Kurgan-Telecom Ru | Информационные технологии

На прошлой неделе опубликовано сразу два новых исследования об атаках типа ClickFix, в которых пользователя так или иначе мотивируют самостоятельно выполнять вредоносный код в командной строке. Команда Microsoft Threat Intelligence поделилась чуть более сложным, чем обычно, вариантом атаки, продемонстрированном на скриншоте ниже. Как правило, команда, которую злоумышленники заставляют запустить, содержит адрес, с которого загружается и выполняется вредоносный скрипт. Вероятно, для того чтобы усложнить детектирование атаки в корпоративном окружении и продлить жизнь вредоносной инфраструктуре, в этот простой сценарий вставлен еще один шаг: обращение к контролируемому DNS-серверу.

От имени пользователя происходит обращение к DNS-серверу c использованием утилиты nslookup, запрашиваются данные для домена example.com. Из полученных в ответ данных выделяется строка NAME:, которая и содержит вторую часть вредоносного скрипта. Он, в свою очередь, напрямую скачивает ZIP-архив с набором вредоносных программ. На финальной стадии один из VBS-скриптов прописывается в автозапуск и на компьютер жертвы устанавливается троянская программа ModeloRAT. Это далеко не самый изощренный вариант атаки ClickFix. Ранее та же Microsoft сообщала о нетривиальной тактике, предусматривающей намеренное выведение из строя браузера путем установки вредоносного расширения под видом адблокера.

Доброго времени суток, господа и дамы! Иногда у некоторых людей возникает желание заняться откровенным непотребством в программировании — то, что не несет практической пользы напрямую, но помогает развлечься. И я — не исключение. В этой статье я хочу рассказать вам о лайфхаках, трюках (магических и не очень) и алгоритмах на языке C!

Если вы видите эту статью, значит еще не все тайны C раскрыты. В этом материале будет еще больше свежих хаков, фанов, трюков, еще больше магии и скорости! А также нетипичных алгоритмов и структур данных, что позволит вам почерпнуть и полезную информацию тоже.

Добро пожаловать в восьмую часть. Прошу под кат — там будет жарко, быстро и очень, очень интересно.

Data governance, data mesh, modern data stack, data lineage – столько разных data, столько разных популярных подходов и инструментов. Лидером по популярности (на мой скромный взгляд) среди всех них является data catalog. Многие говорят о нем, многие хотят его, многие уже внедрили. Но внедрить это одно дело, а вот получить от него пользу – дело совсем другое.

Мы сформировали список самых частых проблем, основанные не только на нашем опыте, но и на опыте наших коллег, проанализировав множество статей и материалов на эту тему.

Если вы используете серверную версию Confluence, время искать замену: Atlassian поэтапно сворачивает поддержку on-premise решений. С марта 2026 года продажа новых лицензий прекратится, а к концу марта 2029 года поддержка будет полностью отключена.

Собрали 11 сервисов для корпоративной базы знаний, которые могут заменить Confluence.

Иногда в работе инженера кажется, что текущая задача является уникальной, что с такой проблемой никто ни разу не сталкивался. Соответственно, решение должно быть таким же уникальным.
Однако при более пристальном взгляде зачастую оказывается, что задача не просто не уникальна, она сама по себе является представителем некоего класса задач, для которого выработано общее типовое решение.

Например, вам может потребоваться измерять наработку различных подвижных узлов оборудования и для этого нужно фиксировать время начала и конца движения каждого из узлов.
Или при работе операторов с оборудованием применяется некоторая ролевая модель и необходимо логировать действия пользователя, записывая когда, кто и что сделал.
Или оборудование производит измерения, по большей части с идентичными значениями. А чтобы не заполнять базу данных бесконечной чередой одинаковых чисел решено производить замеры через неравные интервалы времени только при изменениях текущих показаний свыше определённого порога.

Во всех этих задачах требуется получать временные метки — таймстампы. Если вы используете микроконтроллер STM32, сделать это очень просто.

Когда регуляторы требуют исполнения законов о возрастных ограничениях, платформы упираются в фундаментальную техническую сложность. Единственный способ доказать, что пользователь достаточно взрослый, — собрать персональные данные, позволяющие его идентифицировать. А единственный способ доказать, что проверка была проведена, — хранить эти данные бессрочно. 

Так исполнение законов подталкивает платформы к навязчивым системам верификации, которые зачастую напрямую противоречат современному законодательству о защите персональных данных.

Все, кто плотно сидит на C++ и использует Conan, знают: сам по себе пакетный менеджер — это только полдела. Настоящее веселье начинается, когда нужно раскатать одинаковые настрйки на всю команду и десяток CI-нод. Репозитории, профили, хуки, кастомные настройки всё это хозяйство нужно как-то синхронизировать.

