Kurgan-Telecom Ru | Информационные технологии

Привет! Меня зовут Сергей Буреев (@TCross \ THunter HackTeam), я специалист по пентесту и исследователь в области информационной безопасности.
Пост будет посвящен ещё одной Coerce атаке, про которую я рассказывал в докладе «Атаки на защиту» на конференции CyberWave2025 — если вы были в зале, надеюсь, вам понравилось. Если нет — вот, делюсь докладом тут :)

TL;DR:

Читать далее

Из кожи вон лезете, чтобы настроить работу бизнеса: совершенствуете продукт, обучаете менеджеров, увеличиваете рекламный бюджет. А прибыль стоит на месте. Хорошо, если не падает. Проблема может быть в сайте, в вашем красивом новом сайте. Пусть он красивый, но нормальный ли? Давайте разбираться.

Читать далее

Вступление: Трилемма, актуальная для всех

Скорость вывода продукта на рынок (Time-to-Market), безупречный пользовательский опыт (UX) и надежная информационная безопасность (Security) – три кита, на которых держится успех современного цифрового продукта. Однако на практике эти три цели часто вступают в конфликт, создавая то, что можно назвать "трилеммой IT". Попытка оптимизировать один аспект неизбежно создает давление на другие. Руководство требует роста, пользователи – удобства, а реалии цифрового мира – защиты. Как найти баланс?

Эта статья – попытка глубоко погрузиться в суть конфликта. Мы не только рассмотрим его причины и последствия на известных примерах, но и копнем глубже: разберем технические и архитектурные дилеммы, психологические аспекты восприятия безопасности пользователями, типичные анти-паттерны в командах и, самое главное, предложим зрелые подходы и методологии для поиска устойчивого равновесия.

Читать далее

Этим детом я делал детские лагеря по-взрослому, никаких там «городских» глупостей. Четыре смены по 10 дней с образовательным уклоном в разработку и защитой финального проекте в конце. И мы заявили, что лагерь будет «без телефонов». Доступ к гаджету 1 час в день после ужина. Остальное время — программирование, общение и спортивные активности.

Читать далее

У кинематографической индустрии есть собственные стандарты для защищённого создания и распространения фильмов. Всё необходимое, от форматов файлов и шифрования до проекционных систем, определяется в спецификации DCI (Digital Cinema Initiatives).

Сама спецификация доступна публично, но связана с различными стандартами IEEE (Institute of Electrical and Electronics Engineers) и SMPTE (Society of Motion Picture and Television Engineers), которые необходимо приобретать за деньги.

В этом посте мы опишем примерный процесс реализации DCI и подробно расскажем, как работает шифрование DCI-фильма. Мы не будем рассказывать, как взламывать шифрование; к тому же, на момент написания поста никакое шифрование взломано ещё не было. С нашей точки зрения, стандарт DCI хорошо защищён.

Автор поста с 2021 года работает в кинотеатре, ничего не зная о процессах распространения и производства в этой области. Часть информации может быть неполной. Читать дальше →

Зимняя школа RISC-V — совместный проект YADRO и ведущих технических вузов России и Беларуси. В этом году зимняя школа прошла во второй раз: 12 лекций по разработке на RISC-V в январе и проектная работа с защитой в начале февраля. Далее в статье мы расскажем об итогах школы, дадим слово кураторам и начнем делиться самыми интересными проектами потока.

Для проектов мы предложили 19 тем, которые распределили по пяти вузам — СПбГУ, ИТМО (Санкт-Петербург), ННГУ (Нижний Новгород), НГУ (Новосибирск) и БГУИР (Минск). В итоге своих героев не нашла только одна тема: почти 100 студентов защитили 18 проектов. Забегая вперед, скажем: два проекта мы осветим в этой статье, а некоторые другие — в отдельных.

Читать далее

Полтора года назад мы в RuStore собрали новую команду, чтобы с нуля разработать собственное платёжное решение. Тогда всё началось с одной фичи. Казалось бы, «просто запилить», чего тут сложного. Но на деле это обернулось целым кварталом разработки, бесконечными доделками и болью на финальном этапе интеграции. Тогда мы столкнулись с типичным набором проблем — от отсутствия документации и слабой декомпозиции до невозможности предсказать сроки. Да, в конечном итоге всё как-то заработало, но по ощущениям исключительно на энтузиазме.

Читать далее

Skype, когда-то имя нарицательное для видеозвонков, навсегда изменил способы общения людей по всему миру. Он позволил миллионам устанавливать личные и деловые связи, несмотря на расстояние. Но 5 мая 2025 года Skype официально прекратит свою работу. Это решение, принятое Microsoft, знаменует собой окончание целой эпохи. Причины закрытия не разглашаются, но эксперты связывают это с устареванием технологий и растущей конкуренцией со стороны новых платформ и сервисов.

Читать далее

Тестирование программного обеспечения зарекомендовало себя как один из самых простых способов начать карьеру в IT. В 2025 году эта тенденция только укрепилась. Роль тестировщика (QA-инженера) привлекает новичков, не имеющих технического образования, по ряду причин:

Читать далее

Моя сестра недавно захотела вести блог с эдитами. Оказывается, есть такой жанр фанатского творчества — монтировать под эпичную музыку любимых героев фильмов, сериалов, мультипликации и т. д. В связи с этим она попросила порекомендовать удобные программы обработки видео для начинающих.

Я задумался: что нужно для эдита? Красивые динамичные переходы, фильтры, озвучка. Но самое главное — удобство нарезки и удаления лишних кадров. За свою практику я перебрал много программ для видеомонтажа. И, кстати, обнаружил, что далеко не во всех есть удобный и простой инструмент для обрезания. Поэтому решил собрать свой опыт в статью. 

