#секреты — Public Fediverse posts

Как мы пытались «ломануть» сайт «Миротворец»*, а нашли целую армию охотников за данными. Полный технический разбор

Дисклеймер: Вся информация, представленная в статье, получена из открытых источников исключительно в исследовательских целях. Мы не нарушали закон и не пытались получить несанкционированный доступ к каким-либо системам. Сайт «Миротворец»* признан экстремистским и запрещён на территории Российской Федерации. Прямые ссылки на него не приводятся в соответствии с законодательством РФ. Рекомендуем читателям соблюдать осторожность и не использовать найденные скрипты для незаконных действий.

https://habr.com/ru/articles/1030528/

#OSINT #информационная_безопасность #утечки_данных #пентест #GitHub #APIключи #секреты #Миротворец #расследование #облачная_инфраструктура

​Как ИИ-агенты по программированию похищают секреты

Современные ИИ-агенты для программирования — Claude Code, Cursor, Windsurf и аналогичные инструменты — стали неотъемлемой частью рабочего процесса многих разработчиков. Они анализируют кодовую базу, предлагают решения и автоматизируют рутину...

#DST #DSTGlobal #ДСТ #ДСТГлобал #искусственныйинтеллект #ИИагенты #код #программирование #секреты #ClaudeCode, #Cursor #Windsurf #Мониторинг #DNS #Ollama #LMStudio

Источник: https://dstglobal.ru/club/1175-kak-ii-agenty-po-programmirovaniyu-pohischayut-sekrety

​Как ИИ-агенты по программированию похищают секреты

Современные ИИ-агенты для программирования — Claude Code, Cursor, Windsurf и аналогичные инструменты — стали неотъемлемой частью рабочего процесса многих разработчиков. Они анализируют кодовую базу, предлагают решения и автоматизируют рутину...

#DST #DSTGlobal #ДСТ #ДСТГлобал #искусственныйинтеллект #ИИагенты #код #программирование #секреты #ClaudeCode, #Cursor #Windsurf #Мониторинг #DNS #Ollama #LMStudio

Источник: https://dstglobal.ru/club/1175-kak-ii-agenty-po-programmirovaniyu-pohischayut-sekrety

​Как ИИ-агенты по программированию похищают секреты

Современные ИИ-агенты для программирования — Claude Code, Cursor, Windsurf и аналогичные инструменты — стали неотъемлемой частью рабочего процесса многих разработчиков. Они анализируют кодовую базу, предлагают решения и автоматизируют рутину...

#DST #DSTGlobal #ДСТ #ДСТГлобал #искусственныйинтеллект #ИИагенты #код #программирование #секреты #ClaudeCode, #Cursor #Windsurf #Мониторинг #DNS #Ollama #LMStudio

Источник: https://dstglobal.ru/club/1175-kak-ii-agenty-po-programmirovaniyu-pohischayut-sekrety

​Как ИИ-агенты по программированию похищают секреты

Современные ИИ-агенты для программирования — Claude Code, Cursor, Windsurf и аналогичные инструменты — стали неотъемлемой частью рабочего процесса многих разработчиков. Они анализируют кодовую базу, предлагают решения и автоматизируют рутину...

#DST #DSTGlobal #ДСТ #ДСТГлобал #искусственныйинтеллект #ИИагенты #код #программирование #секреты #ClaudeCode, #Cursor #Windsurf #Мониторинг #DNS #Ollama #LMStudio

Источник: https://dstglobal.ru/club/1175-kak-ii-agenty-po-programmirovaniyu-pohischayut-sekrety

Как мы в CodeScoring модель для поиска секретов готовили

Расскажем, как нам удалось повысить качество определения истинных секретов в результатах сканирования кода с 0.70 до 0.90 PR AUC с помощью LLM.

https://habr.com/ru/companies/codescoring/articles/1019956/

#secrets #security #ml #ai #codescoring #llm #безопасность #безопасность_приложений #секреты #devsecops

Безопасность Kubernetes: полный гайд для начинающих или как не повторить ошибку Tesla

