Kurgan-Telecom Ru | Информационные технологии

Наши коллеги и партнеры из компании Selectel поделились своим отзывом на наш новый продукт - недавно вышедший в массовую коммерческую эксплуатацию UserGate WAF. Мы публиковали новость об этом. С разрешения коллег делимся обзором в нашем блоге.

Почитайте.

***

Привет, Хабр! На связи Иван, руководитель отдела сопровождения сервисов ИБ в Selectel.

Защита веб-приложений с каждым годом всё актуальнее. Растет число взломов крупных компаний и утечек чувствительных данных. Нужно ли говорить о том, как важно заботиться о безопасности веб-приложений, помнить о возможных атаках и их последствиях?

Неуклонно ужесточаются требования законодательства в сфере защиты персональных данных и данных, обрабатываемых в государственных информационных системах. Растущие угрозы и новые правила заставляют ответственнее подходить к выбору компонентов защиты инфраструктуры.

Я уже рассказывал о сертифицированном WAF и OpenAppSec — решении с открытым исходным кодом. Недавно российский вендор UserGate сообщил о старте продаж нового продукта — UserGate WAF. Сегодня мы рассмотрим его заявленные особенности, установим в облаке Selectel и спрячем за него защищаемое приложение. Поехали!

Привет, Хабр! Недавно я стал обладателем двух винтажных калькуляторов: Aristo M42 и Canon Palmtronic 8M. Это настоящие технологические артефакты из 1970-х, когда электроника только начинала постепенно проникать в повседневную жизнь. Сегодня расскажу об их истории, возможностях и о том, почему они до сих пор интересны. Пишу без лишнего пафоса, но с технической точностью, как просили. Поехали!

Привет Хабр! Меня зовут Кирилл Овчинников, я работаю в Сбере и по работе у меня есть доступ к различным большим языковым моделям, включая наш собственный GigaChat. Но речь сегодня пойдёт не столько о корпоративных возможностях, сколько о довольно неожиданной проблеме, с которой сталкиваются многие команды при работе с API токенами различных LLM-сервисов — они имеют срок годности и просто сгорают, если их не использовать вовремя.

История началась довольно прозаично: наша команда, как и многие другие, в своё время закупила токены для различных API — и зарубежных, и российских компаний, потратив на это несколько десятков тысяч рублей для экспериментального проекта. Проект, как это часто бывает со стартапами и экспериментами, не взлетел, и токены повисли где-то в недрах наших аккаунтов. Спустя год, когда появилась новая идея, мы с энтузиазмом зашли в личные кабинеты и обнаружили неприятное уведомление — через две недели все наши токены превратятся в тыкву. Десятки тысяч рублей просто испарятся, если мы их срочно не используем.

Специалисты компании GitGuardian зафиксировали масштабную целенаправленную атаку на пользователей GitHub. В результате злоумышленники получили доступ к 327 аккаунтам, через которые было внедрено вредоносное поведение в 817 репозиториев. Они подменяли GitHub Actions — автоматизированные скрипты, используемые в процессе CI/CD — вставляя вредоносные обработчики, собирающие чувствительную информацию.

В ходе атаки произошла утечка как минимум 3325 секретов, включая ключи доступа к сервисам PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам. Данные передавались через переменные окружения, используемые в процессе автоматической сборки и тестирования проектов.

( читать дальше... )

 docker, github, npm, pypi, безопасность

В последние десятилетия исследования спинтроники, технологии, использующей спиновые состояния частиц для хранения и обработки информации, неуклонно движутся к новым рубежам. Новое исследование, проведенное российскими и китайскими учеными, открывает возможность реализации когерентного оптического спинового эффекта Холла (OSHE) при комнатной температуре, что может кардинально изменить наше представление о спинтронных устройствах. Научная работа была опубликована в журнале Nature Materials. 

Команде исследователей из МФТИ, университета Циньхуа (Пекин) и Вестлэйк (Хангжоу) удалось впервые продемонстрировать оптический спиновый эффект Холла при комнатной температуре. 

Сегодня увидела свет библиотека YAFL версии 0.40.12.

YAFL — это библиотека, написанная на Си, содержащая несколько алгоритмов Калмановской фильтрации и биндинги к Python, распространяемая под лицензией Apache-2.0.

( читать дальше... )

 dsp, numpy, opensource, python, от автора

Вышел релиз Budgie 10.9.3. Основные новшества — адаптация к изменениям в GNOME 49 и подготовка к поддержке Wayland.

Budgie — это модульное пользовательское окружение, включающее в себя такие компоненты, как:

• Budgie Desktop — основной рабочий стол;
• Budgie Desktop View — система отображения иконок;
• Budgie Control Center — центр настроек, основанный на форке GNOME Control Center;
• Budgie Screensaver — хранитель экрана, созданный на основе gnome-screensaver.

