Kurgan-Telecom Ru | Информационные технологии

Привет, Хабр!

На связи Евгения Устинова, старший аналитик сетевой безопасности группы компаний «Гарда». В статье хочу рассказать, как нам удалось связать инструментарий двух группировок через особенности реализации сетевых протоколов.

Отследить эволюцию инструментов группировки SilverFox – например, ПО Winos – по отпечатку процедуры сетевой коммуникации оказалось довольно сложной задачей, поэтому я решила поделиться кейсом.

Cloudflare показывает, как превратить метрики в механизм безопасных релизов под глобальной нагрузкой. В основе — Health Mediated Deployments: решения о выкатывании принимаются по SLI/SLO из Prometheus/Thanos, с распределёнными агрегациями на уровне дата-центров, recording rules, бэктестингом инцидентов и адаптивным ограничением параллелизма. Результат — заметно быстрее вычисляются критичные запросы, батчи ускорены примерно в 15 раз, а откаты происходят до того, как проблема успевает разрастись.

Вакансии по пентесту всё чаще требуют не только понимания принципов работы ключевых СЗИ (WAF, EDR, NAC), но и практических навыков их обхода. То же самое касается EDR/AV. В реальных отчётах о кибератаках также регулярно упоминается, как злоумышленники обходят средства защиты и остаются незамеченными.

Предлагаем рассмотреть пару приемов таких обходов и проверить, готовы ли ваши системы защиты к подобным вызовам.

Всем привет! На связи Ульяна Айкович и Даниил Гурин, исследователи БКС Мир Инвестиций и БКС Банка. Сегодня мы хотим поделиться результатами нашего небольшого, но довольно смелого эксперимента — попытки предсказать конверсию в прохождение опросов.

Каждый исследователь знает, как трудно удержать внимание респондентов – особенно в опросах. Один лишний вопрос, одна лишняя картинка в анкете или лишняя минута времени для заполнения опроса — и человек закрывает вкладку. А ведь каждый ответ на вес золота. Поэтому мы решили разобраться: что именно определяет, дойдет ли человек до конца опроса или бросит его на полпути? Можем ли мы заранее это предсказать?

В статье более подробно рассказали о первой итерации нашего эксперимента!

Привет! Я — Лёша, принципал дизайнер, решаю бизнес-задачи с помощью дизайна уже больше 15-ти лет. Это моя первая статья из небольшой, но насыщенной серии, и она полностью посвящена дизайн-процессам и взрослому, результативному подходу к работе. Я постараюсь рассказать все очень кратко, насколько это возможно чтобы не потерять суть, но емко. Сделаю это так, чтобы все процессы стали понятны даже новичку.

Думаю большинство читателей уже знакомы с известной системой «Double diamond» (двойной ромб), разработанной Британским Советом по дизайну еще в далеком 2005-м году. Называть его в русском варианте «Двойной алмаз» некорректно. Алмаз многогранен, а суть подхода именно в двух, при необходимости бесконечно повторяющихся этапах дивергенции и конвергенции внутри каждого ромба.

Если говорить простыми словами, то суть заключается в том, что сначала мы расширяем наш поиск во все возможные стороны, и только потом приступаем к поиску решений, объединяя все полученные знания, при этом сужая фокус внимания. Мы делаем какие-то выводы из полученных данных и оставляем только самое важное из того что мы смогли выяснить. У каждого ромба в этой системе есть два этапа (расширение и последующее объединение):

Понадобилось мне как-то раз сделать из PWA мобильные приложения. Приключение на 20 минут, зашли и вышли - подумал я и пропал на пару месяцев. В статье будет гремучая смесь из Java, C#, NodeJS, Swift, bash, Dockerfile и github actions. Но в результате возможность непрерывно поставлять свежие сборки в магазины приложений.

В прошлой статье, где мы тестировали популярные нейросети, нам удалось выяснить, что почти все из них ошибаются. Почему же тогда они стали столь популярны и широко используемы в разных сферах? Почему большинство компаний, даже из числа тех, кто не связан с IT напрямую, вкладывают огромные средства в развитие собственных IT-продуктов и стремятся иметь в своем штате профессиональных разработчиков?

Вот один из недавних ярких примеров

В начале октября в сети появились фотографии Тилли Норвуд — первой актрисы, сгенерированной искусственным интеллектом в студии Xicoia (подразделение продюсерской компании Particle6). Реакции были неоднозначными: кто-то восхищался прогрессом, кто-то воспринял это как угрозу рабочим местам и вновь вспомнил про восстание машин.

