Мы уже готовим к печати книгу «Белый хакер» — продолжение романа Валентина Холмогорова «Хакеры.RU» о временах, когда интернет был территорией свободы. Предварительные заказы открыты! Бумажная книга с черно-белыми иллюстрациями станет отличным дополнением или началом коллекции, крутым подарком и эксклюзивным сувениром.

29 января 2026 года в 19:00 состоится встреча читателей «Хакера» в Алматы, приуроченная к разблокировке Xakep.ru на территории Казахстана. На офлайн встрече выступит главный редактор «Хакера», а также двое спикеров из хакерспейса Black Ice.

Хорошие новости для всех, кто годами просил нас вернуть бумажный «Хакер»: мы запускаем ежеквартальные выпуски журнала, и «Хакер» возвращается к формату периодического издания. Первый номер уже готовится к печати, и предварительные заказы открыты. До 1 февраля действует специальная цена — 1000 рублей. Не упусти момент, потом станет дороже!

29 декабря 2025 года Таганский районный суд города Москвы прекратил производство по административному иску, в котором группа пользователей, во главе с калужским активистом Константином Ларионовым, требовала признать незаконными действия Роскомнадзора и Минцифры по ограничению голосовых звонков в мессенджерах, а также заявляла, что это нарушает конституционные права и интересы граждан.

Представители WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) заявили, что российские власти пытаются лишить более 100 млн россиян доступа к приватным коммуникациям накануне новогодних праздников. Это заявление компания сделала после повторного предупреждения Роскомнадзора о возможной полной блокировке мессенджера в стране.

Проект поправки к закону 149-ФЗ «Об информации, информационных технологиях и защите информации» вызвал (ссылка) серьезную обеспокоенность в ИБ-сообществе. Документ в первоначальной редакции сделал бы невозможной (ссылка) публикацию открытой информации об уязвимостях.

АО НПП «Исток» им. Шокина столкнулось с типичным для высокозащищенных инфраструктур вызовом: как дать удаленным сотрудникам доступ к токенам ЭЦП, сканерам и другим USB-устройствам, не нарушая требования ИБ и регуляторов. В RuDesktop добавлен безопасный проброс USB. Благодаря этому продукт помог компании обеспечить своевременный доступ сотрудников к корпоративным ресурсам и двухфакторную аутентификацию при сохранении жестких политик безопасности.

Специалисты из компании Koi Security обнаружили, что популярное VPN-расширение Urban VPN Proxy, которому доверяют шесть миллионов человек, отмеченное значком «Рекомендовано» в Chrome Web Store, тайно собирало все промпты пользователей, адресованные ChatGPT, Claude, Copilot и другим ИИ-чат-ботам.

Конец года приближается быстрее, чем ты обновляешь ленту, а значит, самое время подумать о подарках. Первый бумажный спецвыпуск «Хакера» полностью распродан, но сборники с лучшими статьями 2017-2021 годов по-прежнему доступны для заказа. Если хочешь успеть положить под елку что-то крутое и редкое, советуем не затягивать с заказом: логистика в праздники работает медленнее обычного.

Выбор хостинга — тема непростая: вроде бы все предлагают примерно одно и то же, но у каждого хостера всегда свои интересные нюансы и особенности. На этот раз с просьбой протестировать услуги и рассказать о них к нам обратилась компания UFO Hosting. Что ж, хостинг мы любим, летающие тарелки — не меньше, поэтому с готовностью принялись за дело.

С 24 ноября по 5 декабря 2025 года компания «Пассворк» проводит акцию в честь «чёрной пятницы» — все версии коробочного решения для управления паролями будут доступны со скидкой 50%.

Неизвестная хак-группа заявляет, что взломала серверы компании Protei и похитила около 182 гигабайт данных, включая электронную переписку за несколько лет. Также злоумышленники, мотивы которых неизвестны, дефейснули сайт компании, оставив на нем нецензурное послание.

Современные кибератаки все чаще нацелены не просто на кражу данных, а на их полное уничтожение. В таких условиях эффективность резервного копирования определяется не количеством копий, а их защитой и недоступностью. Именно поэтому ведущие стандарты информационной безопасности — от NIST до рекомендаций ФСТЭК — настоятельно рекомендуют внедрять многоуровневую модель резервного копирования, в которой последний, самый надежный слой должен быть физически изолирован и аппаратно неизменяем.

