Все потоки

А вы знали, что бывает такая атака на компилятор через бэкдор, защититься от которой невозможно? В этом посте я покажу вам, как реализовать такую атаку менее чем в 100 строках кода. Кен Томпсон, создатель операционной системы Unix, рассказывал о такой атаке еще в 1984 году в своей лекции по поводу присуждения Премии Тьюринга. Такая атака по-настоящему опасна и сегодня, причем, не известно решений, которые обеспечивали бы полную неуязвимость от нее. Вирус  XcodeGhost, открытый в 2015 году, проводит атаку через бэкдор по методу, предложенному именно Томпсоном. Я покажу здесь атаку Томпсона на языке   C++, но этот пример легко адаптировать для любого другого языка. Дочитав эту статью, вы крепко задумаетесь, а осталось ли у вас вообще какое-то доверие компилятору.

Представляю, сколь скептически вы можете отнестись к моим заявлениям – и, возможно, у вас уже возникли вопросы. Ниже приведу примерный диалог, который мог бы состояться у нас с вами, снять некоторые ваши сомнения и помочь вам почувствовать суть атаки Томпсона.

Всем привет, меня зовут Антон, и как вы могли уже догадаться из названия, решил я рассказать о своих попытках вкатиться в робототехнику, а в частности о своем дроне из Raspberry Pi и ESP32.

На этой неделе я решил посмотреть, что происходит в методах хранения и использования водорода. Одна из тем с которой я пересекся это использования аммиака, как метода работы с водородом.

В этой статье поговорим о том, в чем “засмес”, какие есть подводные камни и есть ли какие-то стартапы и компании, которые решают проблему в контексте устойчивого развития.

Что такого с водородом?

Вся история с водородом очень проста: если вы сжигаете водород, то вы получаете в качестве выхлопа воду (2H2 + О2 = 2Н2О) и тепло от сгорания.

В чем плюсы:

Hugging NFT — cоздайте NFT или обучите новую модель всего за несколько кликов. Тренируйте сколько сможете, а сообщество продолжит с вашего чекпоинта!

В этой статье мы научимся генерировать изображения NFT с помощью генеративно-состязательная сеть (англ. generative adversarial network, сокращённо GAN), а также адаптируем проект к удобному Hugging Face хабу.

GitHub
Demo Space

В данной статье описывается сборка мусора как в общих словах, в плане алгоритмов которые она использует и проблем, которые решает, так и реализация в движке Unreal Engine в частности. Дополнительно будут даны практические советы по работе со сборкой мусора и разбор самый частых проблемных кейсов связанных с сборкой мусора в Unreal.

Если вам не интересна теория или то как оно работает в UE4, то можете промотать вниз до практических советов, там описываются вещи из практики по работе с GC. Но лучше знать и теорию.

Эта статья более релеватна к Unreal Engine 4.27 однако много всего работает так же и на версии UE 5.0 и на более низких версиях. Однако, стоит отметить, что, с версии 4.0 до 4.27 сборка мусора претерпела весьма значительные изменения и стала сильно лучше.

Дайджест новостей из мира фронтенд-разработки за последнюю неделю 11 — 17 апреля 2022.

В статическом анализаторе кода PVS-Studio реализован механизм символьного выполнения. И сейчас предоставилась хорошая возможность на практике продемонстрировать, как этот механизм помогает выявлять ошибки.

Подборка мероприятий на неделю

Трансляция Demo Day акселератора Impact Innovators

• 19 апреля (вторник)
• онлайн
• бесплатно
• Это программа для перспективных социально-ориентированных проектов, призванная помочь масштабироваться, найти новых клиентов, наладить партнерства и привлечь инвестиции.

В течение шести недель стартапам были доступны сопровождение трекера, экспертные сессии, масштабный нетворкинг и грантовая поддержка.

📢 На Demo Day 18 финалистов поделятся результатами прохождения программы и презентуют проработанные решения широкой аудитории, а наиболее инвестиционно привлекательный проект получит грант от Moscow Seed Fund.

Приглашаем присоединиться к трансляции мероприятия всех, кому интересны проекты в сфере социального предпринимательства.

👉🏼 Регистрация
🕟 Начало в 16:30

Организаторы: «Интеррос», Winter Capital Advisors, «Образ жизни» и Московский центр инновационных технологий в здравоохранении.
Партнеры: EY, «Благосфера».
Оператор: Startech.vc

Статья о том, как в нынешних условиях снизить критичность влияния санкций и прочих катаклизмов на пользователей данных в компании.

Всем привет! Меня зовут Сергей и я практикующий психолог.

В силу подхода к работе так сложилось, что обычно я консультирую людей интеллектуального труда. В последний год это преимущественно управленцы и сотрудники IT-сферы. Это люди, которые всю жизнь решали любые проблемы "через голову". Такой подход неизбежно накладывает отпечаток на личность и внепрофессиональную жизнь, который я и исследую.