Сегодняшний IT-рынок — это парадокс. С одной стороны, рекрутеры захлебываются в волне откликов: 200+ резюме на вакансию за сутки стали нормой. С другой — компании по-прежнему месяцами ищут «того самого» кандидата и жалуются на нехватку качественных специалистов.

Что пошло не так? Мы провели вебинар с Еленой Муся — экспертом с 17-летним опытом в HR и владелицей кадрового агентства, работающего с IT-продуктовыми компаниями. На основе этого живого разбора и нашего опыта в Слёрме мы сформулировали главные проблемы найма в 2025 году и наметили пути их решения

Всем привет! Закрываем октябрь нашей традиционной подборкой главных CVE месяца. Критической уязвимостью под RCE отметился Redis, проверка концепции в наличии. CVE под произвольный код также исправили в Oracle EBS вместе с уязвимостью под доступ к данным в Oracle Configurator.

Критическую уязвимость исправили в Unity — возможность подгрузить вредоносную библиотеку при запуске игр и приложений, и исправление требует перекомпиляции затронутых проектов. А в сервере онлайн-редактора Figma MCP закрыли уязвимость под произвольные команды без проверки подлинности. Об этом и других интересных CVE октября читайте под катом!

Есть люди, которые любят бросить все и пойти в поход, забыв на недельку о благах цивилизации. Другие обожают запереться дома, укутаться в плед и читать интересную книгу, попивая ароматный глинтвейн. Ну а я выбираю ковыряться в старом компьютерном железе. Каждое устройство может рассказать интересную историю и познакомить с такими особенностями, которых в современных девайсах уже не найти. А если учесть, что большинство из них имело весьма скромные по нынешним меркам технические характеристики, становится еще более увлекательно.

Несколько дней назад ко мне попал небольшой артефакт из 2005 года — сетевой файловый сервер от TrendNet, размером с роутер. Любопытно, что внутри у него вообще нет никаких дисковых накопителей, а все, чем он может похвастаться, это два USB-порта и Ethernet 10/100 Mbps с auto-MDIX (интересно, сейчас хоть кто-то помнит что это такое?). Антиквариат, одним словом. Если задуматься, на нем можно соорудить файловую шару для старых операционных систем. Все это в тексте и обсудим, а еще поговорим о том, почему обновления безопасности так важны для современных NAS.

Видеоигры всегда казались мне наиболее эффективным медиумом для жанра хоррор. И это довольно логично поддаётся объяснению: функцию помещения аудитории в состояние испуга, трепета, катарсиса легче выполнить, когда эта аудитория непосредственно взаимодействует с предметом искусства. Я также считаю, что видеоигровые ужасы являются одним из самых богатых на креативные проекты жанров внутри индустрии: мало где встретишь такое количество игр, способных удивить своими механиками и подачей истории. В этом сила хоррора — это не набор тематических и сюжетных рамок, а смесь приёмов, вызывающих у читателя, зрителя или, в нашем случае, игрока определённые чувства. В таком случае протагонистом может быть кто угодно и место действия не ограничено.

Однако не всё так прекрасно в царстве ужастиков. Жанр постоянно находится в поиске себя и одновременно подвергается нападкам извне, как со стороны издателей, требующих от разработчиков добавления трендовых фишек и сюжетов, так и со стороны высокоморальной общественности. Инди рынок может быть в данном случае отдушиной, и прожжённые фанаты жанра знают, что в недрах Steam, Itch.io или Game Jolt всегда можно найти нечто действительно необычное, но сегодня меня интересуют хорроры мейнстримные — те продукты, по которым о состоянии жанра судит вся индустрия и массовая аудитория. Надеюсь, что из вас ещё не выветрился дух Хэллоуина, ибо мы будем смотреть на то, как выглядит современный крупный ужастик и что к этому привело. 

Привет, Хабр! Октябрь — время, когда природа готовится к зиме. Мы делаем то же самое на наших стройплощадках в Марфино и Мытищах. Если вы следите за нашим проектом с самого начала, welcome to the club! А если присоединяетесь только сейчас — вот архив: раз, два, три, четыре, пять, шесть, семь, восемь.

У каждой профессии свои приколы. Врачи шутят про пациентов, программисты — про баги, эйчары – про кандидатов. Не смеются только финансисты. Потому что когда видишь забытую dev-среду, работающую три года подряд, понимаешь, что завтра придется как-то объясняться перед финдиром. Но именно из таких ситуаций и рождаются самые смешные мемы. Ведь без самоиронии в нашем деле никак.

Пока все учат ИИ, ИИ учит меня. Отбросив книжки, курсы и самодуров с YouTube, я нашёл более-менее продуктивный способ самообучения при помощи ИИ. Подробней об этом рассказываю в статье.

