Посты security_danil

— Каждый пост — кусочек души —

Я нашёл бэкдор в библиотеке, которую используют 40% российских стартапов. Её не чинят 11 месяцев

В октябре 2025-го я делал security-аудит для финтех-стартапа. В их зависимостях нашёл npm-пакет `@utils/crypto-helpers` — 8 000 загрузок в неделю. Внутри — обфусцированный код, который при определённых условиях отправлял часть платёжных данных на вн…

Читать далее

Я нашёл бэкдор в библиотеке, которую используют 40% российских стартапов. Её не чинят 11 месяцев

В октябре 2025-го я делал security-аудит для финтех-стартапа. В их зависимостях нашёл npm-пакет `@utils/crypto-helpers` — 8 000 загрузок в неделю. Внутри — обфусцированный код, который при определённых условиях отправлял часть платёжных данных на вн…

Читать далее

Я нашёл бэкдор в продукте, который сертифицирован по ФСТЭК. И мне за это ничего не было

Не буду называть продукт — NDA. Скажу только: это было решение для госсектора, с действующим сертификатом соответствия. Я копал его в рамках обычного пентеста по контракту. Бэкдор был в библиотеке для работы с JWT. Кто-то три года назад форкнул поп…

Читать далее

Эпоха «живых» вирусов: почему классические антивирусы мертвы, а защита в 2026 году строится на биометрии кода

Эпоха «живых» вирусов: почему классические антивирусы мертвы, а защита в 2026 году строится на биометрии кода

Эра статических сигнатур и эвристического анализа закончилась. Современные вредоносные программы, генерируемые нейросетями, меняют свой код при каждом запуске, оставаясь функционально идентичными, но уникальными для детекторов. В 2026 году защита пе…

Читать далее

Полиморфный вредоносный код: почему традиционные антивирусы бессильны против AI-генерируемых атак 2026 года

Полиморфный вредоносный код: почему традиционные антивирусы бессильны против AI-генерируемых атак 2026 года

Эпоха статических сигнатур и эвристического анализа закончилась. Современные вредоносные программы, генерируемые нейросетями, меняют свой код при каждом запуске, оставаясь функционально идентичными, но уникальными для детекторов. В 2026 году защита …

Читать далее

Ваш код чист, но ваша зависимость — нет. Эра атак на цепочку поставок

Ваш код чист, но ваша зависимость — нет. Эра атак на цепочку поставок

Хакеры больше не штурмуют ваш периметр. Они атакуют малоизвестную open-source библиотеку с двумя мейнтейнерами, которую вы импортировали три года назад и забыли обновлять. В 2026 году SBOM (Software Bill of Materials) — это не рекомендация, а жестко…

Читать далее

Ваш фаервол бесполезен: эра дипфейк-фишинга уже здесь

Ваш фаервол бесполезен: эра дипфейк-фишинга уже здесь

Забудьте о хакерах в капюшонах, взламывающих сложные пароли. Самый слабый элемент в системе безопасности — это человек, и в 2026 году атаки на него стали пугающе реалистичными. Дипфейки голоса и видео больше не требуют суперкомпьютеров. Мошенники кл…

Читать далее

Shift Left: почему безопасность должна начинаться в IDE, а не на периметре

Shift Left: почему безопасность должна начинаться в IDE, а не на периметре

Традиционная модель безопасности, когда команда InfoSec проверяет приложение за день до релиза, мертва. Она создает бутылочное горлышко, конфликты и ложное чувство защищенности. Уязвимости, найденные на этапе продакшена, стоят в сотни раз дороже, че…

Читать далее

Фишинг работает не потому что люди глупые. Потому что они спешат

Фишинг работает не потому что люди глупые. Потому что они спешат

Сценарий: разработчик получил письмо от «ИТ-отдела». Ссылка ведёт на фишинговый портал, визуально неотличимый от корпоративного. Он ввёл логин и пароль. Через двенадцать минут атакующий получил доступ к репозиторию. Через сорок — к staging. Через ча…

Читать далее

Алгоритмы не принимают решения. Они автоматизируют наши предубеждения

Алгоритмы не принимают решения. Они автоматизируют наши предубеждения

«Модель объективна». Самое удобное заблуждение в эпоху автоматизации. Алгоритм не рождается в вакууме. Он учится на данных, которые собрали люди. С пропусками, смещениями и слепыми зонами. Когда мы делегируем оценку модели, мы не убираем субъекти…

Читать далее

Безопасность не в начале спринта. Она в каждом комите

Безопасность не в начале спринта. Она в каждом комите

«Проверим перед релизом». Самая опасная фраза в DevSecOps. Потому что безопасность, отложенная на конец, становится тормозом. И врагом. Мы привыкли считать защиту воротами. Но в современной разработке ворота должны быть повсюду. И не бетонными. П…

Читать далее

Нулевое доверие — это не паранойя. Это гигиена

Нулевое доверие — это не паранойя. Это гигиена

«Зачем нам MFA, если сеть за файрволом?». «Зачем проверять скрипт, если он от внутреннего разработчика?». «Зачем ротировать ключи, если они работают?». Эти вопросы звучат рационально. Пока не случается инцидент. Zero Trust — это не технология. Эт…

Читать далее

Уязвимость, о которой молчат

Уязвимость, о которой молчат

Прошлой ночью я получил письмо. «Здравствуйте, это служба безопасности. Мы зафиксировали подозрительную активность. Подтвердите личность по ссылке». Ссылка вела на домен support-energу.com. Заметили подвох? Буква «у» вместо «y». Одна буква. Кирил…

Читать далее

Социальная инженерия: как меня пытались взломать через поддержку

Социальная инженерия: как меня пытались взломать через поддержку

Прошлой ночью мне пришло письмо: «Здравствуйте, это служба безопасности. Мы зафиксировали подозрительную активность на вашем аккаунте. Подтвердите личность, перейдя по ссылке». Ссылка вела на домен, похожий на наш: `support-energу.com` вместо `su…

Читать далее

«У нас нет уязвимостей, мы их просто не проверяем»

«У нас нет уязвимостей, мы их просто не проверяем»

Слышал это от трех разных стартапов за последний год. И каждый из них считал, что безопасность — это проблема «когда вырастем, когда наймем CISO, когда получим сертификат». Рост не приносит безопасность. Он приносит внимание злоумышленников. Три …

Читать далее