Раньше у нас был conan config install, который тянул конфиги из git-репозитория или zip-архива. Решение рабочее, но с душком: попробуйте воспроизвести сборку двухлетней давности, если за это время мастер-ветка с конфигами улетела далеко вперед.

В Conan версии 2.x (и последних минорных обновлениях) завезли киллер-фичу: conan config install-pkg. Теперь конфигурация — это полноценный пакет. Давайте разберемся, почему это меняет правила игры.

Если вам больше 14 лет, вы почти наверняка уже пробовали «поговорить» с нейросетью о чём-то личном. Поздно ночью, перед сложным разговором с партнёром или на фоне выгорания. И, скорее всего, результат вас и удивил, и разочаровал.

Копнем глубже, что ИИ в психологии реально умеет, где его потолок — и как использовать это без иллюзий, но с пользой.

Что ИИ уже умеет в «психологии»

ИИ стал сильным инструментом, но с одним ограничением: он обучен на текстах, а не на живом внутреннем опыте людей. Это многое определяет. На уровне «первой помощи» Копнем работают неплохо.
Они могут:

CLI-обёртка над git worktree на чистом Bash. Автоименование worktrees, централизованное хранение в ~/.git-wt/, копирование .env файлов, shell-автодополнение и поддержка AI-агентов через SKILL.md. Сделана для параллельной работы нескольких Claude Code / Cursor / Windsurf на одном репозитории, но полезна и для код-ревью, хотфиксов и тестирования. Ноль зависимостей, установка за 5 секунд.

Общеизвестным является тезис о том, что от избыточного индексирования страдают только DML-операции, а SELECTы только получают разнообразные бенефиты.
Однако существуют определённые нюансы, которые могут разрушить данную стройную картину мира.

Я попробую продемонстрировать возможную проблему на тестовом примере (кстати, почти аналогичная проблема наблюдалась в реальной ПРОМ-системе).

Солнечная энергия нестабильна: летом и днем ее избыток, ночью и зимой — дефицит. С электричеством проблему частично решают аккумуляторы, а вот с теплом все несколько сложнее. Чтобы отапливать дом и греть воду, его приходится запасать заранее. Но бак с горячей водой постепенно остывает, да и другие материалы, например парафины или соли, тоже не позволяют хранить большой запас надолго. Использовать для обогрева крупные литий-ионные системы накопления электроэнергии возможно, но это дорогое решение, которое доступно далеко не всем.

Химики из Калифорнийского университета в Санта-Барбаре под руководством Грейс Хан предложили другой подход: накапливать солнечную энергию в химических связях органической молекулы. Они «запирают» тепло в измененной структуре. В результате получается стабильный носитель, который может долго сохранять запасенную энергию с медленным распадом и отдавать ее по требованию. Давайте посмотрим, что предлагают ученые. 

Новости об ИИ выходят быстрее, чем успеваешь их переварить: релизы моделей, таблицы бенчмарков, заявления про "революцию" и "конец профессий".

Эта статья научит,что проверять, когда выходит новая модель, как читать бенчмарки, на что смотреть в model/system card, чтобы понимать реальный смысл анонса, чем open-weight отличается от закрытых моделей и почему это влияет на рынок.

А заодно, как читать без паники и самообмана статьи вроде "ИИ отнимет у вас работу".

К 2025 году законодательство в области информационной безопасности в России ужесточилось. Разумеется, это коснулось в первую очередь защиты объектов критической информационной инфраструктуры, относящихся к энергетике, финансам, транспорту и другим отраслям. Залог успешного функционирования организаций, работающих с КИИ, – соблюдение новых требований, направленных на повышение безопасности и импортозамещение иностранной продукции. 

 В статье посмотрим на законы, на список отраслей, которые относятся к КИИ, и на решение вопроса с СУБД с помощью доверенной системы, отвечающей требованиям к импортозамещению и безопасности.

В мире искусственного интеллекта есть много всего интересного и многие начинающие разработчики не могут определиться с тем, с чего начать погружение в этот мир. В этой статье мы познакомим читателя с одним из направлений работы с графикой – нейросетевом переносе стиля.

Уже как второй месяц стартовал 2026, и мы замечаем, что многим особенно интересно узнать, что сейчас происходит с рынком найма. Поэтому мы посмотрели, как компании нанимали специалистов во втором полугодии 2025 на Хабр Карьере. Чтобы те, кто ищет работу, могли примерно понимать, чего ожидать от работодателей и их вакансий в этом году. 

Рассказываем, какие компании размещали больше всего вакансий и кого искали во второй половине 2025. 

