Kurgan-Telecom Ru | Информационные технологии

Возможность делать скриншот — это базовый минимум, который есть во всех современных смартфонах. Даже у героев вечных споров, iOS и Android используются похожие комбинации «Громкость + Кнопка питания». Разве что на iOS используется «+», а в Android — «-».

Пятнадцать лет назад все было иначе. На устройствах было больше кнопок, но возможность сделать скриншот была роскошью. Задача осложнялась тем, что бюджетные телефоны на платформе S40 не имели многозадачности, так что написать универсальное приложение-скриншотер на телефон было невозможно. 

Тем не менее, решения были. В этой статье я проведу небольшой экскурс в историю программ для скриншотов с телефона, кратко расскажу про протокол Phonet и, возможно, вызову легкие приступы ностальгии.

У меня был Nokia 6303 classic — стильный телефон с металлической крышкой на платформе Nokia Series 40 (S40). Мой путь с этим телефоном разошелся, но спустя почти полтора десятка лет я решил, что хочу разобраться в технологиях, которые использовал, будучи школьником. 

Я нашел в продаже б/у Nokia 6303 classic и погрузился в тему.

На прошлой неделе были опубликованы сразу три научные работы, так или иначе предлагающие варианты атаки Rowhammer для видеокарт Nvidia. Подобные атаки часто имеют чисто научный интерес, но не в этом случае: во всех работах показаны методы эксплуатации с реально опасными последствиями вплоть до получения прав суперпользователя на целевой системе. Новые атаки были испытаны на видеокартах с видеопамятью стандарта GDDR6, в частности на GeForce RTX3060 и RTX6000. Именно для RTX6000 и подобных моделей новые атаки наиболее актуальны, так как это промышленный видеоускоритель, часто используемый в облачных решениях с общим доступом к вычислительным ресурсам. Именно там перехват контроля над системой‑хостом со стороны клиента представляет наибольшую опасность.

Самая первая атака Rowhammer была впервые продемонстрирована в 2014 году в отношении модулей памяти DDR3. Возможность изменения данных в ячейках памяти при обращении к соседним рядам ячеек была известна и ранее, но именно 12 лет назад эту особенность применили для целевого изменения данных в оперативной памяти так, чтобы, например, создать условия для выполнения произвольного кода или похитить секретные данные. С тех пор были предложены как методы противодействия подобным атакам, так и способы их обхода. Последним достижением академических исследователей стала демонстрация атаки «класса» Rowhammer на новейшие модули памяти стандарта DDR5.

Современный арсенал средств защиты корпоративных сетей велик и разнообразен: межсетевые экраны нового поколения (NGFW), средства защиты веб-приложений (WAF), системы защиты от DDoS-атак, песочницы (Sandbox) и анализаторы сетевого трафика (NTA). Однако существует целый класс решений, которому, на наш взгляд, уделяется незаслуженно мало внимания, — это системы контроля и управления доступом к сети или NAC (Network Access Control).

Данная статья призвана исправить этот пробел. Мы поговорим не о конкретных продуктах, а о самой идее контроля доступа в сеть: для чего это нужно, как работает и на какие ключевые аспекты стоит обратить внимание при выборе NAC-решения.

Привет, Хабр!

Я Денис Тимощук, руководитель направления «Управление командами и задачами» в Диасофт. В этой статье я расскажу, как нам удалось снизить время на выполнение типовых работ в 2 раза за первый год и превратить нормирование из бюрократической обузы в инструмент масштабирования эффективности.

Когда я только начинал в ИБ, я часами лазил по сайтам в попытках понять: а что вообще нужно знать новичку? Какими базовыми вещами должен владеть специалист по защите информации — будь то внутри контура организации или за его пределами.

Так я наткнулся на статьи про СЗИ — средства защиты информации. По сути, это тот самый инструментарий, с помощью которого специалист и строит защиту.