Дисклеймер: то, что я описываю, нельзя в полной мере назвать психологическим исследованием, так как:
1) Я использовал неапробированную невалидную анкету;
2) Я использовал только неапробированную невалидную анкету без применения иных методик;
3) Я не использовал методы математического анализа и не выявлял уровни статистической значимости;
4) Я даю вольную интерпретацию результатов на основании своего профессионального опыта без общения с респондентами.

Закономерный вопрос "А что же ты тогда, Серёжа, вообще сделал-то?". Отвечаю:
1) Разработал неапробированную невалидную анкету с рядом косяков и неточностей;
2) Разместил её на ряде ресурсов, самые крупные из которых "Хабр" и "Пикабу";
3) Попытался обработать и интепретировать результаты;
4) Преподнести их в удобоваримой форме.

Читать или нет - решение за вами. На мой взгляд, как минимум интересно узнать мнение 758 человек - а именно столько ответов я получил.

Всем привет! Меня зовут Юрий Шабалин, я один из основателей компании Stingray Technologies. Мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android.

Сегодня я хотел бы снова затронуть тему безопасности сетевого взаимодействия между приложением и его серверной частью. На эту тему написано немало, но комплексной статьи, отвечающей на самые разные вопросы, начиная от того, что же такое SSL, до того, как работает атака MiTM и как от нее можно защититься, я еще не встречал (а может, просто плохо искал). В любом случае, мне бы хотелось поделиться своими мыслями на этот счет и внести свою малую долю в русскоязычный контент на эту тему.

Статья может быть полезна для разработчиков, которые хотят понять, как устроен процесс прикрепления (пиннинга) сертификатов и специалистам по анализу защищенности мобильных приложений.

Всё чаще и чаще я читаю комментарии, вижу посты, захожу в беседы, где люди ведут обсуждения о том, какой же язык лучше. Зачатую диалог выглядит так: "-Python топ 1, а что твой JS", "-Зато мой JS быстрее и для веба само то", '-Ребят, да я на Go перешел недавно, вы вообще ничего не понимаете в крутых ЯП...".

Хотелось бы начать с того, что рейтинг языков программирования - это очень субъективная вещь. Разные порталы осуществляют сбор данных по языкам программирования с использованием различных параметров, учитывая все возможные показатели запросов в поисковых системах, а также применяя все возможные подходы к анализу вакансий на популярных платформах. Я бы хотел посмотреть на то, в каких областях программирования применяют Python, есть ли возможность отказать от Java/C#/Go и других языков в пользу Python, и в каких сферах это реально сделать.

Всем привет!
Итак, тема статьи - кривые, их разбор, собственные примеры и как их можно использовать в геймдев.

Результат исследования данных из открытых источников по тюрьмам США, России и Европы. Статья расскажет вам о численности тюрем, заключённых, их распределению по возрасту, полу, совершённым преступлениям и о многом-многом другом... Каков процент наполнения тюрем в России и США? Каков уровень рецидивизма? За что сидит большинство заключённых? Сколько приходится заключённых на одного охранника? Сколько тратит правительство на уголовную систему?

В этой короткой статье я хочу поделиться о том как получить RCE на системе с установленной CouchDB на большинстве инсталляций в локальной сети или во внешней сети, не защищенных брандмауэром. Для справки, в Shodan таких нашлось около полутора тысяч.

Первого января 2022 года был введен в действие стандарт ГОСТ Р ИСО/МЭК 27001:2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» (аутентичный перевод ISO/IEC ISO 27001:2013). Данное событие осталось не особо замеченным уважаемой публикой, хотя любому специалисту по информационной безопасности, стремящемуся к уменьшению бардака в сфере ИБ в своей организации с помощью внедрения процессного подхода, стоит не только понимать, но и уметь применять данный ГОСТ. К тому же в отличие от предыдущей версии 2006 года новый стандарт очень качественно переведен на русский язык.

К сожалению, на неподготовленного читателя данный стандарт, как и любой другой подобный документ, нагнетает скуку своим сухим языком и не всегда очевидной терминологией. Поэтому в этой статье кратко рассмотрим ключевые понятия и концепции, лежащие в основе стандарта. По ходу изложения разберем основные отличия новой версии от предыдущей и узнаем, почему старая версия стандарта позволяла обмануть центры по сертификации, а с вводом новой версии такое провернуть уже невозможно.

Как вы все знаете, многие ИТ-компании покидают Россию. И как вы, возможно, догадываетесь, многие разработчики в России в спешном порядке разрабатывают аналоги закрывающихся (и даже не только закрывающихся) сервисов. 

В статье я порассуждаю о сервисе, который призван сделать это более эффективно.