Форум информационной безопасности - Codeby.net
Статья Умные города: Риски с IoT-устройствами, транспортом, видеонаблюдением
Когда реальность начинает напоминать антиутопию — умные города перестают быть безопасными. IoT, камеры, транспорт и инфраструктура превращаются в поле боя, где каждое устройство может стать оружием.
В этой статье мы разберём, как «умные» технологии проникают под кожу будущего и почему невидимые уязвимости превращают мегаполисы в киберполя — от первых взломов умных фонарей до атак на транспортные и наблюдательные системы.
Узнаете, как устройства IoT становятся входной точкой для хакеров, какие угрозы ждут транспорт будущего и как видеонаблюдение может обернуться шпионажем против самих граждан. Город живет, дышит — но кто управляет его дыханием?Статья За пределами железа: скрытые угрозы и борьба за безопасность АСУ ТП
АСУ ТП и SCADA управляют тем, что нельзя “просто откатить”: светом, водой, давлением, транспортом и промышленными линиями — и поэтому цена ошибок здесь измеряется не утечками, а остановками и авариями.
Внутри разберём типовые уязвимости OT: дефолтные пароли, открытые сервисы, слабую сегментацию IT↔OT, протоколы без шифрования/аутентификации (Modbus/DNP3) и устаревшие прошивки, которые годами живут без патчей.
Поговорим о том, как менялась угроза — от “security by obscurity” к эпохе Stuxnet и атак, которые умеют менять логику контроллеров и оставаться незаметными в технологической среде.Статья Log4Shell и не только: история масштабных атак через уязвимости open-source
Большинство компаний укрепляют периметр: WAF, IDS/IPS, сегментация, Zero Trust. Но один незаметный компонент в зависимостях может пробить всё — потому что атака приходит не «снаружи», а вместе с вашим кодом.
В статье разберём, почему сторонние библиотеки и open-source — это цепочка домино: одна критическая уязвимость в популярном пакете превращается в массовую проблему для тысяч компаний одновременно.
На примере Log4Shell вы увидите механику supply-chain атак: как безобидная строка в логах может привести к RCE, почему автоматические сканеры разгоняют инцидент до глобального масштаба, и что именно ломается в процессах обновления.Статья Взлом NFC: история, технологии и возможности NFCGate
NFC кажется «магией удобства»: приложил карту — и турникет/терминал доверился. Но за кулисами всё держится на радиодиалоге, который можно слушать, разбирать и в некоторых сценариях — использовать против системы.
В статье разберём, откуда вырос NFCGate и почему он стал важной вехой в NFC/RFID‑безопасности: от ранних проблем MIFARE до появления инструментов, которые умеют работать с обменом «на лету».
Поймёте, как устроены ключевые этапы работы с NFC-трафиком: перехват на 13.56 МГц13.56 МГц, разбор ISO/IEC 14443/15693, понимание APDU‑команд и типовые точки, где разработчики допускают фатальные ошибки.Статья AML 2025: Полное руководство по противодействию отмыванию денег
AML в 2025 году — это не “папка с регламентами”, а живой контур в потоке операций: где деньги могут “потерять след”, почему платежи зависают и как комплаенс принимает решения, которые потом нужно уметь защитить. Разберёшься, как работает отмывание на практике: стадии placement/layering/integration, какие паттерны выдают схему, и почему один сигнал ничего не доказывает — важен контекст и связки. Поймёшь, как собирать зрелую AML-систему: risk-based подход, KYC/CDD/EDD как жизненный цикл клиента, ongoing monitoring, транзакционный мониторинг (rules и ML), санкционный скрининг и fuzzy matching — без хаоса и тысяч ложных срабатываний.Статья Arduino: Мультитул хакеров современности
В этой статье разберёмся, почему Arduino стал культовой DIY‑платформой, как он устроен внутри и за счёт чего на нём легко собирать проекты — от простых мигалок до автоматизации и экспериментальных гаджетов. Поймёшь базовую анатомию Arduino: что делает микроконтроллер, зачем нужны GPIO‑пины, как проходит прошивка через IDE и почему концепция скетчей (setup/loop) так удобна для быстрых прототипов.
