений и Android у пользователей self-hosted.
ИИ‑фреймворки давно въехали в прод, но к ним часто относятся как к «научной приблуде», а не к ещё одному входу в ваши данные и инфраструктуру. Spring AI и ONNX крутятся где‑то между ML‑командами, продуктами вендоров и внутренними ассистентами, и на определённом этапе за ними перестают успевать архитектура и безопасность.
В марте в обзорах уязвимостей рядом всплыли несколько критичных багов именно в этих штуках. Там есть и SQL‑инъекции, и JSONPath‑инъекции, и обход проверки доверия при загрузке моделей. В статье разбираю, что это значит для тех, кто уже тащит ИИ в прод, и даю чек‑лист, который можно прямо отнести своей команде.
С 1 марта 2026 года в России действует закон, по которому публичная информация для потребителей должна быть на русском языке. Пока закон обсуждался, большинство IT-компаний смотрели на него как на проблему скорее офлайн-бизнеса: вывески, баннеры, магазины. Но когда к нам стали приходить клиенты с конкретными вопросами, стало очевидно, что онлайн он задевает не меньше. Кнопки, разделы меню, тарифные планы - всё это могут посчитать публичной информацией для потребителя. Что именно создает риск претензий, разбираемся на практике.
Откуда взялся закон
ФЗ № 168-ФЗ от 24 июня 2025 года добавил в Закон о защите прав потребителей новую статью 10.1. Суть: любая нерекламная информация, предназначенная для публичного ознакомления потребителей, размещается на русском языке.
При необходимости допускается дублирование на иностранном языке при соблюдении требований к идентичности и равнозначности размещения, оформления (вплоть до параметров шрифта).
28 февраля 2026 года, за день до вступления в силу, Роспотребнадзор опубликовал разъяснение: требования распространяются в том числе на сайты в интернете как «общедоступные места». До этого часть юристов ссылалась на позицию ВС РФ 2015 года о том, что интернет не «место, открытое для свободного посещения».
На практике это вывески, указатели, интерфейсы, сайты, мобильные приложения, документация для пользователей. Закон работает там, где есть лица, продающие товары или оказывающие услуги населению. На коммерческие коммуникации между компаниями он не распространяется.
Итак, вам нужен VPN, но публичные решения сомнительны по безопасности и зачастую не работают. В эпоху нейронок VPN может развернуть за пару часов даже откровенный гуманитарий без технических навыков.
Но даже топовые модели в Claude Code и Codex с большой долей вероятности соберут всё косячно. Ведь настройка VPN — это десяток параметров, которые надо задать определённым образом. Без этого не заработает или быстро сломается.
В этой статье разбираем, почему так происходит и как решать эту проблему, а также попутно собираем современный VPN на Xray VLESS с транспортом XHTTP.
Я живу вне РФ, но у меня там остаются близкие, с которыми важно продолжать общение.
И в какой-то момент я столкнулся с простой, но неприятной реальностью:
поддерживать стабильную связь становится всё сложнее.
В условиях массовых блокировок и внедрения «белых списков» интернет постепенно перестаёт быть глобальным - вместо этого остаётся ограниченный набор разрешённых сервисов.
На практике:
Агентные системы - это уже не чат. Они планируют задачи, дергают инструменты и оставляют свой след в данных. Сетка фильтров не спасёт, если у агента есть доступ к чувствительному контенту, недоверенные источники и выход в интернет. Разбираем OWASP Agentic Top 10 и модель Trifecta чтобы не допустить утечек и взлома системы.
Представьте: вы откликаетесь на вакансию в компании, проходите обычное собеседование, получаете тестовое — и через несколько минут ваш телефон уже заблокирован, а в Telegram требуют деньги за доступ.
Именно так работала схема, в которой мошенники прикрывались нашим брендом. Снаружи — всё как настоящий найм, внутри — аккуратно выстроенный развод. Разбираю, как это устроено и в какой момент всё идёт не так.
Когда-то APT-группировками считались прогосударственные хакеры со сложными инструментами и стратегическими целями, а хактивистами — те, кто выражал цифровой протест. Сегодня определить границу между первыми и вторыми становится все сложнее. Некогда идеологически мотивированные хакеры все чаще выполняют задачи в интересах государств и аффилированных с ними структур, а ущерб от их атак уже достигает уровня APT-группировок.
Мы, группа международной аналитики PT Cyber Analytics, проанализировали деятельность сотен группировок за год — получилось большое исследование. В статье расскажем о самом важном: как меняется ландшафт глобальных киберугроз, какие методы чаще всего используют атакующие и что нас ждет в будущем. А еще покажем топ интересных атак за 2025 год.