Kubernetes взламывают не «эксплойтом века», а банальностями: открытый доступ, cluster-admin «на время», default serviceAccount, секреты в манифестах (да, base64 не защита). Дальше сценарий предсказуемый — от тихого майнинга до утечки ключей, как в истории с Tesla. В статье разберу три базовых опоры k8s-безопасности: минимизация прав через RBAC, нормальная работа с секретами и изоляция workload’ов через securityContext и политики — с типовыми ошибками и практиками, которые реально внедрить.

https://habr.com/ru/companies/otus/articles/994136/

#kubernetes #безопасность #devsecops #rbac #секреты #pod_security #checkov #kyverno

Как перевести CI/CD-пайплайн из режима с хранением секретов в коде на механизм с динамическими паролями

Привет, Хабр! Я Руслан Гайфутдинов, ведущий пресейл-инженер в команде системы хранения секретов StarVault в Orion soft. Сегодня я хотел бы рассказать о том, как обеспечить соответствие требованиям безопасной разработки и защитить учетные записи от компрометации, используя хранилище секретов. В этой статье мы поговорим об общепринятых методах хранения секретов и подробно разберем процесс перевода пайплайна CI/CD из защищенного режима (когда все секреты хранятся в коде) в режим динамических паролей. Где это нужно? Например, в безопасной разработке.

https://habr.com/ru/companies/orion_soft/articles/973618/

#ci_cd_пайплайны #ci_cd #секреты #хранение_секретов #управление_секретами #starvault

Успех секрета: как доставлять секреты в приложения безопасно и без головной боли

Мы видели много инфраструктур и встречали самые разные способы доставки секретов в приложения, развёрнутые в кластерах Kubernetes. Но ни один из этих способов не был одновременно удобным и по-настоящему безопасным. В статье расскажем про существующие варианты, посмотрим на их плюсы и минусы и поделимся тем, как мы решали задачу доставки секретов в Deckhouse Kubernetes Platform.

https://habr.com/ru/companies/flant/articles/932862/

#deckhouse_stronghold #hashicorp_vault #секреты #безопасность #kubernetes #devops

Секретные ингредиенты безопасной разработки: исследуем способы точного и быстрого поиска секретов

Точно и быстро искать секрет в коде — тривиальная задача, если знаешь конкретный формат секрета и осуществляешь поиск в своём проекте. Задача становится сложнее, если твой скоуп включает несколько проектов или один большой корпоративный монорепозиторий. И эта же задача становится вызовом, если область поиска — платформа для разработчиков, а формат твоего секрета — недетерминирован. Меня зовут Денис Макрушин, и вместе с Андреем Кулешовым @akuleshov7 и Алексеем Тройниковым @atroynikov в этом году мы сделали POC платформы для безопасной разработки в рамках команды SourceCraft. Сегодня поговорим о функциональности поиска секретов. Наша appsec‑платформа состоит из двух групп инструментов: анализаторы, которые требуют точной настройки, и слой управления, который отвечает за обработку результатов и интеграцию с инфраструктурой. В этом материале пройдём стадию discovery для анализатора секретов: посмотрим на актуальные инструменты поиска секретов, их ограничения и определим направления для повышения трёх ключевых параметров Secret Sсanning: точность, полнота и скорость.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/929558/

#secretsmanagement #git #devsecops #секреты

Что нужно знать про использование werf при развёртывании гибридного приложения: личный опыт

Автор статьи — мобильный разработчик, который сам поднял инфраструктуру для стартапа на одной небольшой виртуалке. Вы узнаете, как он выбрал и внедрил werf, какие проблемы решал с помощью SOPS, как организовал хранение и шифрование секретов, и почему GitOps стал для него спасением.

https://habr.com/ru/companies/flant/articles/914060/

#werf #cicd #kubernetes #terraform #секреты #гибридные_приложения #гитерминизм #gitops #sops

Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных

После ухода HashiCorp с российского рынка многие компании стоят перед выбором: переехать на Community-редакцию Vault и дорабатывать её под свои потребности или купить готовый продукт, где многие фичи доступны «из коробки» и есть поддержка от разработчиков. В этом году мы добавили в свой менеджер секретов Deckhouse Stronghold привычный пользователям Vault функционал: от пространств имён до автоматических бэкапов и репликации KV-хранилищ. В статье сравниваем реализацию этих возможностей в обоих продуктах и делимся ближайшими планами по развитию Stronghold.

https://habr.com/ru/companies/flant/articles/911450/

#hashicorp_vault #deckhouse_stronghold #безопасность #секреты #devops

Tuna Секреты — современный подход к конфигурации окружений

Наша платформа для разработчиков продолжает развиваться и сегодня я расскажу о новой функционале -

https://habr.com/ru/companies/tuna/articles/908550/

#секреты #хранение_токенов #хранение_паролей #конфигурация #env #vault #ci

Как ArgoCD секреты из Vault не расшифровывал, или при чем тут App of Apps

Привет, Хабр! Меня зовут Антон, я DevOps-инженер в YADRO, работаю с платформой машинного обучения. Недавно столкнулся с интересным случаем, над которым мне пришлось поломать голову. Одной из задач нашей команды стало развертывание helm-чарта для Airflow с использованием ArgoCD. Это потребовалось для реализации DAG-пайплайнов, необходимых для обработки данных и автоматизации процессов в проектах машинного обучения. В статье расскажу о сложностях при расшифровке секретов с использованием плагина ArgoCD Vault, о паттерне App of Apps для обхода этих сложностей и небольшом погружении в детали установки плагина в кластер, из-за которых возможно неочевидное поведение ArgoCD Applications.

https://habr.com/ru/companies/yadro/articles/873476/

#argocd #vault #секреты #devops #helmчарты #airflow

Как организовать безопасное хранение секретов в Docker: лучшие практики

Хей, Хабр! Секреты — это такая щекотливая тема, из‑за которой у безопасников начинаются нервные подёргивания глаза. Вроде бы «просто пароль» или «просто токен», но в 2025 году мы уже знаем, что просто в безопасности — это верная дорога к утечкам и ночным обкаткам плана B. В этой статье поговорим, как правильно хранить секреты в Docker‑контейнерах и окрестностях, а заодно разберёмся, чем могут помочь Docker Secrets, HashiCorp Vault и компания.

https://habr.com/ru/articles/872128/

#Docker #безопасность #секреты #hashicorp_vault #Docker_Secrets #BuildKit #kubernetes #контейнеризация #devops #хранение_данных

Как организовать безопасное хранение секретов в Docker: лучшие практики

Хей, Хабр! Секреты — это такая щекотливая тема, из‑за которой у безопасников начинаются нервные подёргивания глаза. Вроде бы «просто пароль» или «просто токен», но в 2025 году мы уже знаем, что просто в безопасности — это верная дорога к утечкам и ночным обкаткам плана B. В этой статье поговорим, как правильно хранить секреты в Docker‑контейнерах и окрестностях, а заодно разберёмся, чем могут помочь Docker Secrets, HashiCorp Vault и компания.

https://habr.com/ru/articles/872128/

#Docker #безопасность #секреты #hashicorp_vault #Docker_Secrets #BuildKit #kubernetes #контейнеризация #devops #хранение_данных

Как организовать безопасное хранение секретов в Docker: лучшие практики

Хей, Хабр! Секреты — это такая щекотливая тема, из‑за которой у безопасников начинаются нервные подёргивания глаза. Вроде бы «просто пароль» или «просто токен», но в 2025 году мы уже знаем, что просто в безопасности — это верная дорога к утечкам и ночным обкаткам плана B. В этой статье поговорим, как правильно хранить секреты в Docker‑контейнерах и окрестностях, а заодно разберёмся, чем могут помочь Docker Secrets, HashiCorp Vault и компания.

https://habr.com/ru/articles/872128/

#Docker #безопасность #секреты #hashicorp_vault #Docker_Secrets #BuildKit #kubernetes #контейнеризация #devops #хранение_данных