После нескольких лет блокировки сайт «Хакера» снова открывается у всех основных казахстанских провайдеров и операторов связи. Благодарим компанию TSARKA за помощь с обращением!

Мы публикуем текст обращения, направленного министру цифрового развития с целью остановить принятие поправки к закону «Об информации», которая значительно затруднит работу как «Хакера», так и других обучающих ресурсов и площадок, связанных с кибербезопасностью.

Представители Роскомнадзора (РКН) сообщили, что все владельцы каналов в Telegram, аудитория которых превышает 10 000 человек, должны добавить в канал бота trustchannelbot и дать ему права администратора. В ведомстве заявляют, что это единственный способ подтвердить владение каналом.

Бытует мнение, что язык C# годится только для разработки приложений под Windows. Между тем, это все было давно и неправда — даже дважды неправда с момента появления .NET Core. Сейчас на C# можно писать и десктопные приложения, и бэк, и мобильные приложения, и системные утилиты. Язык не стоит на месте и покрывает всё больше направлений разработки.

«Хакеру» нужны новые авторы, и ты можешь стать одним из них! Если тебе интересно то, о чем мы пишем, и есть желание исследовать эти темы вместе с нами, то не упусти возможность вступить в ряды наших авторов и получать за это все, что им причитается.

В Минцифры РФ предложили пакет мер по борьбе с кибермошенничеством. Среди них — запрет на распространение информации, связанной с практикой ИБ. В случае вступления этих мер в силу более половины статей «Хакера» окажется вне закона. Подписчики потеряют к ним доступ, и новые материалы на эту тему появляться не будут. Архивы PDF нам тоже придется убрать.

На рабочих компьютерах может быть масса данных, которые не должны покидать стены офиса. Как убедиться, что сотрудники не будут играть в Сноудена? Один из самых верных способов — софтверный. Сегодня мы с тобой посмотрим на отечественную DCAP-систему компании «СёрчИнформ», которая должна помогать в нелегком деле защиты информации.

Специалисты из компании Koi Security предупреждают, что недавно изменилось поведение популярного Chrome-расширения FreeVPN. Оно начало тайно делать скриншоты активности пользователей и передавать их на удаленный сервер.

Аналитики Citizen Lab предупредили, что более 20 VPN-приложений из магазина Google Play имеют серьезные проблемы с безопасностью, которые угрожают приватности пользователей и позволяют расшифровывать передаваемые данные. Суммарно эти приложения насчитывают 972 млн скачиваний.

Хакерам Saber и cyb0rg удалось успешно атаковать участника северокорейской шпионской хакгруппы Kimsuky. Отчет об этом они опубликовали в новейшем номере журнала Phrack. Из этой статьи ты узнаешь, как проходила атака, какой код и данные извлекли с рабочей станции, принадлежащей северокорейскому хакеру.

Компания Microsoft сообщила, что хак-группа Secret Blizzard (она же Turla, Waterbug и Venomous Bear) атакует сотрудников иностранных посольств в Москве. Отчет гласит, что хакеры якобы используют MitM-позицию в сетях интернет-провайдеров и маскируют свою малварь ApolloShadow под антивирус «Лаборатории Касперского».

Сегодня практически у каждой компании есть цифровая инфраструктура. Хранение данных, работа приложений, защита информации — все это требует технической базы. В какой-то момент возникает вопрос: где разместить эти системы — в облаке или на собственных серверах? На примере сервисов «Контур.Доступ» и «Контур.ID» разберем, как работает каждый подход, кому он подходит, а также какие плюсы и риски с ним связаны.

В доставке вредоносного кода в троянах для Windows нередко участвуют ярлыки, они же файлы LNK. В этой статье мы детально разберем устройство ярлыков и связанные с ними уязвимости, а также проанализируем поведение малвари на основе 30 000 свежих образцов.

Еще в декабре 2021-го, когда были найдены и закрыты четыре уязвимости Log4shell в Log4J, оказалось, что их на самом деле больше. Две из них — отказ в обслуживании и утечка данных — тогда широко известны не были. Лишь в сентябре 2022 года вендор официально признал их, но представил как часть тех самых четырех исходных багов. Поэтому патчей и новых CVE всем этим багам не положено.

Хранить пароли без надежного инструментария — все равно, что запирать ценные документы в комнате, от которой у всех есть ключ. В корпоративной среде доступы часто передаются в чатах, копируются в файлы Excel и красуются на стикерах под монитором. Эту проблему решает «Пассворк» — корпоративный менеджер паролей, призванный централизовать хранение и навести порядок в правах доступа. Недавно вышла новая, седьмая версия — переписанная с нуля, с новым интерфейсом, API и большими возможностями.

