Моя лента

Сотрудники отдела астрофизики высоких энергий в среду, 21 февраля 2024 г., открыли новый яркий рентгеновский источник. Настолько яркий — 100 миллиКраб, что было ясно — промедление смерти подобно, надо срочно бить в набат и сообщить об открытии, пока это не сделали команды телескопов — мониторов всего неба. Отправленная астрономическая телеграмма вызвала «цепную реакцию». Сначала, с некоторым удивлением, источник был обнаружен командой рентгеновского телескопа MAXI (JAXA) на Международной космической станции, причём выяснилось, что вспышка началась почти на неделю раньше — как минимум, 15 февраля, но была пропущена японскими коллегами.

Мы регулярно проводим мероприятия с докладами и активностями на тему OSINT, поиск информации в открытых источниках, в городах России и странах СНГ. И вот, настало время ежеквартальной конференции в Москве, а значит, мы готовы представить наших спикеров!

Давно и долго хотел написать что-то остренькое и вот, собрался с мыслями. Тут я собрал и озвучил основные проблемы, я допускаю, что где то могу быть несколько критичным. Поехали...

Коррозия ежегодно приводит к миллиардным убыткам, «съедает» несколько процентов мирового ВВП, поэтому разработка ингибиторов коррозии - веществ, замедляющих или предотвращающих её течение – остаётся в фокусе внимания многих научных групп. Особенно серьёзную опасность для стали представляют кислые среды, в частности, нефть. В ближайшее время поиском идеальной молекулы, для защиты стали от коррозии займётся нейросеть. Пока международные научные группы, в состав которых входят российские учёные из НИЯУ МИФИ, занимаются предварительными исследованиями, призванным и накопить информацию для нейросети. Результаты этих исследований опубликованы в научном журнале Results in Surfaces and Interfaces.

Илон Маск обвиняет OpenAI в нарушении соглашения и предательстве интересов человечества в пользу прибыли Microsoft. В этом обзоре мы рассмотрим историю OpenAI, суть претензий Маска и почему этот иск может стать важным прецедентом в отношении ответственности компаний, разрабатывающих технологии общего искусственного интеллекта (AGI).

WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.

В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.

А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности.

Предлагаю продолжить анализ применимости подходов в машиностроении к ИТ. С первой частью можно ознакомиться по ссылке.

В первой части я сравнивал схему производственного цикла в машиностроении и цикл разработки программного обеспечения. На мой взгляд, процессы с точки зрения “управления” имеют очень много общего. Делюсь опытом планирования, который мне удалось подсмотреть, работая на “остатках” Информационно Вычислительного Центра (ИВЦ). На старте моей карьеры в ИТ численность персонала ИВЦ уже была гораздо меньше, чем в лучшие годы, и при этом постоянно сокращалась. Отчасти это можно объяснить тем, что ЕС-ЭВМ на тот момент серьезно устарели. При этом со временем ко мне пришло осознание того, что вся теория, которая была проработана еще во времена СССР, актуальна до сих пор, ведь основные принципы не изменились. Изменился только инструментарий.

Учёным УрФУ с коллегами из Университета Авейру удалось получить биосовместимые кристаллические плёнки. Они обладают высокими пьезоэлектрическими свойствами — при механическом или тепловом воздействии генерируют электрический ток. Такая особенность будет полезна при создании элементов для инвазивных медицинских устройств, например, кардиостимуляторов. Подробную информацию о полученных плёнках и новом методе их синтезирования учёные опубликовали в ACS Biomaterials Science & Engineering. Исследование выполнено при поддержке в рамках программы «Приоритет-2030».

Термоядерный синтез - это природное явление, которое обеспечивает нашу планету большей частью энергии, генерируемой за миллионы километров в центре нашего Солнца.

Здесь, на Земле, учёные пытаются воспроизвести горячие и плотные условия, которые приводят к термоядерному синтезу. В центре звезды гравитационное давление и высокие температуры - около 200 миллионов градусов - приводят в движение и сжимают атомы достаточно близко друг к другу, чтобы их ядра соединились в процессе синтеза и выработали избыточную энергию.

"Конечная цель исследований термоядерного синтеза - воспроизвести процесс, который постоянно происходит в звёздах", - говорит Арианна Глисон, научный сотрудник Национальной ускорительной лаборатории SLAC при Министерстве энергетики. "Два лёгких атома собираются вместе и сливаются, образуя одно более тяжёлое и стабильное ядро. В результате избыточная масса - одно ядро имеет меньшую массу, чем два, которые его образовали, - преобразуется в энергию и уносится прочь".

Packer – это инструмент для создания однородных образов виртуальных машин и контейнеров для использования на различных платформах от HashiCorp. C ним можно легко автоматизировать процесс сборки образов на основе одного исходного конф. файла, используя предопределённые шаблоны.

Рассмотрим создание базового образа с Packer.

Чем обычно заняты патологоанатомы, и при чём тут Go?

С помощью этого вопроса мы завладели вашим вниманием, теперь о главном. В январе мы рассказали Хабру о нашей новой конференции для Go-разработчиков и привели примеры докладов.