Как организовать безопасное хранение секретов в Docker: лучшие практики

Хей, Хабр! Секреты — это такая щекотливая тема, из‑за которой у безопасников начинаются нервные подёргивания глаза. Вроде бы «просто пароль» или «просто токен», но в 2025 году мы уже знаем, что просто в безопасности — это верная дорога к утечкам и ночным обкаткам плана B. В этой статье поговорим, как правильно хранить секреты в Docker‑контейнерах и окрестностях, а заодно разберёмся, чем могут помочь Docker Secrets, HashiCorp Vault и компания.

https://habr.com/ru/articles/872128/

#Docker #безопасность #секреты #hashicorp_vault #Docker_Secrets #BuildKit #kubernetes #контейнеризация #devops #хранение_данных

Безопасная миграция данных из Vault одной командой

Представьте, что у вас есть Vault и нужно перенести данные из него в другое хранилище. Например, из одного закрытого контура в другой на обычной флешке. Или из одного backend storage в другой. Причём перенести нужно безопасно, не расшифровывая данные в процессе и не раскрывая секреты. В этой статье мы расскажем, как решаем такие задачи в Deckhouse Stronghold — нашем решении для управления жизненным циклом секретов.

https://habr.com/ru/companies/flant/articles/869290/

#vault #секреты #безопасность #deckhouse #hashicorp_vault

Как в цифровом мире безопасно рассказать информацию не выдавая себя?

К примеру контрибьютер опенсорс проекта хочет рассказать о планах но при этом остаться анонимным. Или еще пример: какая-то технологическая фирма замешана в тёмных делишках и некоторый честный сотрудник хочет это прекратить. Он не знает сколько таких же как он единомышленников, но при этом он точно знает что если эти тёмные дела подтвердят только один-два человека то их быстро уволят и ничего не изменится. Он пишет сообщение на анонимном форуме и получает поддержку от других пользователей которые утверждают что они якобы его коллеги, но верить этому нельзя потому что это может быть просто тролль. Или просто какая-то тема запрещена для обсуждения которую очень хочется обсудить. Как же быть? Использовать кольцевые подписи!

https://habr.com/ru/articles/852074/

#кольцевые_подписи #выборы #обратная_связь #криптография #криптовалюта #гитхаб #секреты

Господин сенатор, шаттл подан: как мы переносим тысячи секретов в StarVault за секунды

Казалось бы, простая задача: перенести секреты между хранилищами Vault. Но на практике возникают сложности. И их столько, что мы в Orion soft разработали свою утилиту для миграции – StarVault Shuttle. В этой статье я расскажу, почему мы остановились на таком решении и как работает наша утилита. Также поговорим про подводные камни миграции через бэкапы и обсудим другие задачи «переезда» на новый Vault, например, необходимость «уборки» в хранилище.

https://habr.com/ru/companies/orion_soft/articles/840822/

#starvault #hashicorp_vault #vault #секреты #миграция_данных #безопасность #orion_soft #импортозамещение

[Перевод] Любой может получить доступ к удалённым и приватным данным репозиториев GitHub

Кто угодно может получать доступ к данным из удалённых форков , удалённых репозиториев и даже приватных репозиториев GitHub. И эти данные доступны всегда. Это известно разработчикам GitHub, и они намеренно спроектировали систему таким образом. Это настолько огромный вектор атак для всех организаций, использующих GitHub, что мы решили ввести новый термин: Cross Fork Object Reference (CFOR) . Уязвимость CFOR возникает, когда форк одного репозитория может получить доступ к требующим защиты данным из другого форка (в том числе и к данным из приватных и удалённых форков). Аналогично Insecure Direct Object Reference, при CFOR пользователи передают хэши коммитов, чтобы напрямую получать доступ к данным коммитов, которые иначе были бы для них невидимыми. Давайте рассмотрим несколько примеров.

https://habr.com/ru/companies/ruvds/articles/835448/

#форки #репозитории #git #управление_версиями #безопасность_данных #секреты #ruvds_перевод