Представляю 5 удобных программ для монтажа видео, в которых легко вырезать фрагмент из видео. К каждому описанию, кстати, прикрепил инструкцию.

Читать далее

Привет. Скоро у меня будет день рождения - 20 лет. И я хочу снова рассказать о Фидо, как моя нода живёт в Cloud.ru, а также про NodehistJ.

Читать далее

Когда владельцы бизнеса просят команду IT «добавить аналитику» в продукт, часто это заканчивается болью — и для разработчиков и для самого бизнеса. За последние несколько лет я участвовал в построении аналитических решений более чем в 10 компаниях — от стартапов до крупных корпораций. Почти во всех компаниях среднего уровня, только начинающих выстраивать BI-аналитику, я видел одну и ту же ошибку: попытку встроить аналитику в архитектуру приложения как обычный модуль. Это не работает, и вот почему.

Читать далее

Привет, ХабраДруг! Сегодня погружу тебя в особый, интригующий мир GlowByte… Это не про фэшн, но ребята там стильные. И не про лето, хоть атмосфера там – пожар. Знакомься: комьюнити #Сарафан!

Читать далее

Всем привет! Меня зовут Диана Бутько, я студентка 3 курса, изучаю информационные системы и программирование. В InfoWatch я пришла на практику, и одной из моих задач стал сравнительный анализ различных методов поиска похожих векторов. Это один из ключевых аспектов машинного обучения и анализа данных, используемых в рекомендательных системах, кластеризации, семантическом поиске и других областях. Но чем больше объем данных, тем важнее становится выбор инструментов: полный перебор векторов требует больших вычислительных ресурсов, а в других алгоритмах порой необходимо балансировать между точностью и скоростью поиска.

В этой статье я сравниваю пять методов поиска похожих векторов:
— полный перебор по евклидову расстоянию с реализацией в Python;
— FAISS с индексами IndexFlatL2 (полный перебор, евклидово расстояние) и IndexIVFFlat (сегментирование по ячейкам, евклидово расстояние);
— векторный поиск в ClickHouse с индексом HNSW и метриками расстояния L2Distance (евклидово расстояние) и cosineDistance (косинусное сходство).

Читать далее

Карты (maps) в Go — это отличный инструмент для хранения данных в виде пар «ключ — значение». Они широко используются в разработке благодаря своей гибкости и удобству. Например, карты часто применяются для кэширования данных, хранения конфигураций или обработки больших объемов информации. Однако эффективная работа с картами требует понимания их внутреннего устройства и особенностей управления памятью. Под капотом карты реализованы на основе хеш-таблиц, что обеспечивает быстрый доступ к данным, но также создает потенциальные проблемы, такие как неэффективное использование памяти или утечки. В этой статье мы разберем устройство карт в Go, рассмотрим, как они растут и работают, а также обсудим способы оптимизации их использования. Особое внимание уделено проблемам, связанным с инициализацией карт и управлением памяти, чтобы помочь вам писать более эффективный и надежный код.

Читать далее

Привет, Хабр! Меня зовут Алексей Григорьев, я техлид iOS-разработки продукта Membrana в МТС. Это тариф с приложением для управления приватностью в сети и окружением.

Swift Concurrency принесла множество инструментов для управления многопоточностью. Среди них глобальные акторы, которые помогают обеспечивать безопасность данных и контролировать потоки выполнения.

Один из самых распространенных и полезных глобальных акторов — это @MainActor, который гарантирует выполнение операций в главном потоке приложения. В этом посте я на его примере покажу все варианты, как можно реализовать изоляцию и что в итоге выведет код: на каком потоке будут выполнены update, internal update и set в property.

Читать далее

Привет! Меня зовут Иван, и я автор проекта «Код на салфетке» — небольшой команды, в которой мы совмещаем написание обучающих статей, коммерческую разработку и open source.

Сегодня расскажу об одном из наших инструментов, который родился из боли всей команды: как мгновенно узнавать о проблемах в CI/CD, не заглядывая в почту и не обновляя вкладку репозитория.

Читать далее

Недавно смотрел вебинар про внедрение информационных систем. Было много интересного и полезного. Но вот начало... Сначала докладчик сформулировал - Что такое успешный проект.

• Заказчик удовлетворен результатом

• Исполнитель получил норму прибыли или больше

• Стороны нашли способ эффективно взаимодействовать

• Стороны действовали достаточно прозрачно и предсказуемо.

Несогласие и подвигло меня поделится мыслями.

Читать далее

Ранее в блоге beeline cloud мы вспоминали настоящий «осколок старого интернета» — страничку на миллион долларов. Сегодня продолжим тему и поговорим о том, как энтузиасты стремятся сохранить веб-артефакты, идеи и дух интернета из 90-х.

Читать далее

На первый взгляд, современные ИИ-модели кажутся надёжно защищёнными: строгие ограничения, фильтры и чётко заданные сценарии взаимодействия с пользователем. Однако реальность быстро меняется. Всё чаще исследователи и энтузиасты сталкиваются с атаками, которые позволяют обойти эти защитные меры.

В статье разбираемся, как работают современные методы взлома LLM — от инъекций кода до контекстных атак. Увидим, почему даже небольшие уязвимости могут привести к неконтролируемому поведению модели. Рассмотрим реальные примеры, исследовательские наработки и то, как индустрия реагирует на растущие угрозы в области безопасности генеративных моделей.

Читать далее