Проект распространяется под лицензией GPLv2, а ознакомиться с Budgie можно в дистрибутивах вроде Ubuntu Budgie, Fedora Budgie, Solus, GeckoLinux и EndeavourOS.

( читать дальше... )

 budgie, gnome

Тема безопасности в эпоху LLM всплывает всё чаще. И речь идёт не о самой модели — а о пользователях, которые доверяют ей без оглядки.

Сегодня многие разработчики и админы спрашивают у GPT не только совета, но и готовые команды. Результат выглядит правдоподобно — и команда уходит в терминал. Иногда прямо на прод.

В первой статье я разобрал, что такое метрика активации и почему она важна при проектировании первой сессии. Но есть один вопрос, который всегда следует за этим: 
Как повысить активацию?

Привет! Меня зовут Богдан, я дизайн-директор в ВТБ. Перед тем, как мы продолжим разбираться с активацией и онбордингом подпишитесь на мой тг-канал https://t.me/designfintech — тут я делюсь полезными материалами по дизайн-менеджменту, коомуникации и продуктовым кейсам.

Дело было пятничным вечером, делать было нечего.

Меня давно посещала идея написать свой софт для реализации terraform registry mirror, так как по мнению западных компаний мы живем в "неправильной" стране, поэтому доступ к ресурсам нам можно ограничить. Видимо opensource это кого надо opensource.

На работе где-то год или полтора назад, столкнулись с ситуацией, когда зеркало яндекса (https://terraform-mirror.yandexcloud.net/) было недоступно продолжительное время, а работу работаь было нужно сейчас. Для решения данной проблемы был найдет проект https://github.com/straubt1/terraform-network-mirror, который позволил загрузить провайдеров и бинарники, и хостить их черезх ObjectStorage yandexcloud.

Но у такого способа есть несколько неприятных особенностей:
- Нет фильтра по версиям. По умолчанию update скрипт выгребает все доступные версии и чтобы как-то ограничить количество загрузок, приходится вручную править список.
- Для загрузки приходится локально подключать vpn и выполнять все необходимые операции.
- Чтобы все работало автоматически, нужно еще поверх этого набора скриптов накатать свою реализацию: связь с внешним vpn, фильраю версии и тд

Недавно вышла новость https://habr.com/ru/news/941500/ про добавление в редактор zed ИИ, и тут меня посетило вдохновение на создание pet-проекта.

Писать о том "как с помощью ИИ написать свой сайт без знания языка" я не буду, таких статей на Хабре уже пруд пруди. Поэтому расскажу о сложностях с которым столкнулся, как не профессиональный разработчик, а как DevOps-инженер реализовавший тулзу для решения конкретной задачи.

Привет! Меня зовут Дмитрий, я разработчик в компании ArtSolution24. Мы - золотой партнер Битрикс24, занимаемся внедрением облачной и коробочной версий продукта, доработками и интеграциями с другими системами. 

У нас в портфолио много интересных кейсов, связанных с созданием дополнительной функциональности в Битрикс24 по запросу наших клиентов. Одну из таких историй разберу в этой статье. 

Подобный запрос мы наблюдаем у многих заказчиков, но это конкретное решение выполнили для инжиниринговой компании, которая производит сложное техническое оборудование. 

Заказчик пришел с запросом — дать возможность менеджерам отдела продаж быстро выяснить, работает ли кто-то в компании с конкретным клиентом или лидом, но при этом ограничить доступ к конфиденциальной информации о клиентах. 

Проблема актуальна для самых разных компаний: менеджер отдела продаж получает лид или находит контакты компании, которую хочет взять в клиенты, и просто заводит данные в CRM. При этом компания уже может быть текущим клиентом, с ней может работать другой менеджер, возможно из другого отдела. 

В Битрикс24 есть механизмы контроля дубликатов, но в погоне за выполнением KPI менеджеры часто игнорируют предупреждение о том, что похожая компания уже есть в CRM. А выяснить, завел ли этого клиента ранее,  довольно сложно — менеджеры видят только «свои» компании, у них нет прямого пути, чтобы посмотреть всех клиентов в базе CRM. 

Мы предложили следующее решение: 

Облако, несмотря на все свои преимущества, довольно коварно с точки зрения управления затратами. В отличие от железной инфраструктуры, где вы физически ограничены возможностями закупленных серверов, облачные ресурсы кажутся безлимитными. Они позволяют развернуть сколько угодно мощных проектов и баз данных, ничем вас не ограничивая. Заплатить за все, конечно, придется, но не сейчас, а потом. Это создает опасную иллюзию бездонности облака. В результате к концу месяца финансовый отдел получает счета, которые могут в разы превышать ожидания. И хуже всего, что так работает почти каждый второй.

Готовили релиз нашего нового решения для 1С по отправке СМС-подтверждений и столкнулись с классической задачей. Документацию мы ведем в Markdown. Это удобно для нас, но не для конечного клиента.