Думаю, выпущу несколько материалов, где своими словами разберу разные виды СЗИ. Для тех, кто только вникает в профессию, — чтобы было проще ориентироваться в этих штуках.

СПИСОК СЗИ ПРО КОТОРЫЕ Я РАССКАЗЫВАЮ В ЭТОЙ СТАТЬЕ:

1. Межсетевой экран (МЭ) — он же Firewall (англ.) или Brandmauer (нем.).

2. IDS/IPS — Intrusion Detection System / Intrusion Prevention System

3. DLP — Data Leak Prevention

4. SIEM — Security Information and Event Management

5. Sandbox — «песочница»

Межсетевой экран

Думаю, многие уже слышали о межсетевых экранах. Их называют по-разному: Firewall — с английского «огненная стена», или Brandmauer — с немецкого тоже «огненная стена». В общем как ни назови, он делает одно и то же — не дает нежелательному трафику проникнуть в сеть.

Антифрод — это комплекс мер, технологий и процессов, направленных на предотвращение, выявление и минимизацию ущерба от мошеннических действий. Простыми словами — это система, которая борется со злоумышленниками во всех ипостасях. Коллеги на Хабре недавно делали обзор по теме. Также рекомендуем ещё свежую аналитику за 2025 год.

А наша статья посвящена патентам и свидетельствам на антифрод‑системы в России и мире.

Когда логирование попадает в реальную систему, довольно быстро становится понятно, что это не про API и не про удобство вызова. Это про постоянный компромисс.

С одной стороны, хочется, чтобы система работала максимально быстро: любое логирование — это накладные расходы, и в нормальном режиме его стараются минимизировать. С другой стороны, как только возникает проблема, внезапно оказывается, что либо логов недостаточно, либо они есть, но в таком виде, что восстановить картину происходящего невозможно. В этот момент становится очевидно, что задача логгера — не просто «писать строки» максимально быстро, а помогать удерживать баланс между производительностью и диагностируемостью.

Первая проблема, которая всплывает практически сразу, связана не со скоростью, а со структурой. Лог начинает отражать структуру кода, а не структуру происходящего. Есть бизнес‑логика, есть библиотеки, есть множество параллельных операций, и каждая из них пишет что‑то своё. В итоге лог превращается в поток сообщений, где перемешаны разные задачи, и вместо «обработки конкретного запроса» мы видим просто последовательность вызовов. На небольшом проекте это ещё можно терпеть, но в серверной системе такая картина быстро становится непригодной для анализа.

Естественное желание — привязать лог не к месту вызова, а к самой задаче. Самый прямой путь — передавать контекст через параметры (например, инстанс логгера), но довольно быстро это начинает протекать через весь код и превращается в обязательный шум в сигнатурах. Гораздо более устойчивый подход — привязать контекст к потоку выполнения. В библиотеке logme это делается через thread channel:

Мы рады сообщить о выпуске Jmix 2.8! В этом релизе мы продолжаем улучшать фреймворк и Studio, делая Jmix еще более надежной основой для корпоративной разработки. Jmix 2.8 также является LTS-релизом и будет получать бесплатную поддержку в течение трех лет.

Ниже приведен краткий обзор основных новых возможностей Jmix 2.8. Полный список изменений можно найти в разделе документации Что нового.

Всем привет! Если вы работаете с LLM — ChatGPT, Claude, DeepSeek, Qwen или другими — через API, то знаете: токены стоят денег. Контекстное окно у любой модели не резиновое, и чем больше кода вы отправляете, тем дороже каждый запрос. Новые модели с огромными контекстными окнами выходят каждый месяц и дешевеют, но зачем платить за то, что можно не отправлять?

В этой статье я расскажу про TokenCompress.com — прокси-сервис, который сжимает код перед отправкой в LLM. В среднем он убирает ~78% токенов, при этом качество ответов не падает, а в ряде случаев даже растёт — потому что модель получает только релевантный контекст, без шума.