Обычно мы используем СУБД как инструмент: учитываем нюансы синтаксиса, оптимизатора, утилит и поведения движка — и решаем прикладные задачи. Но недавно, разворачивая очередной PostgreSQL‑кластер для продакшена, я поймал себя на мысли: не слишком ли много всего нужно поднять вокруг PostgreSQL, чтобы система работала одновременно безопасно и предсказуемо по производительности?

Многофазные электрические машины активно вытесняют трёхфазные в авиации, ветроэнергетике и электротранспорте — меньший ток на фазу, встроенная отказоустойчивость, сниженные пульсации момента. Но моделировать их негде: ни MATLAB, ни другие стандартные пакеты не предоставляют готовых блоков для машин с числом фаз больше трёх.

Мы решили эту задачу в Engee. Ключевой элемент — параметрическая модель на основе обобщённой трансформации Кларка, которая автоматически строит матрицы прямого и обратного преобразования для любого числа фаз. Задаёте n = 6 — получаете шестифазную машину. Меняете на n = 12 — двенадцатифазную. Схема не меняется.

В статье — полная реализация: математическая модель машины в осях d-q, скрипт построения матриц трансформации с проверкой взаимной обратности, система векторного управления с каскадными ПИ-регуляторами, результаты моделирования шестифазного СДПМ мощностью 800 кВт. Разбираем переходные процессы при разгоне и набросе нагрузки, анализируем форму токов и энергетический баланс. Весь код прилагается.

Ты понимаешь, что баг хорош, если первым делом думаешь: «Как это вообще может происходить?»

Недавно я занимался доработкой дэшборда веб-приложения, над которым мы работаем, и заметил, что его загрузка длится бесконечно. Раньше на это требовалась одна секунда, но теперь ему требуется десять. Происходит что-то подозрительное.

Разумеется, сначала я обвинил в этом React.

Да, конечно, в современном веб-приложении может быть множество потенциальных причин проблем с производительностью: сторонний JavaScript, перегруженные серверы, раздутые ресурсы, отсутствующие индексы базы данных; список можно продолжать очень долго. Но опыт десятков лет разработки для веба подсказывал мне, что это была проблема фронтенда. Я просто чувствовал это. При загрузке страница дёргалась. И несмотря на то, что экосистема React сегодня — наименее плохой выбор для веб-фронтенда, она по разным причинам может оказаться хаотичной и тормозной.

Чтобы подтвердить свою теорию, я рассказал Claude1, что загрузка дэшборда тормозит и что проблемы наверняка в React, попросив проанализировать их и ранжировать по степени серьёзности. Конечно же, Claude обнаружил в React кучу подозрительных аспектов — ненужный повторный рендеринг, отсутствующие мемоизации и так далее. К тому же он подсказал, что мы всё ещё не используем React Compiler. Я попросил Claude выполнить первый проход решения самых простых и самых серьёзных проблем React, но…

Практически ничего не поменялось. Возможно, дело всё-таки не в React.

Итак, я закатал рукава и начал тщательное расследование.

В последнее время ФНС все активнее смещает фокус в сторону цифрового контроля за операциями бизнеса. Я отчетливо наблюдал зарождение этого тренда, еще работая внутри системы налоговых органов. Налоговый мониторинг и АУСН - яркие тому примеры: стартовав как экспериментальные пилотные проекты, они быстро масштабировались и стали одними из важнейших инструментов налогового контроля.

Именно такой формат электронного онлайн-взаимодействия то будущее, которое готовит нам ФНС. Техническую и правовую базу АУСН я уже разбирал в статье «АУСН: налоговый оазис или цифровой концлагерь для бизнеса?». А в этой статье разберу инфраструктуру налогового мониторинга. Что этот режим представляет собой на практике, и где чаще всего «ломается» интеграция.

Как писал в предыдущей части, мне пора ехать обратно в сторону Таджикистана.

Утром проснулся очень рано, только рассвело, а я уже загружал вещи на мотоцикл. Чтобы не терять время, я даже отказался ждать входящий в проживание завтрак и поспешно выехал в сторону афгано-таджикской границы.

Город Бамиан находится на высоте 2500 м, и мне предстояло медленно спускаться с гор на равнину. В планах было за световой день добраться до города Кундуз, с которого я начал своё путешествие по Афганистану. Хоть расстояние и кажется не большим, всего лишь 330 км, но 150 из них нужно было проехать по очень плохой дороге.

Прямо перед поворотом на нужную мне дорогу стоял очередной блок-пост, меня, как и всегда, остановили жестом, я достал документы и перекинулся парой слов на дари: я русский и, направляюсь в сторону Таджикистана. Они отговаривали меня ехать этой дорогой и предлагали путь по асфальту через Саланг, но я дал им понять, что знаю о её сложности и справлюсь.