Kurgan-Telecom Ru | Информационные технологии

Так уж случилось, что из разработки железа и встроенного ПО я постепенно ушел в безопасность. А в дальнейшем и в пентест. Мой первый заказ по чтению залоченной прошивки.

«Нет никакой защиты, есть только количество времени и знаний, необходимых для достижения цели.»

Как вы знаете в STM32 много 16 битных таймеров. При этом их разрядности порой не достаточно для получения тайм штампов.

Проблема в том, что в STM32 таймеры обладают очень низкой разрядностью. Большинство таймеров 16 битные. Есть только два 32 битных таймера и они обычно чем-то заняты.

При этом большинство прошивок требуют возможности получать микросекундные тайм штампы. Это нужно для выдерживания пауз, для планировщика, для подписывания логов и прочего. То есть нужен таймер, который увеличивается на 1 каждую 1 микросекунду и не переполняется в обозримой перспективе.

В случае 16 битного таймера такой таймер будет переполняться каждые 65 ms. Это плохо.

Попробуем разобраться, что делать в этой ситуации.

Стандарт ISO 7816 состоит из 15 частей и главным образом нацелен на приведение к общему виду тех отраслей, что используют смарт-карты. Четвертая часть документа описывает логическую структуру файловой системы, получившую широкое распространение: ее можно встретить в идентификационных документах, средствах криптографической защиты информации, в банковском секторе и телекоме.

Привет, студент! (а может, уже и не студент)

Я уже больше 5 лет учусь в университете, 4 года из которых эффективно совмещаю с работой. Чтобы успевать по учёбе, я использовал собственный способ отслеживания прогресса по ней. Благодаря методу я всегда сдавал все предметы вовремя и ни разу не был на допсе.

Мой метод совмещает в себе некоторые элементы гибких методологий и обычного «списка задач». Метод оказался для меня настоящим спасением в университете! Я делился им со знакомыми, а теперь хочу поделиться им со всеми.

Проснулись, потянулись, зашли в новости, а там за ночь вышло пять новых нейросетей, две из которых уже успели устареть, пока вы чистили зубы. Добро пожаловать в реальность, где вчерашний прорыв сегодня годится только для мемов. Бедный Уил Смит и спагетти. Мы тут только-только привыкли к 2025-му, а индустрия уже вовсю пакует чемоданы в 2026-й.

Кажется, если моргнуть чуть дольше обычного, можно пропустить момент, когда ваш холодильник начнет писать код на Python.

Чтобы не потеряться в этом бесконечном параде релизов и не пытались гуглить ответы в Яндексе, мы собрали «Арсенал 2026». Это те инструменты, которые помогут не просто разобраться в мире ИИ, но и заставить его работать на вас, пока остальные всё еще пытаются правильно составить промпт для генерации котиков.

Разминайте пальцы и готовьтесь - сейчас будем смотреть на то, с чем мы влетаем в этот год.

Приятного прочтения!

Автор: Денис Аветисян

Обзор посвящен стремительно развивающейся области применения больших языковых моделей для оптимизации, трансляции и конструирования компиляторов.

В детстве, которое пришлось на 90-е, мне очень хотелось иметь Интернет. Родители не собирались его подключать, поэтому я позвонил провайдеру и сказал, что хочу создать аккаунт. У меня спросили фамилию, я назвал вымышленную. Потом у меня спросили номер кредитной карты, я сказал, что мне нужно найти бумажник, после чего я перезвоню.

Из книги Big Secrets и нескольких выпусков журнала 2600 я знал пару фактов о кредитных картах. Номера карт American Express всегда состояли из 15 цифр и начинались с тройки, а номера карт Visa состояли из 16 цифр и начинались с четвёрки. Первая пара цифр обозначала банк-эмитент, затем шёл номер счёта; последняя цифра вычислялась при помощи алгоритма Луна и использовалась как контрольная сумма всех предыдущих цифр.

Самый частый вопрос к тезису о том, что языковые модели не думают - чисто практический.

В предыдущей публикации я выдвинул тезис, который многих заставил почувствовать себя неуютно: большие языковые модели не мыслят. Они не рассуждают так, как это делает человек. Они лишь предсказывают следующий токен.

Самым частым возражением было не философское, а практическое:

«Если это правда, то как ИИ удается заниматься арифметикой?»

Сложение, вычитание, умножение - эти процессы кажутся точными, механическими и основанными на строгих правилах. Они выглядят полной противоположностью «размытому» предсказанию языка. Поэтому естественно предположить, что где-то внутри модели спрятан калькулятор или нечто очень на него похожее.