В 2018 году мы начали разрабатывать CRM-систему, заточенную под сеть СТО. Разработка была масштабна, а цели — амбициозны: мы стремились учесть потребности всех участников процесса. Над проектом работали аналитики, программисты, тестировщики, настройщики Битрикс, дизайнеры и др. специалисты. Кроме того, работа продолжалась и после сдачи проекта. Я сейчас не только о поддержке системы — мы продолжали непрерывно улучшать ее, добавляли новые фичи, оптимизировали процессы.

И всё же, начав «за здравие», через 5 лет, в 2022 году, мы с заказчиком подошли к финалу известной поговорки. Эта статья про то, почему так получилось и какие уроки мы извлекли из этой истории.

Меня зовут Алексей Постригайло. Моя компания специализируется на системной интеграции и имеет 20-летний опыт реализации крупных проектов. В своих статьях я рассказываю о «закулисах» наших проектов.

Я давно пользуюсь FVD Speed Dial как основной экспресс‑панелью. Однажды после перенастройки сети (VPN, прокси, DNS) заметил неприятный эффект: любое слово, набранное в строке поиска новой вкладки, всегда улетало в Yahoo. Никаких настроек выбора поисковика в интерфейсе расширения не было — только встроенное поле, жёстко завязанное на внутреннюю логику FVD.

Системный поисковик Chrome я менял, но это никак не влияло на поведение FVD Speed Dial: расширение упрямо перенаправляло все запросы в Yahoo.

Появление первых персональных вычислительных машин, их активное внедрение в рабочие процессы, а также безграничный доступ в интернет сделали свое дело. Современное предприятие немыслимо без компьютерных систем и технологий. Рутинные операции отданы на откуп точным программным алгоритмам, в то время как нестандартные задачи – человеку.

Популяризация искусственного интеллекта, машинного обучения, интернета вещей и прочих составляющих 4-й промышленной революции, использующих результаты информатизации, привнесли информационные технологии в регулярные процессы жизнедеятельности человека. Теперь программное обеспечение и прочие цифровые сервисы такой же товар как продукция первой необходимости. 

Под любой запрос есть свой программный продукт. Если компании нужна автоматизация процессов и интеграция с бизнес-партнерами, это одни программные решения, взаимодействие с соцсетями и мессенджерами – другие. Однако кастомное или коробочное программное обеспечение – лишь средство, первичным является осознание и формализация потребности.

Если вы выбрали программный продукт и решили его имплементировать, есть классические методологии внедрения: каскадная, итерационная и спиралевидная, а также разные подходу к запуску, например, метод большого взрыва, франчайзинговая стратегия и способ точного броска. Указанные подходы имеют свои отличительные особенности, но в первую очередь разную скорость доставки решения до рынка. И опять, важны потребности и ожиданий стейкхолдеров.

Данные примеры затрагивают вопрос понимания потребностей и способов их реализации, чем занимается дисциплина под названием бизнес-анализ. Ключевым источником информации по данному вопросу является свод знаний по бизнес-анализу или BABoK [1], не так часто освещаемый в литературных источниках. Следуя PMBoK, SWEBoK, BPMCBoK, TOGAF и другим сводам знаний [2-5], BABoK может быть применен в проектах разработки и внедрения программных систем.

Большинство людей используют ИИ неправильно. Они задают один вопрос, получают один ответ и копируют его в свой документ. Это уровень чат-бота. Настоящая сила ИИ-агентов (таких как Claude Cowork или ChatGPT Agent) раскрывается не в генерации текста, а в выполнении многошаговых рабочих процессов (workflows).

В этой статье мы разберем, как передать агенту цепочки из 5-10 задач, которые обычно съедают часы вашего времени: от обработки пачки чеков до подготовки к ежемесячной отчетности и к квартальному бизнес-обзору. С конкретными промптами и архитектурой папок.

Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах.

Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете.