А теперь, когда GoFunc уже на носу, представляем Хабру полную программу с описаниями всех докладов. Там про самое разное — и инструменты, и архитектуру, и сам язык. Ну и о том, чем заняты патологоанатомы и при чём тут Go, тоже сказано.

Разработчик Джейкоб Райт из Юты решил быть в Apple Vision Pro на своей свадьбе, к большому огорчению невесты Камбри. В итоге молодожёны пришли к решению, что Райт не будет в гарнитуре во время церемонии, так как эта ситуация явно положила бы начало браку с плохой ноги, но с удовольствием носил гаджет потом после официальной церемонии свадьбы, а также на протяжении всего приёма с гостями. Получился немного жуткий образ жениха. В свадебном платье невеста держит роскошный букет цветов. Высокие горы Юты тыкаются в облака позади. Тем временем жених протягивает руку и сжимает пальцы, чтобы управлять гарнитурой, дисплей которой может видеть только он.

Илон Маск подал в суд на OpenAI и её соучредителей Сэма Альтмана и Грега Брокмана. Маск обвинил создателей ChatGPT в нарушении заключённого с ним учредительного договора, который предусматривал разработку ИИ во благо человечества, а не ради прибыли. 

Маск был одним из соучредителей OpenAI и состоял в совете директоров компании до 2018 года. В своём иске Маск утверждает, что Альтман и Брокман убедили его профинансировать стартап, пообещав, что он будет представлять собой некоммерческую организацию, а его разработки и технологии будут свободно доступны для общественности.

Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтового сервера Microsoft Exchange. Скорее всего, вы слышали, как минимум о нескольких громких уязвимостях OWA. С 2020 года существует подробный ресерч от коллег из PT SWARM на тему безопасности MS Exchange WEB-интерфейсов, а новые атаки появляются с завидной частотой. В одном из подкастов я слышал, что в OWA имеется огромный архитектурный баг, который является драйвером целого семейства подобных уязвимостей.

Атак достаточно, но есть еще и очень приятная “фича” в OWA – перечисление существующих пользователей в зависимости от времени ответов сервера. После формирования списка однозначно существующих учетных записей можно провести атаку типа Password Spray (англ. Распыление паролей) и с небольшим шансом подобрать пароль типа «P@ssw0rd!» среды пары сотен пользователей.

Многим пентестерам это известно, но мне удалось найти ультимативный способ проведения этой атаки за счет избыточности русских фамилий (sic!). Сперва рассмотрим проблематику.

Многие слышали о выступлениях в стиле TED. Не многие еще слышали о выступлениях в стиле SMART.

А тем временем, движение начинает набирать силу, и возникает потребность донести до более широкого круга читателей, как же готовить заявки к выступлениям в данном стиле. Об этом и поговорим.

Из статьи вы узнаете:

Многие основатели и ТОП-менеджеры компаний, а также те, кто отвечают за рост продуктов в компаниях, рано или поздно задумываются о том, как вырастить бизнес, увеличить продажи, получить больше лояльных пользователей, обогнать конкурентов, как сделать бизнес и продукты внутри такими чтобы их больше покупали?

- И всегда встают резонные вопросы:
- Как делать больше за меньшее количество ресурсов?
- Как успевать и обгонять конкурентов?
- Как достигать тех целей которые ставим?
- Как кратно масштабировать бизнес и продукты?

Как правило в компаниях запускается множество проектов, которые направлены на рост бизнеса, однако более 75% не приносят тех эффектов, которые мы от них ожидали. Более того, сроки и бюджеты проектов могут растягиваться в разы. И это происходит повсеместно, и в среднем и в крупном бизнесе. 

Я часто нахожусь в командировках и путешествиях, внимательно отношусь к безопасности своего macbook. Недавно, вернувшись в отель, я обнаружил признаки того, что кто-то что-то делал с моим ноутбуком в мое отсутствие.

В этой статье мы рассмотрим способы, позволяющие узнать о попытке физического доступа к вашему макбуку, соберем данные о вторжении и отправим их себе в Telegram.

Всем привет. Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress, активный эксплойт которой шёл в феврале. Несколькими критическими уязвимостями смогли похвастаться продукты от Microsoft, включая RCE в Outlook и повышение привилегий на Exchange Server. А CMS Joomla выбила сразу пять XSS-уязвимостей за месяц. Об этом и других интересных CVE февраля читайте под катом!

В нашей культуре принято запугивать непослушных детей, которые не хотят ложиться спать, есть что дают и слушаться родителей. Якобы придет милиционер, сосед или волк и сделают что-то неназываемое, но очевидно нехорошее.  В обсуждениях, казалось бы, взрослых людей вокруг собеседований в IT, тема волков тоже неожиданно всплывает. Утверждается, что ситуация с наймом такова, что скоро все джуниор и миддл-позиции займут накрутчики опыта с выдуманным резюме не останется места для нормального инженера и айтишечка загнется. Встает волчья звезда - последние дни наступают!

На мой взгляд, в данном случае, волки - санитары леса. Бояться накрутчиков смысла нет, трагедии в любом случае не произойдет, а найм(*) волка, даже раскрытый, поможет компании выстроить более вменяемый процесс собеседования и в целом прокачать понимание жизни.