Получишь идеи, куда двигаться дальше: проекты для дома, обучения, творчества и “хакерского” направления (в легальной плоскости), чтобы Arduino перестал быть “платой из набора” и стал инструментом для реальных технопроектов. Статья Roadmap DevSecOps-инженера 2025: от Junior до Lead за 2 года
DevSecOps 2025: Дорожная карта роста от Junior до LeadХотите уйти от «героических» фиксиков перед релизом и построить предсказуемую безопасность прямо в CI/CD? В этой статье вы увидите, как DevSecOps превращается из набора тулзов в инженерную дисциплину, встроенную в конвейер поставки.
Пошаговый путь 0–36 месяцев Разберём, какие навыки критичны на каждом уровне: от Linux, сетей, контейнеров и первых проверок (Trivy, Semgrep) до IaC‑безопасности, secrets management, SAST/DAST‑интеграций и контейнерного hardening. Поймёте, что отличает junior, middle и senior не по стэку, а по зоне ответственности.
От инженера к архитектору и лиду Поговорим о security‑архитектуре, threat modeling и комплаенс‑автоматизации, а затем — о том, как на уровне Lead выстраивать стратегию, метрики, процессы исключений и выращивать команду. В конце получите идеи pet‑проектов, которые сделают ваше резюме...
Статья Защита удалённого доступа к промышленным объектам: VPN, jump host и сегментация
Удалённый доступ к промышленным системам (OT) часто появляется “на пять минут”, а через год становится критичным сервисом — и самым удобным входом для атакующего. В статье разберём, почему в OT ставки выше, чем в офисной инфраструктуре, и где обычно ломается контроль.
Узнаете три повторяющихся сценария инцидентов: компрометация VPN‑учёток, lateral movement из IT в OT и риски vendor‑доступа. Поймёте, как отличить “просто VPN” от архитектурной дыры и какие решения реально сдерживают ущерб. Покажем устойчивую модель удалённого доступа: зоны и conduits, DMZ, bastion/jump host, MFA, запись сессий, сегментация и связка логов с SIEM. В итоге получите понятную схему, как сделать доступ одновременно удобным для эксплуатации и контролируемым для ИБ.Статья XSS: Всё, что нужно знать
XSS — одна из самых коварных уязвимостей веба: один неэкранированный ввод, и чужой JavaScript начинает выполняться в браузере ваших пользователей. В статье разберёте, как XSS приводит к краже данных, подмене контента и перехвату сессий — от «безобидного alert» до реальных сценариев компрометации аккаунтов. Погрузитесь в механику и терминологию: клиент/сервер, ввод пользователя, параметры URL, формы и DOM — чтобы понимать, где именно появляется брешь и почему она часто рождается на стыке фронта и бэка. Отдельно раскладываются типы XSS: Stored, Reflected и DOM-based — с логикой, чем они отличаются и где встречаются. Получите рабочий чек‑лист защиты: валидация и фильтрация, корректное контекстное экранирование, Content Security Policy, обновления зависимостей, безопасные методы шаблонизации и настройка cookie (HttpOnly/Secure). Это материал, который помогает и разработчикам закрывать дыры, и этичным пентестерам...Статья Raspberry Pi. Революция в мире одноплатных компьютеров
Raspberry Pi — микросхемный андерграунд для тех, кто хочет не просто «юзать» технологии, а собирать их своими руками. В этом гайде разберёте, что такое одноплатный компьютер, чем он отличается от обычного ПК и почему форм-фактор размером с кредитку и цена от $35 сделали Pi мировым стандартом для DIY и обучения. Пошагово проследите эволюцию от первой Model B 2012 года до Raspberry Pi 4 с многогигабайтной RAM, 4K‑видео, быстрым USB 3.0 и гигабитным Ethernet, разложите по полочкам ARM, SoC, GPIO, HDMI, Ethernet, Wi‑Fi и поймёте, какое железо прячется за маленькой платой.🛠 На практических кейсах увидите, как из Pi собрать медиацентр, ретро‑консоль, умный дом, IoT‑прототип или учебный стенд по программированию и электронике — от простых проектов на Python до сложной робототехники и облачных интеграций.