Но его там нет. Однако происходит кое-что весьма любопытное.

Большинство гайдов по C# в Интернете или давно утратили актуальность, или содержат лишь небольшие вкрапления новых возможностей, но лишены последовательности. Есть и другая крайность - ИИ простыни сгенерированного текста под видом статей, которые очень тяжело читать. Я хочу сделать свою попытку изменить ситуацию.

Развивая идею доверенного языка программирования я пришел к выводу, что за счет ограничений синтаксиса и создания соответствующих проверок в статическом анализаторе кода, можно защититься практически ото всех технических ошибок, кроме двух - контроль динамически выделяемой памяти и переполнения стека.

Причем, если для подсчета ссылок в рантайме, решения существуют, то контроль переполнения стека невозможно сделать не только во время анализа исходного текста программы, но это практически невозможно и во время выполнения приложения! Ведь ошибка переполнение стека (stack overflow) - это всегда фатально, так как не существует способа поймать и обработать эту ошибку изнутри выполняемой программы, чтобы потом продолжить её выполнение как ни в чем не бывало.

Существует ли хотя бы теоретическая возможность защититься от ошибок переполнения стека и сделать из нее обычную ошибку (исключение), которую можно поймать (обработать) в самом приложении, чтобы была возможность продолжить выполнение программы без боязни последующей ошибки сегментации (segmentation fault) или повреждения стека (stack smashing)?

Листовки, визитки, баннеры, выставочные стенды — стандартные инструменты для привлечения клиентов. Их используют, потому что они работают. Но вопрос, насколько хорошо они работают, часто остается без точного ответа. Маркетолог видит затраты на печать, размещение, участие в выставке. Обратную связь он получает в лучшем случае в виде обрывочных комментариев от продавцов или роста звонков на общий номер в период кампании. Связать конкретную продажу или заявку с конкретной листовкой или баннером почти невозможно.

Попытка добавить в материалы QR-код — логичный шаг к цифровизации. Но обычный, статический QR-код, не дает информации о количестве сканирований, только если он не ведет на сайт на котором стоит аналитика. В этом случае вы можете отслеживать при помощи UTM меток, но любые другие виды QR кодов не отслеживаемые. Какая из двух листовок с разным дизайном сработала лучше? Баннер на одной улице привлек больше внимания, чем на другой? Сотрудник, раздавший сотню визиток на выставке, установил реальные контакты или просто избавился от пачки бумаги?

Всем салют! Продолжаем рассказывать про киберитоги и киберпрогнозировать. Поговорим про технологические тренды, меняющие правила игры в сфере ИБ.

Использование технологий AI и ML в средствах защиты является ключевым трендом 2025 года. Цель — повысить качество ключевых функций продуктов (детектирования угроз, выявления наиболее слабых мест инфраструктуры), снизить количество рутинных операций, сократить время реакции на инциденты. Помимо этого, большие языковые модели (LLM), например, могут собирать дополнительный контекст, позволяющий сократить время анализа инцидентов ИБ.

Рассказ

Когда ассистент пригласила его в переговорную, Сергей остановился перед дверью и на секунду прикрыл глаза.

В виске мягко пульсировал знакомый такт нейрочипа. Он был на месте, как всегда. Это успокаивало не как поддержка, а как наличие инструмента: Электричество подано. Сеть 5 делений.

***

Он поставил чип сам. Во время одного из отпусков. Без программы. Без показаний. Не потому что «надо», а потому что хотел. Из личной гиковской хотелки – прямой, почти неловкой, такой, про которую не рассказывают вслух. Прямо не скрывал, но никогда и не афишировал.

Когда-то среди коллег Сергей считался геймером. По совокупности улик. Видеокарты с запасом, который офису был не нужен даже теоретически. Мониторы – огромные, быстрые, раздражающе чёткие. Клавиатуры и мыши с откликом, имеющим смысл только там, где миллисекунды означают смерть. Он не спорил.

Только он не играл.Вообще! Геймерскую технику он покупал по другой причине: она была самой честной. Самой качественной. Она не тормозила в момент важного доклада. Она не «подвисала где-то внутри». Она показывала лаг сразу. А если ломалась, то только от пролитого кофе, а не утром перед отчетом. Это было важно.

Он собирал машины не ради FPS. Ему было плевать на цифры в углу экрана. Он собирал их ради того, чтобы в расчётах, моделях, симуляциях и дедлайнах система не становилась узким местом. Чтобы, если что-то и зависало, то только он сам. Его мысль. Его решение. А не железо под столом.