Перенес консольного приложения в формат, удобный к показу по ссылке:
переписал логику на Rust,
собрал в WebAssembly и завернул в статичную страницу с терминальным интерфейсом на чистом HTML/CSS/JS.
В статье разбираю практический пайплайн: экспорт функции из Rust в WASM (wasm_bindgen), инициализацию модуля в браузере через JS, вывод результата в DOM и публикацию через GitLab Pages. Отдельно показываю, как встроил .wasm в base64, чтобы страница работала даже без отдельной загрузки бинарного файла.
Это кейс про то, как быстро превратить небольшую CLI-логику без системных API в наглядное web-демо, которое открывается с любого устройства без установки.
Репозиторий: gitlab.com/Evgene-Kopylov/iching_wasm
Демо: i-ching-wasm-c50914.gitlab.io
Привет, Хабр! На связи Дмитрий Неверов, технический консультант направления тестирования внутренней инфраструктуры команды Бастиона и автор книги «Идём по киберследу».
Пентестер зачастую воспринимается как «белый маг хакер», которому дай только возможность запустить пару эксплойтов и поэксплуатировать zero-day. Однако наш опыт подсказывает, что самые неприметные и «безобидные» настройки Active Directory могут нести не меньшую опасность в руках умелого взломщика.
В этой статье я расскажу о трех интересных пентестах, выполненных нашей командой. Во всех этих кейсах использовалась моя базовая методология пентеста, которая несколько отличается от классического подхода, и применялись только этичные приемы. Итак, поехали!
Информационная безопасность — это, в первую очередь, продуманная стратегия, и только потом вложения в железо и программное обеспечение. Часто бывает так, что, воздвигнув крепостные стены, расставив на них лучников, разложив костры и поставив на них котлы со смолой, феодал не знает, что народ, обитающий в замке, проковырял в кладке несколько лазеек и спокойно шастает туда-сюда мимо стражи. Зарплата солдат, расходы на дрова и смолу идут прахом, когда дело касается организованного нападения разбойников. Атаман не дурак — зачем идти на штурм, если можно незаметно просочиться внутрь и по-тихому перебить всю стражу?
Утром 18 марта создатели приложения Telega активировали скрытую функциональность, позволяющую им перехватывать все данные между их приложением и сервером Telegram, пропуская их через свои сервера.
К сожалению, информации об этом мало, и поэтому была написана эта статья с подробным, повторяемым анализом данного механизма.
Олды, возможно, помнят серию постов о «Самураях» — российской разработке защищённых флэшек 2011-2013 годов. Путь «Самурая» вскоре после этого прервался, но не закончился: 10 лет спустя, «Самураи» — это уже не одни флэшки, а целая линейка систем уничтожения данных, по нажатию кнопки стирающих от ноутбука до серверной стойки. И это только часть железных и софтверных решений для по шифрованию, анонимизации и уничтожению данных, которые с тех пор начали выпускаться в России: от защищённых флэшек до защищённых жёстких дисков, защищённых анонимные смартфоны «с секретом» и утилизаторов жёстких дисков и SSD. За прошедшие 15 лет выяснилось, что системы защиты и безвозвратного уничтожения данных — это целая отрасль с огромным спросом и массой востребованных решений.
А ещё — возможно, последняя незарегулированная отрасль российского IT: оказывается, разработка тревожных кнопок моментального уничтожения данных не требует никаких лицензий ФСБ, сертификаций ФСТЭК или реестров Роскомнадзора, потому что, согласно 152-ФЗ, оператор обязан уничтожать персональные данные необратимо. Т.е. с точки зрения закона о персональных данных, функция безвозвратного уничтожения данных — это тоже защита данных. Таким образом, на пересечении законодательной благосклонности и пользовательского спроса, образовалась одна из самых необычных ниш российского ИТ, с которой я сталкивался.
Telega обещала «тот же Telegram, только без VPN». На деле выдали MITM-комбайн с прокси в РФ, вырубленным PFS и нейросетевым Cerberus, который нюхает ваши чаты на лету. В статье разбираем, как «клиент для удобства» тихо превращается в домашний Роскомнадзор в телефоне CIO, и почему один такой апк на смартфоне топа делает бессмысленной всю вашу стратегию по ИБ.
Добрый день, уважаемые коллеги!
Как я уже говорил, наша компания ведёт разработку аппаратных платформ для средств защиты информации (СЗИ). На основе этих платформ мы делаем свои аппаратно-программные комплексы (ПАК), решающие те или иные задачи, обеспечивающие безопасность. Стоит отметить, что такие платформы – только часть в ПАК, причём самая негибкая, и самая изюминка, как правило, содержится в программном обеспечении. Давайте припомним, что IBM PC тоже в основном состоял и состоит из аппаратной платформы, а всё многообразие применений даёт всякое разное ПО 😊