В блоге компании Cloudflare появилась большая публикация, посвященная падению российского трафика. Представители компании рассказывают, как выглядит ситуация с их стороны, и признают, что решения для этой проблемы у них нет.

Парсинг ненадежных данных создает идеальную лазейку для атак на приложения, написанные на Go. В ходе наших исследований безопасности мы не раз находили уязвимости в парсерах JSON, XML и YAML Go, которые позволяли обходить аутентификацию, нарушать авторизационные правила и выкачивать чувствительные данные прямо с рабочих систем.

В мире, где информация передается все быстрее, а темп жизни требует мгновенной обработки данных, сервис Speech2Text становится ключевым инструментом для тех, кто работает с аудио- и видеоконтентом. Будь то журналист, студент, преподаватель или предприниматель — задача быстро и точно преобразовать речь в текст возникает все чаще. Именно здесь на помощь приходит Speech2Text — инновационное решение, созданное в России для эффективной транскрибации речи в текст.

Исследователи выяснили, что код, который Meta и «Яндекс» ставят на миллионы сайтов, устраивает деанон юзеров, хитро используя легитимные протоколы. Chrome и другие браузеры втихаря шлют уникальные идентификаторы нативным приложениям на устройстве. В этой статье — подробный разбор того, как это работает.

При слове «криптография» все обычно сразу думают о шифровании, то есть сохранении данных в секрете. Но не менее важна и подлинность: гарантия того, что информация действительно исходит от надежного источника. Пароли традиционно служат для аутентификации пользователей, но они уязвимы для фишинг‑атак и утечек данных. И здесь на помощь приходят passkeys, они же — ключи доступа.

С 22 по 24 мая следить за главными событиями Positive Hack Days можно прямо на сайте «Хакера», мы запускаем прямую трансляцию с фестиваля. Многие доклады, панели и активности будут доступны онлайн, не пропусти! Учти: часть контента останется эксклюзивом для офлайна. Так что если хочешь увидеть все — приезжай лично. Кстати, команда «Хакера» ждет тебя на стенде №48, и у нас есть подарки для подписчиков!

Разработчики Tor анонсировали новый инструмент командной строки Oniux, предназначенный для безопасной маршрутизации любых Linux-приложений через сеть Tor для анонимизации сетевых соединений.

Хочешь узнать, как выглядит фишинг мирового масштаба изнутри? В этой статье мы проведем экскурсию в закулисье одной из самых масштабных фишинговых операций последнего времени. Покажем, как устроен этот бизнес и кто стоит за нашумевшим проектом Darcula. По дороге подробно разберем инструменты, которые применяли атакующие.

Техники Diamond Ticket и Sapphire Ticket — новые направления в развитии атак на Active Directory. «Сапфировый» вариант — это прокачанная версия «алмазного»: если Diamond Ticket просто изменяет PAC, то Sapphire подставляет вместо него PAC другого привилегированного пользователя. В этой статье мы как следует разберем, как именно работают такие атаки.

Атака «Алмазный билет» (Diamond Ticket) — это новое слово в мире эксплуатации Active Directory (AD). Она завязана на хитроумные недочеты в аутентификации и авторизации Kerberos. В этой статье мы разберем все технические тонкости этой атаки: выясним, какую роль играют Privilege Attribute Certificates (PAC), и узнаем, почему окружение AD так уязвимо. Напоследок вооружим тебя подробными советами по обнаружению угрозы.

Выбор направления для старта карьеры в ИТ — сложная задача. Одними из самых востребованных и перспективных направлений на сегодня остаются программирование и тестирование. Если ты хочешь не просто пройти обучение, а действительно выйти на рынок труда с нужными навыками, стоит обратить внимание на курсы с трудоустройством Eduson Academy — онлайн-платформы с современными образовательными программами, ориентированными на результат.

Мы ишем команду, которая будет помогать нам поддержке, обновлении и оптимизации CMS WordPress, под управлением которой работает Xakep.ru. Помимо стандартных работ нужно будет провести профилирование, а также рефакторинг кастомных модулей на PHP. Плюсом будет наличие в команде веб-дизайнера и верстальщика, которые помогут с внешними изменениями. Работы много!