И в какой-то момент он просто понял: слабое звено – всегда человек. Не софт. Не архитектура. Не железо. Человек. Тот, кто в конце всё равно принимает решение. Нейрочип после этого выглядел логично. Не как скачок. Не как революция. Как обычный апгрейд.

ASML появилась на свет в середине 80-х. Причем первоначально ее рассматривали как обузу внутри фирм Philips и ASM, ставших создателями будущего гиганта индустрии. Как компания, воспринимаемая аутсайдером в бизнес-среде, заняла лидирующие позиции и заработала миллиарды долларов — расскажем подробнее в нашей статье.

Дело даже не в забывчивости админов, а в том, зачем локальное приложение для настройки кнопок может взять и перестать работать из-за внешних причин.

Расширения браузера давно перестали быть просто вспомогательными инструментами. Благодаря широким правам и постоянному фоновому выполнению они стали удобной средой для скрытой реализации сложной логики, в том числе вредоносной. Под видом полезных утилит такие расширения могут получать удалённое управление, динамически изменять своё поведение и выполнять код, не представленный при установке. Ниже приведён разбор одного из подобных случаев.

Проблематика шизофрении не в том, что человек слышит голоса в голове, а в том, что он не отождествляет себя с этими голосами. Большинство людей ведут внутренний диалог с самим собой, но им не назначают галоперидол.

Исследование, опубликованное в 2024 году в журнале PLOS Biology, показывает, что источник слуховых галлюцинаций при шизофрении может быть связан не столько с появлением самих “голосов”, сколько с нарушением механизма, с помощью которого мозг обычно отмечает их как собственные. В норме, когда человек готовится к речи, даже внутренней, его мозг заранее отправляет “копии” моторных сигналов в слуховые области. Эти сигналы выполняют две задачи. Сначала они слегка подавляют чувствительность слуховой системы, тормозят ее чтобы та не реагировала слишком остро на предстоящую внутреннюю речь. А затем, когда слова уже выбраны, наоборот усиливают чувствительность именно к тем звуковым паттернам, которые человек собирается произнести. Такой процесс позволяет мозгу отличать собственные мысли и слова от внешних источников.

У людей с шизофренией этот механизм моторно-сенсорного преобразования работает иначе. В эксперименте исследователи разделили пациентов с шизофренией на две группы, с слуховыми галлюцинациями и без них, и сравнили их с контрольной выборкой. Когда участникам предлагали готовиться к речи, не зная, что именно говорить, у здоровых людей сенсорные реакции подавлялись. У больных шизофренией такого подавления не происходило, независимо от наличия галлюцинаций.

А когда испытуемые готовились к конкретному слогу, у здоровых и у пациентов без слуховых галлюцинаций наблюдалось усиление реакций на ожидаемый звук. У людей, которые слышат “голоса в голове”, этот процесс оказался искажённым, их мозг усиливал реакцию не только на подготовленный звук, но и на посторонние. Из-за чего ощущение агентности, осознания собственного действия, становится труднодостижимым.

Обнаружены две сигнальные молекулы, активность которых можно повышать или понижать для перепрограммирования обязанностей муравьев.

У муравьев-листорезов (Atta cephalotes) строгое разделение труда: крупные Majors охраняют гнездо, Media собирают листья, Minors ухаживают за потомством, а крошечные Minima обслуживают грибницу. Эти роли связаны с анатомией, возрастом и активностью нейропептидов.

Представьте себе такую картину: пятничным вечером вы нажимаете кнопку воспроизведения видео на Netflix. Не проходит и нескольких секунд, как в ответ на это в недрах системы оживают сотни контейнеров. Обеспечение эффективной работы большого количества контейнеров в Netflix — это один из краеугольных камней обеспечения качественного потокового видео для миллионов пользователей со всего мира. Для того чтобы обеспечить высокую скорость реакции системы таких масштабов, мы модернизировали нашу среду выполнения контейнеров (контейнерный рантайм, container runtime), но, сделав это, мы столкнулись с неприятной неожиданностью, сдерживающей рост нашей системы. Это — архитектура процессоров.

Предлагаем вашему вниманию историю о том, как мы диагностировали эту проблему, и о том, что мы узнали о масштабировании контейнеров на аппаратном уровне.

Всех приветствую, возвращение после некоторого отсутствия. Продолжаю тему геометрии, пару слов о важных темах из геометрии перед началом новой.