Клиенту нужен привычный PDF. Простой и надежный.

Главный вопрос: как автоматически собирать несколько .md файлов с картинками в один PDF-файл прямо в пайплайне GitLab CI? Особенно когда твои раннеры работают на PowerShell под Windows, как у нас.

Решение нашлось в связке Docker и Pandoc. Вот пошаговый план

При расследовании компьютерного инцидента первостепенное значение имеет анализ содержимого оперативной памяти и жесткого диска скомпрометированной машины. При этом содержимое памяти, как правило, представляет наибольший интерес, так как зачастую вредоносы и хакерские инструменты либо вообще не имеют файлового тела, либо этот файл хорошо обфусцирован и его исследование потребует дополнительных затрат времени. Поэтому крайне важно сохранить содержимое памяти скомпрометированного узла.

В рамках этой статьи мы поговорим об исследовании дампов памяти ОС Windows с использованием инструментов, предназначенных для работы с данной операционной системой.

Перед вами сравнение популярных ИТ-решений для автоматизации процессов корпоративного планирования. В обзор вошли как отечественные платформы, так и зарубежные, приостановившие или прекратившие работу на территории РФ: Форсайт, «1С: Управление холдингом», Knowledge Space, Optimacros, Oracle Hyperion Planning, IBM Planning Analytics, Anaplan.

Материал подготовлен на основе открытых данных в сети Интернет и при участии технических экспертов, сертифицированных по соответствующим программным продуктам и имеющих опыт их внедрения. Обзор будет полезен представителям среднего и крупного бизнеса из разных отраслей, которые стоят перед выбором IT-платформы для корпоративного планирования.

Самые интересные новости финансов и технологий в России и мире за неделю: Минцифры представили «белый список» сайтов, Конор Макгрегор баллотируется в президенты Ирландии, во Флориде отменят обязательные вакцины для детей, Google разрешили не продавать Chrome, OpenAI повысили прогноз затрат на ИИ в три раза, а также новая актриса на роль Лары Крофт.

Признавайтесь, сколько раз вы случайно тыкали в ту самую клавишу с окошком между Ctrl и Alt, сбивая с толку активное окно? Она стала настолько привычной деталью ландшафта, что кажется, будто была там всегда. Но это не так. Появление этой клавиши — результат одного из самых гениальных маркетинговых ходов Microsoft, навсегда изменивший облик клавиатур.

Удалённая работа открывает много возможностей, но и ставит перед нами новые задачи. Как сохранить фокус и мотивацию, когда нет привычного офиса, коллег рядом и четкого распорядка дня? В этой статье я расскажу о своем опыте и поделюсь тем, что помогло мне адаптироваться к новым условиям и оставаться продуктивной, работая из дома.

Часть выходных улетела на помощь друзьям, которые оказались в весьма неприятной ситуации. Ну, я решил ещё потратить немного времени на написание статьи, наверное по теме информационной безопасности. Сначала я планировал две статьи: краткую и полную. Но понял, что не смогу подготовить хороший технический материал по ИБ. В общем, будет сразу «два в одном», первая часть без сетевых технологий – как рассказ для своих, вторая часть - история моего расследования.

Первая часть, занудная, но поучительная

Итак, последний месяц у меня был очень интенсивным – резкое завершение проектов для выхода на новую работу, погружение обратно в ЦОДы, подготовка к двум конференциям и т.д. Я даже хромать начал – но это, наверное, из-за самокатов. В дополнение, в течение этого месяца произошло три инцидента с довольно близкими мне людьми. К счастью, инциденты не между мной и ними, а с их смартфонами и персональными данными.

Все инциденты были связаны с воровством контактов из смартфона жертвы. (Но в одном случае это не точно, т.к. могла использоваться база из CRM).
Вообще, для понмания лучше назвать субъекта Приманкой.
Контакты: это может быть список контактов в Телеграме или даже список участников конференции, где был спикером Приманка.
Атака может включать в себя обзвон и сообщения по контактам с различными целями.
Цели: получить деньги, доступ в сервисы, например Госуслуги, вытащить контакты других жертв, а так же превратить жертву в очередную Приманку.

Что я наблюдал во всех случаях: в Телеграме создаются группы от имени Приманки, туда добавляются те, кто может знать Приманку и там же размещается призыв голосовать за Приманку в конкурсе лучший врач, лучший учитель, лучший полицейский и т.д. Злоумышленники от имени субъекта просят пройти по ссылке.

Привет, Хабр!

С момента публикации наших прошлых статей о создании программы для стеганографии ChameleonLab прошло немало времени. Мы получили огромное количество фидбэка и поняли, что тема сокрытия данных интересна сообществу не только в контексте классических картинок (LSB), но и в более сложных, повседневных файлах — документах.