Kurgan-Telecom Ru | Информационные технологии

CAPTCHA-протоколы призваны отличать ботов от людей, однако в мире автоматизации и тестирования часто возникает необходимость эти капчи обходить. Существуют специальные сервисы распознавания капчи, которые берут на себя решение этих задач с помощью сочетания алгоритмов и человеческого труда. В этой статье мы проведем подробное сравнение четырех популярных сервисов: 2Captcha, SolveCaptcha, DeathByCaptcha и AntiCaptcha. Мы рассмотрим не только цены и виды поддерживаемых капч, но и архитектуру работы, API-интеграции, скорость и стабильность, а также особенности использования каждого сервиса.

Опытному техническому сообществу будет интересен глубокий анализ - от устройства API и SDK до реальных сценариев применения. Ниже вы найдете таблицу сравнения ключевых характеристик этих решений, списки их преимуществ и недостатков, а также разбор, какой сервис лучше подходит под те или иные задачи автоматизации.

Крупные языковые модели (LLM) меняют представление автоматизации, вычислений и AI-управляемого анализа. Хотя их способности выполнять код, обрабатывать документы и выходить в интернет представляют собой важные достижения, они же открывают новый класс уязвимостей. Это вторая часть серии о критических уязвимостях AI-агентов.

В этой части мы исследуем системные риски, связанные с уязвимостями исполнения кода в агентах на базе LLM, выделяем ключевые векторы атак, риски безопасности и возможные меры смягчения.

Привет! Меня зовут Ксюша, я работаю бэкенд-разработчиком на C# в Контуре. В весеннем семестре я провела курс по функциональному программированию на Haskell для студентов 3 и 4 курса направления ФИИТ (фундаментальная информатика и информационные технологии) в УрФУ и хочу поделиться своим опытом организации и проведения курса.   

Данная статья содержит краткое описание метода связе-ориентированного моделирования и метода разработки само-описанных приложений, работающих на основе этих моделей. Те преимущества, которые дает этот метод позволяют предположить, что гиперсетевая структура мозга – когнитом – устроена подобно этой модели. На основе этого предположения показано, как компьютер может демонстрировать те способности, которые ранее приписывались исключительно мозгу. В частности, работать без заранее написанной программы, иметь сознание, свойства личности и свободу воли.

И мозг, и компьютер являются информационными системами, поскольку каждая из них выполняет функции приема, обработки, хранения и использования информации. Поэтому аналогия мозга и компьютера напрашивается сама собой несмотря на то, что физическое устройство их совершенно различно.

 Однако есть ряд обстоятельств, которые отличают мозг от компьютера в «лучшую» сторону. В лучшую в том смысле, что ряд возможностей мозга компьютер реализовать не может. И несмотря на то, что элементы, из которых устроен компьютер – полупроводниковые микросхемы – имеют несравненно большую скорость работы, чем нейроны головного мозга, а электронные каналы гораздо большую скорость передачи данных, чем нервные волокна, считается, что компьютер заведомо уступает мозгу по возможностям. Это выражается в сакраментальной фразе «Компьютер мыслить не может».

Рассмотрим главные аргументы, которые используются сторонниками этой точки зрения.

Многие до сих пор воспринимают IT-индустрию как пространство для молодых: стартапы, хакатоны, agile-команды и шумные open space. В голове автоматически возникает образ 20–30-летнего разработчика в худи. А если добавить, что речь о программировании на 1С, — так вообще большинство подумает о крепком мужчине предпенсионного возраста с двадцатью годами стажа в одной системе.

Но бывают исключения, которые ломают шаблоны. И об одном таком исключении я расскажу сегодня.

Продолжаю изучать различные UI/UX/CX кейсы в мобильных приложениях, веб-сайтах и в реальном мире. Дизайнерам и менеджерам по продукту, чтобы вдохновиться и добавить в заметки.

Под катом: Netflix, Duolingo, BBVA.

Хотите разобраться с таинственной полярной звездой или North Star Metric (NSM)? Покажу примеры NSM для организаций и разберу несколько реальных продуктовых кейсов. После прочтения этой статьи вопросов про NSM у вас больше не останется!

Привет, Хабр! Меня зовут Тигран Басеян и я — руковожу ИТ-saas продуктом, развиваю российскую методологию управления ИТ в организациях РИТМ, автор телеграм-канала Black Product Owner (Чёрный продакт), где рассказываю о продакстве, менеджменте и стартапах. В индустрии уже больше 15 лет. Руководил различными технологическими командами и продуктами, в том числе высоконагруженными.

Эта статья написана по мотивам воркшопа про North Star Metric или Полярную звезду: расскажу, зачем нужна эта метрика и как её правильно выстраивать. Разберём, как NSM связана с различными бизнес-моделями и какие у неё есть связи с деревом метрик и юнит-экономикой.