Когда внимание мозга отвлекается от основной работы, скоординированные циклические волны нейронной активности помогают заново сфокусироваться. Отследив электрические импульсы, ученые обнаружили, что нейроны префронтальной коры синхронизируются круговыми паттернами, что подобно координации птиц в стае. И такая координация помогает удерживать фокус на актуальной задаче.

Мы создали интернет, чтобы иметь быстрый доступ к библиотеке человеческого знания из любой точки земного шара...Интернет создал агентов — чтобы мы перестали в него заходить.

Интернет больше не ждёт ваших кликов — теперь он сам отвечает на них.

С выходом Atlas начинается эпоха, где сайты читают не люди, а нейросети.

Что это значит для нас, для безопасности и для самого веба — читайте в статье о том, как интернет перестаёт быть человеческим.

Пятьдесят лет он создавал искусственный интеллект. Теперь говорит, что машины могут уничтожить человечество. Безработица, кибератаки, подтасовка выборов, вирусы, роботы-убийцы — далеко не полный список, что нас ждет. Что делать людям в таком мире? Учиться на сантехника. Пока... пока не появятся гуманоиды.

Привет! Я — Павел, фронтенд-разработчик, и это мой первый пост на Хабре. На момент публикации мне 34 года, а за плечами — 5 лет опыта в профессии. Уже чуть больше года я работаю в бигтех-компании: делаю новый функционал на React, пишу тесты, провожу код-ревью и периодически тушу рабочие пожары. А в качестве разминки для мозгов разгребаю легаси на смежном проекте и постоянно что-нибудь изучаю. У меня классные коллеги, конкурентная зарплата, ДМС для всей семьи, приятные премии и ощущение каких-то перспектив. Но так было не всегда.

Я в IT очень давно и еще помню те времена, когда IT тусовка была практически камерной, многие друг друга знали лично и была просто профессия программист — это было почти как аникейщик — подразумевалось, что ты можешь писать практически на любых языках и можно было с бэкграудах в плюсах спокойно подаваться хоть на JAVA, хоть на 1С и возможно даже немного заниматься дизайном, версткой и сборкой компов.

Тогда мало кто думал о чистоте и поддерживаемости кода — в него по сути никто и не заглядывал, главное было рабобтает или нет, решает ли задачу заказчика. Ключевым требованием было «быстрая обучаемость», так как практически все отрасли в IT были в новинку. Было безумием пытаться искать специалистов с годами опыта, так как все отрасли только‑только появлились, да и выпускников по специальности IT практически не было, а если и было, то это были специалисты по Fortran и численнным методам. Практически все ITшники тогда были выпускниками физфака и матфака (а не пришли с завода за халявным смузи как сейчас).

Соответвенно в совсем новой области, процесс работы в которой был сложно контролируемым, по факту единственным возможным способом отбора был тест на интеллект и принадлежность «своей касте». Думаю, оттуда возникла традиция общаться на «ты» в IT — как некое пространство единомышленников.

Собственно поэтому и искали «просто» умных, настандартно мыслящих людей — в силу неоформленности рынка тестировалось как человек может решать странные, нестандартные задачи, а не тушеваться.

Для бизнеса такой подход хорош лишь в условиях сверхприбыли — ведь по факту у него возможности контроля сильно ограничены — а риски высоки, так как в те времена программист начинал приносить пользу только через пол‑года или год, когда полностью войдет в дела компании. HR сейчас любят повторять эти цифры, но сейчас это, разумеется, ложь.

Привет! Я Алиса, DevOps-инженер в KTS.

В этой статье я расскажу о том, как мы настроили автоматическое обновление драйверов NVIDIA для работы с Jupyter и ML-стеком в управляемом кластере.

Проблема: когда контейнеры и ML-библиотеки обновляются чаще, чем системные образы GPU-нод, версия драйвера быстро перестает соответствовать версии CUDA в контейнере. В итоге при вызове  nvidia-smi возвращает ошибку Driver/library version mismatch, а CUDA просто не видит драйвер на хосте.

Нам нужно было обновить Jupyter с ML-стеком, зависящим от CUDA. Как следствие, встал вопрос обновления драйверов NVIDIA на GPU-нодах. Можно было выполнять его руками на каждой ноде, но такой способ нам не подходил, и мы выбрали автоматизацию, которой и посвящена моя статья. Ниже я разберу и ручное обновление, и варианты автоматизации, а также объясню, как мы решали проблему конфликта GPU Operator с предустановленными драйверами.