Как мы управляем секретами в Банки.ру: Vault HashiCorp и мечта об одной безопасной кнопке

Привет! Меня зовут Лев, я руководитель интеграционной разработки в финансовом маркетплейсе Банки.ру. Больше года назад мы начали переход на микросервисную архитектуру. Секретов становилось всё больше: пароли, токены, сертификаты, ключи. А управлять ими было всё сложнее. Количество команд давно перевалило за несколько десятков, а интеграций с партнерами, которые также защищены секретами, — за сотню. Перед нами появилась задача выстроить удобную и безопасную структуру хранения и управления секретами. В этой статье поделюсь нашим опытом и расскажу: 1. В чем заключалась проблема в управлении секретами, как мы её решили и как могли бы улучшить этот процесс. 2. Какие способы хранения секретов существуют и как их можно интегрировать. 3. Как можно реализовать хранение через Vault. 4. Что такое политики доступа и как они применяются к структурам секретов. 5. Варианты реализации, которые наилучшим образом подходят для нашей конкретной ситуации.

https://habr.com/ru/companies/banki/articles/831510/

#vault #hashicorp #hashicorp_vault #секреты

[Перевод] Секретики в «повреждённых» скинах Winamp

Несколько лет назад я собирал материалы для Музея скинов Winamp , и часть файлов показалась мне повреждённой. Я решил исследовать их, и оказалось, что на самом деле эти скины являются просто zip-файлами с другим расширением. Что же будет, если извлечь эти файлы? О, чего там только нет!

https://habr.com/ru/companies/cloud4y/articles/831340/

#winamp #скины #секреты #информационная_безопасность #научнопопулярное #ретро

[Перевод] Чек-лист по разработке облачных приложений. Часть 2 — аспекты безопасности

Всем добрый день, я Станислав Тибекин, CEO Посмотреть чек-лист

https://habr.com/ru/companies/nixys/articles/824750/

#cloud_native #cloud #devops #разработка #безопасность #облачная_инфраструктура #рекомендации #секреты #безопасная_разработка

Секретные материалы: удобство (без)опасности

Выбор метода хранения и передачи секретной информации и его настройки могут серьёзно сказаться на общей безопасности инфраструктуры. Наши аналитики Нина Степовик и Виктор Кузнецов рассказали об этом со сцены Positive Hack Days Fest 2, а мы выкладываем видеозапись и дополненную текстовую версию доклада. Из этого материала вы узнаете о некоторых аспектах управления секретными данными и основных видах атак на хранилища секретов. Наши специалисты сравнили популярные хранилища, поделились рекомендациями и лучшими практиками для их настройки, а также разобрали типичные ошибки в интеграции хранилищ секретов в инфраструктуру.

https://habr.com/ru/companies/bastion/articles/824748/

#секреты #хранение_данных #шифрование_данных #системное_администрирование #доклад #конференция #информация #информационная_безопасность #иб

Как донести секреты до dev-тачки и не пролить?

Чем дольше работаю, тем больше вижу разнообразных практик по работе с секретами. Некоторые рабочие, другие — нет, а от части просто берёт оторопь. В статье я разберу варианты и расскажу о плюсах и минусах разных подходов. Поговорим мы о секретах в общем, но с практической точки зрения сфокусируемся именно на работе с секретами на машинах разработчиков: как их туда безопасно доставить и употребить. Этот текст — продолжение серии CI/CD в каждый дом, в прошлый раз мы обсуждали, как организовать сборочный цех базовых docker-образов . TL;DR: На dev-тачках должны светиться только персональные/локальные секреты. Короткоживущие секреты лучше вечных. Храним безопасно. Передаём шифрованно. Употребляем сессионно.