Точно и быстро искать секрет в коде — тривиальная задача, если знаешь конкретный формат секрета и осуществляешь поиск в своём проекте. Задача становится сложнее, если твой скоуп включает несколько проектов или один большой корпоративный монорепозиторий. И эта же задача становится вызовом, если область поиска — платформа для разработчиков, а формат твоего секрета — недетерминирован.

Меня зовут Денис Макрушин, и вместе с Андреем Кулешовым @akuleshov7и Алексеем Тройниковым @atroynikov в этом году мы сделали POC платформы для безопасной разработки в рамках команды SourceCraft. Сегодня поговорим о функциональности поиска секретов. Наша appsec‑платформа состоит из двух групп инструментов: анализаторы, которые требуют точной настройки, и слой управления, который отвечает за обработку результатов и интеграцию с инфраструктурой.

В этом материале пройдём стадию discovery для анализатора секретов: посмотрим на актуальные инструменты поиска секретов, их ограничения и определим направления для повышения трёх ключевых параметров Secret Sсanning: точность, полнота и скорость.

Всем привет! Долгое время считалось, что виртуальные продукты не способны сравниться по производительности с аппаратными аналогами. Особенно остро эта проблема проявляется в сегменте NGFW, где высокий трафик и глубокий анализ требуют значительных ресурсов. Но так ли это на самом деле? Действительно ли виртуальный межсетевой экран не способен обеспечить производительность в 5 Гбит/с и более, необходимую для современных корпоративных сетей и высоконагруженных систем?

Данная статья призвана ответить на этот вопрос. На примере PT NGFW мы не только продемонстрируем потенциал виртуальных межсетевых экранов, но и дадим практические рекомендации по настройке виртуальной инфраструктуры, а также подсветим важные нюансы, которые стоит учесть при использовании NGFW в виртуальной среде.

«Мы хотим заменить систему на новую, потому что в старой всё плохо» — именно такую фразу слышит очередной вендор при заключении контракта на замену или модернизацию системы. С одной стороны, это действительно так, но все же стоит дополнить эту фразу: «Мы хотим заменить систему на новую, потому что в старой хотим убрать недостатки и сохранить достоинства». Казалось бы, небольшая разница, но на практике это оборачивается провалами внедрения новых систем. Почему так происходит и что с этим можно сделать — рассмотрим в этой статье.

В этом гайде мы рассмотрим 2 способа как легко перенести данные в Persistent Volume из одного Kubernetes кластера в другой без сложных манипуляций и промежуточных скачиваний с помощью Tuna туннелей. Гайд подойдет для любых типов данных, это может быть Wordpress приложение или каталог с картинками, бэкапами, в общем что угодно.

Представьте: пользователь открывает совершенно легитимную программу — скажем, видеоплеер, корпоративный мессенджер или даже встроенный в Windows инструмент. Программа запускается, выполняет свои функции. Антивирус молчит. Мониторы пользователя не показывают ничего подозрительного. Но в этот самый момент, под прикрытием доверенного процесса, в памяти компьютера уже тихо работает вредоносный код, крадущий конфиденциальные данные или готовящий почву для атаки на сеть. Как он туда попал и почему не был обнаружен? 

Один из возможных вариантов — использование атакующими техники DLL-Hijacking (Mitre T1574.001). Я встречал мнение, что техника (а если быть точным, то это подтехника для T1574: Hijack Execution Flow) DLL Hijacking — баян десятилетней давности и не может считаться актуальной угрозой для корпоративных Windows-сред. Затрудняюсь определить причину такого мнения, потому что атаки с использованием DLL-библиотек явно не ушли в прошлое — их по-прежнему упоминают в уважаемых отчетах по кибербезу — к примеру, здесь (Mandiant M-Trends 2024, стр.50) и здесь (Лаборатория Касперского, «Азиатские APT-группировки: тактики, техники и процедуры»). 

Причин широкого распространения таких атак несколько. В первую очередь, это скрытность, так как вредоносное ПО выполняется в контексте легитимного процесса, обходя сигнатурные проверки антивирусов, а для обнаружения требуется EDR и навыки работы с ним. 

Во-вторых, простота, так как для успеха часто достаточно лишь правильно названного файла .dll, помещенного в «нужную» папку, куда пользователь или приложение его случайно положат или откуда запустят уязвимую программу. 

В-третьих, техника работает на всех актуальных версиях Windows, поскольку уязвимы не столько сами ОС, сколько миллионы приложений, полагающихся на стандартный (и небезопасный по умолчанию) механизм поиска библиотек.

Наконец, как мне думается, в последнее время из-за распространения нейросетей сильно упал входной порог компетенций для конструкторов вредоносов. Я не эксперт в разработке приложений, но подозреваю, что написать вредоносную dll-библиотеку с помощью ChatGPT значительно проще, чем без него. 