При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик.

Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости.

Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.

Goran tek-en

Как вы думаете, может ли соль быть жидкой? 

Понимаю, что некоторые сразу ответят: «ну, ты нашёл тоже что спросить, конечно может — нужно для этого её всего лишь бросить в воду!» :-D и, таким образом они выразят наиболее распространённую точку зрения, которую мы знаем ещё со школы (а также, базируясь на своём практическом жизненном опыте). 

Но, думали ли вы, что бы это дало, если бы жидкая соль была возможна? Жидкая, сама по себе? На самом деле, это открывает очень интересные перспективы…;-) 

То, что найм в IT сломался - понятно всем. А что же на самом деле происходит? И что делать? Можно пытаться играть в эту игру - кто кого удачнее обманет. Давайте подумаем куда это может завести. И может есть другой путь?

Адепты Agile‑манифеста зачастую весьма скептически относятся к процессу формирования документации на программных проектах. Как нельзя лучше это отношение сформулировал один эффективный перспективный руководитель отдела программирования, выпускник факультета менеджмента, который охарактеризовал документацию как «кучу макулатуры, которая генерится техписом и сдается в архив». В ту пору, когда я был молодым и перспективным, я тоже так думал. Но, как говорится, время лечит.

Всем привет! Меня зовут Андрей, и я работаю в финтех‑направлении Яндекса. Руковожу службой разработки платёжных интерфейсов. Если вы пользуетесь сервисами Яндекса, то наверняка сталкивались с формами оплаты, вот большую их часть делают ребята из моей службы.

Сегодня я расскажу вам о TrustYFox — платформе для поиска уязвимостей в коде при помощи LLM, которую я создал своими руками. С практической точки зрения TrustYFox — это ещё один инструмент, который не заменяет существующие сканеры, а дополняет их, позволяя находить уязвимости.

Статья не претендует на научность или какой‑то RnD, да и я не являюсь экспертом в этих ваших LLM. По большей части это рассказ о том, как получилось (а в итоге получилось) за несколько месяцев пройти путь от прототипа до рабочего решения, в котором ежедневно запускаются аудиты. 

За прошедшие полгода разработки проекта были проверены различные концепции, написано, удалено и заново написано много кода, поэтому сначала расскажу, какой путь пройден, а после — про сам проект, что он умеет и где можно было сделать лучше.

Если вы владелец ИТ-компании, вы должны были уже почувствовать рост налоговой нагрузки и понимать, что внимание ФНС к отрасли будет только усиливаться. Выросли страховые взносы до достижения годового лимита по зарплате, небольшие предприятия впервые столкнулись с НДС. 

Условия получения подтверждения льгот ужесточаются. Ошибки в доле профильных доходов, формулировках договоров или структуре капитала, а также неправильное понимание, какие именно виды деятельности льготируются (например, ориентация на 30% из «расширенного» перечня для аккредитации, а не на критерии статьи 284 НК РФ), легко оборачиваются может обернуться пересчетом налогов, доначислениями и пенями.

Дополнительно ужесточаются правила игры для компаний на УСН: появляются специальные ставки НДС 5% и 7% при превышении лимитов. Если вы все еще не объединили раздробленный бизнес или увлекаетесь «налоговым туризмом» — риски претензий от ФНС увеличиваются кратно. В таких условиях главная задача ИТ‑компаний — не искать «схемы», а собрать свою налоговую модель заново: проверить критерии льгот, пересчитать нагрузку и понять, какие льготы помогут снизить финансовую нагрузку на компанию.

В 1930-м из Бауманки выделили Московский авиационный институт: стране были нужны инженеры-конструкторы, которые умеют всё. Между лекциями студенты и преподаватели сами помогали достраивать первые корпуса.

Чуть позже здесь откроют одну из первых в стране кафедр ракетных двигателей, а Королёв захантит Василия Мишина — выпускника МАИ и «второго главного» по космосу.