https://habr.com/ru/companies/yandex_praktikum/articles/801047/

#ci/cd #безопасность #секреты #разработка #bash

Пароли в открытом доступе: ищем с помощью машинного обучения

Я больше 10 лет работаю в IT и знаю, что сложнее всего предотвратить риски, связанные с человеческим фактором. Мы разрабатываем самые надежные способы защиты. Но всего один оставленный в открытом доступе пароль сведет все усилия к нулю. А чего только не отыщешь в тикетах Jira, правда? Привет, меня зовут Александр Рахманный, я разработчик в команде информационной безопасности в Lamoda Tech. В этой статье поделюсь опытом, как мы ищем в корпоративных ресурсах чувствительные данные — пароли, токены и строки подключения — используя самописный ML-плагин. Рассказывать о реализации буду по шагам и с подробностями, чтобы вы могли создать такой инструмент у себя, даже если ML для вас — незнакомая технология.

https://habr.com/ru/companies/lamoda/articles/793716/

#mashinelearning #mashine_learning #ml #mlnet #секреты #пароли

Праздник мы находим: поучаствуй в охоте на секреты и получи подарок от айтишного Деда Мороза

Хоу-хоу-хоу, Хабр! На связи айтишный Дед Мороз и его верный помощник — Санта-Хабраслизень. Мы вовсю готовимся к Новому Году и Рождеству, а вам перед праздниками предлагаем как следует развлечься и заодно размять мозги, поучаствовав в поиске новогодних секретов, надёжно спрятанных в статьях блоге Газпромбанка. Секреты помогут зарядиться праздничным настроением, а настойчивых искателей под ёлкой ждут новогодние подарки от Газпромбанка и Хабра. Интересно? Тогда пожалуйте под кат, навстречу приключениям. Начать охоту за секретами

https://habr.com/ru/specials/778790/

#развлечения #пасхалки #поиск #новый_год #подарки #квиз #интерактив #секреты #конкурс #газпромбанк

Праздник мы находим: поучаствуй в охоте на секреты и получи подарок от айтишного Деда Мороза

Хоу-хоу-хоу, Хабр! На связи айтишный Дед Мороз и его верный помощник — Санта-Хабраслизень. Мы вовсю готовимся к Новому Году и Рождеству, а вам перед праздниками предлагаем как следует развлечься и заодно размять мозги, поучаствовав в поиске новогодних секретов, надёжно спрятанных в статьях блоге Газпромбанка. Секреты помогут зарядиться праздничным настроением, а настойчивых искателей под ёлкой ждут новогодние подарки от Газпромбанка и Хабра. Интересно? Тогда пожалуйте под кат, навстречу приключениям. Начать охоту за секретами

https://habr.com/ru/specials/778790/

#развлечения #пасхалки #поиск #новый_год #подарки #квиз #интерактив #секреты #конкурс #газпромбанк

Как обнаружить хакера на этапе дампа учетных данных в Windows?

Одна из самых часто используемых техник при атаках — получение учетных данных из операционной системы. В этом можно убедиться, читая аналитические отчеты различных компаний: техника T1003 OS Credential Dumping в подавляющем большинстве случаев входит в ТОП-5. После проникновения в систему злоумышленникам необходимы учетки для перемещения по сети и доступа к конфиденциальной информации, а данная техника направлена на извлечение локальных и доменных учетных записей из системных файлов, реестра и памяти процессов. В этой статье мы акцентируем внимание на своевременном выявлении подозрительной активности с помощью мониторинга ИБ и расскажем, как на основе событий штатной подсистемы аудита ОС обнаружить, что пытаются сдампить учетные данные в Windows. Логика детектирования будет представлена в общем виде по полям событий, а также в виде псевдокода, который можно адаптировать под синтаксис любой системы мониторинга. Ну и для возможности тестирования правил корреляции будут приведены краткая справка по атакам и способы их реализации. Рассмотрим покрытие таких подтехник, как: · дамп процесса lsass.exe; · кража данных из базы SAM; · дамп базы NTDS; · извлечение секретов LSA; · получение кэшированных данных; · атака DCSync.

https://habr.com/ru/companies/jetinfosystems/articles/780650/

#учетные_данные #мониторинг #дамп #детектирование #псевдокод #атаки #кража_данных #sam #ntds #секреты