В этой статье мы: 

За 90 секунд освежим в памяти, что такое DLL, как работает, в чем фундаментальная уязвимость механизма загрузки. 

Осветим примеры атак с подменой DLL согласно их классификации.

Расскажем о защитных мерах для предотвращения атак этого типа.

Приведем рекомендации для SOC по обнаружению атаки (и объясним, почему цифровая подпись — не гарантия легитимности библиотеки). 

Итак, добро пожаловать под кат!

В современном интернет-маркетинге одна из самых острых проблем — это некачественный трафик, который создают боты и скликеры. Особенно сильно с этим сталкиваются рекламодатели, использующие контекстную рекламу: значительная часть бюджета уходит на оплату переходов, которые совершают не реальные люди, а автоматические программы или конкуренты.

В этой статье я расскажу, как можно самостоятельно настроить гибкую и прозрачную систему выявления и маркировки ботов на сайте, чтобы защитить рекламный бюджет и повысить эффективность онлайн-рекламы.

Имя Джеймса Мура знакомо каждому, кто занимается пентестами. Создатель легендарного Metasploit Framework, он прошел путь, далекий от классических историй успеха Кремниевой долины: у Мура нет докторской степени, многомиллионного стартапа или офиса в Калифорнии. Вместо этого — школьные эксперименты с реверс-инжинирингом по заказу ВВС США, разобранные компьютеры с помойки и ночи в подпольных IRC-чатах, где обсуждались взломы телефонных сетей и финансовых систем.

Как подросток, увлекающийся фрикингом и сборкой ПК из выброшенных деталей, превратился в одного из самых влиятельных людей в информационной безопасности? Что привело его к созданию Metasploit — инструмента, который изменил подход к пентесту? В этой статье — история HD Moore: от первых хакерских экспериментов до фреймворка, которым сегодня пользуются и киберпреступники, и спецслужбы.

Привет, Хабр!

Недавно у меня появилась мысль поделиться распространёнными HTML- и CSS-ошибками, которые я вижу у коллег. Только мне хотелось выглядеть убедительно, чтобы не было вкусовщины. И тут я сильно задумался.

На HTML и CSS очень сложно сделать критическую ошибку. Чтобы интерфейс не заработал. Но всё же я собрал список. Я постарался выделить только критические ошибки. Конечно, это субъективный список, поэтому не знаю, согласитесь ли вы с ним.

Давайте посмотрим, что я вам подготовил.

А что, если бы виртуалки вели себя как контейнеры — с миграциями, мониторингом, провижингом томов и GitOps? Мы во «Фланте» так и сделали: совместили Kubernetes с KubeVirt, там-сям допилили и получили решение, которое позволяет запускать виртуальные машины рядом с контейнерами и управляется как обычный кластер Kubernetes.

Привет, Хабр! Я — Олег Сапрыкин, технический директор по инфраструктуре компании «Флант». Сегодня я расскажу, как мы создавали виртуализацию в экосистеме Deckhouse от выбора инструмента для управления ВМ в 2023 году до полноценного продукта, готового к использованию в production весной 2025-го. Подробно опишу, с какими подводными камнями мы столкнулись в процессе эксплуатации и какие доработки потребовались.

Специалисты компании F6 раскрыли сеть доменов группировки NyashTeam, которая распространяет вредоносное ПО и предоставляет злоумышленникам хостинг-услуги. Клиенты группировки атаковали пользователей как минимум в 50 странах мира, в том числе в России. Сейчас более 110 доменов в зоне .ru, которые использовала группировка, уже заблокированы.

Я задумал соединить концепции антенн quados и omni quad. Вот такие заготовки соединить в крестовину и пролудить у основания что б закрепить вместе. Надо будет как то продумать балун что бы погасить лишние помехи. Со стандартными антеннами 7dBi в условиях города ловит около 70 м. Хочу добиться всенаправленного усиления до 12 dBi.

Привет, хаборовцы!

Привет, Хабр! Я Данила Катальшов, старший промпт-инженер в команде фундаментальных исследований MWS AI. Недавно вместе с коллегами из корейского университета KOREATECH мы опубликовали научную статью, в которой представили новый фреймворк для борьбы с такими грехами LLM, как галлюцинации, генерация токсичного контента и уязвимость к промпт‑атакам. Мы его назвали AVI — Aligned Validation Interface. По сути это внешний, гибкий и независимый от модели фильтр, работающий как умный файрвол для LLM. Почитать на научном языке о нашем подходе можно в журнале Applied Science. Здесь же я постараюсь чуть менее научно и уж точно покороче пересказать его суть. 

Заинтересовавшиеся – велком под кат.