Не суди по обложке: игровой ноутбук с неочевидными плюшками
«Прежде всего, я архитектор по направлению серверов и СХД. Но так как я длительное время работал в дистрибьюторе Dell и знаю практически всю линейку оборудования (включая ноутбуки, моноблоки, ПК, рабочие станции и мониторы), то помогаю и с этим сегментом». Михаил Зарубин, технический эксперт...
Универсальный дирижер проекта: что стало с ролью Solution Architect и как она меняет IT
Привет, Хабр! Меня зовут Роман Логинов, и я — Solution Architect Team Lead в «Лаборатории Касперского». Этот пост — отражение моего опыта и погружение в тонкости работы Solution Architect. На мой взгляд, эта роль реально развивает людей и меняет индустрию, заставляя специалиста по-новому смотреть...
Как заразить видео. Поиск уязвимостей в декодерах H.264
Современные стандарты сжатия видео — настоящее чудо скрытой сложности и результат десятилетий научной работы. Спецификация H.264 — это около 800 страниц правил, определяющих, как декодировать видео. Но чем больше сложности, тем выше риски для безопасности, легче пропустить ошибку в битовом потоке,...
Рик, Морти и CTF
Всем здравствуйте! В данной статье будем разбираться с машинкой Pickle Rick с сайта Try Hack Me. В ходе решения разберем достаточно популярные и часто используемые инструменты, которые точно пригодятся начинающему CTFеру, пентестеру и просто интересующемуся безопасностью. На повестке у нас nmap для...
Программирование для Palm OS: ставим CodeWarrior и оживляем ТСД
Приветствую всех! Немало ушедших в историю платформ успели мы повидать. И столько же ещё будет у нас впереди. Но сейчас поговорим не о чём-то реликтовом и экзотическом, а о КПК, что наверняка успели застать многие пользователи данного ресурса. Эти девайсы имели массу поклонников, не удивлюсь, если...
Анализ файлов на сети без смс и регистрации
Всем привет! Мы продолжаем развивать OpenSource NTA для безопасника и в этой статье расскажем о том, как прикрутить к Arkime статический анализ файлов, получаемых из трафика Читать далее...
Виртуальный 100-дюймовый экран вместо реального: на что способен ноутбук без дисплея за $2000
За прошедшие несколько десятков лет ноутбуков было выпущено великое множество, включая самые необычные модели. Модели с несколькими экранами, устройства без физической клавиатуры, но зато с экраном, который может служить как клавиатурой, так и дисплеем. Сейчас появилась, наверное, самая необычная...
Атаки на чат-ботов и языковые модели. И как от них защититься
Всем привет! Я – Артем Семенов, занимаюсь тестированием на проникновение и работаю в RTM Group. В этой статье я расскажу об атаках на чат-боты и языковые модели, а также о том, как от них защититься. Чат-боты сегодня буквально повсюду. Наверняка даже ваша бабушка нет-нет, да и вставит в разговор...
Можно ли решить проблему prompt injection?
Недавно я участвовал в вебинаре, посвящённом атаке prompt injection («инъецирование промта»). Вебинар организовала LangChain, в нём участвовали Виллем Пиенаар, Кодзин Осиба (Robust Intelligence), Джонатан Коэн и Кристофер Парисьен (Nvidia Research), а проводил его Харрисон Чейз. Полную часовую...
[Перевод] Brave запускает «забывчивый браузинг» для приватности по умолчанию
Это двадцать пятый пост из нашей серии о новых защитах приватности и конфиденциальности в браузере Brave. Рассказываем о новой технологии забывчивого браузинга, которая полечит нежелательную повторную идентификацию пользователей лучше, чем режим инкогнито и удаление кук при закрытии браузера....
[Перевод] У нас была возможность удалить любой пост с LinkedIn
Мы столкнулись на LinkedIn с проблемой безопасности, которая позволяла удалить любой пост с профиля частного лица или компании. Обнаружив эту уязвимость, мы немедленно сообщили в отдел безопасности компании, что в защите есть брешь, через программу Bug Bounty. Воспользовавшись этим багом,...
Крошечная копия iPhone 6 за 150 рублей — можно ли пользоваться смартфоном на Android, размером с ладошку?
В наше время, немногие производители смартфонов решаются кардинально экспериментировать с форм-фактором устройств: на слух приходит лишь Xiaomi с кнопочными смартфонами Qin, UniHertz со своим QWERTY-смартфоном Titan и некая компания Soyes из Китая, модельный ряд которой состоит исключительно из...
Исследование мобильных устройств в условиях санкций – что принципиально изменилось?
Всем привет! Я - Федор Музалевский, занимаюсь судебной экспертизой в RTM Group. В частности, достаю из смартфонов разную информацию. С приходом санкций это могло стать гораздо сложнее. Так ли это (спойлер – нет)? Разберемся ниже. Введение санкций в отношении России и уход многих иностранных...
Вентиляция в жилых многоквартирных домах
Блеск и нищета современных высотных жилых зданий. Жизнь в современном мегаполисе подчиняется не только объективным факторам, но и в значительной степени субъективным веяньям моды. К веяньям моды относится и строительство высотных жилых зданий. В высотках многие технические вопросы обеспечения...
3X-UI: Shadowsocks-2022 & XRay (XTLS) сервер с простым и приятным интерфейсом
В серии предыдущих статей я описывал, почему повсеместно используемые VPN- и прокси-протоколы такие как OpenVPN и L2TP очень уязвимы к выявлению и могут быть легко заблокированы цензорами при желании, обозревал существующие гораздо более надежные протоколы обхода блокировок, клиенты для них, а...
А у вас в окнах дырки! Пентесты Windows-приложений: кейсы, инструменты и рекомендации
Привет, Хабр! Меня зовут Василий Буров, я — Senior Testing Engineer в департаменте Security Services «Лаборатории Касперского» и в общей сложности более 20 лет тестирую программное обеспечение. В том числе занимаюсь анализом защищенности информационных систем, то есть тестированием на...
Топ самых интересных CVE за апрель 2023 года
Внимание! Вся представленная информация предназначена для ознакомления. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации. Ниже представлена подборка самых интересных уязвимостей за апрель 2023 года! Читать далее...
(Не)безопасная разработка, часть 2: заимствование метаданных популярных пакетов для подделки рейтинга Python-проектов
Недавно мы опубликовали статью о выявлении вредоносных пакетов в Python Package Index и с тех пор активно используем разработанный нами сервис для анализа проектов. Сегодня хотим поделиться с вами интересным наблюдением, связанным с накруткой репутационной статистики в проектах. Как нечаянно...