Вайб-кодинг уязвимостей или как AI роняет безопасность
Писать код с LLM — очень легко, просто и весело. Не нужно мучаться с документацией, не нужно фиксить баги. Вообще ничего не нужно. Только инструкцию в чат написать. Раз-два — и всё готово. Заманчиво? Да. Но у всего есть цена — и про неё важно помнить. Сейчас разберём, как именно AI-агенты могут...
DevSecOps за 20 миллионов? Я сделал свой сканер и выложил бесплатно
Я раньше работал обычным безопасником. Кто-то называет таких «ИБшниками», кто-то — «параноиками», кто-то — «тем самым занудой, который мешает жить». Каждый день у меня был один и тот же диалог: • Тимлид: «У нас релиз в пятницу, отстань со своим сканированием». • Менеджер: «В бюджете только Jira и...
Кибербезопасность в эпоху квантовых компьютеров: что сломается и как мы будем это чинить
Представьте, что весь фундамент современной цифровой безопасности — это могучий замок. Его секрет не в сложности механизма, а в том, что на подбор ключа уйдут тысячи лет. Теперь представьте, что у кого-то появилась машина, способная перебрать все ключи за минуты. Это не апокалиптика — это квантовые...
[Перевод] Механизм запуска процесса в Linux
В этой статье я расскажу о том, что происходит внутри ядра Linux, когда процесс вызывает execve(), как ядро подготавливает стек и как затем передаёт управление пользовательскому процессу для выполнения. Изучил я этот механизм, когда разрабатывал Zapper — инструмент Linux, удаляющий все параметры...
От многопоточности в ОС до «простукивания портов»: избранные материалы у нас на DIY-площадке
Мы в Beeline Cloud развиваем площадку для обмена опытом между ИТ-специалистами — «вАЙТИ». Делимся техническими материалами, которые могут быть полезны хабражителям: как перекинуть два терабайта данных между дата-центрами за шесть часов, как перевести почту на локальный сервер Postfix, а также —...
Что делать, если ваш слон думает, что он баг?
Мы окунулись в веб-разработку и нашли там необычное животное. Это был слон с повадками бага. Мы изучили код проекта PHP и поняли, в чём дело. Давайте вместе посмотрим на необычные случаи, которые могут привести к неожиданным результатам. Читать далее...
Ошибки Java по ГОСТу: обзор и примеры
Ошибки в Java по ГОСТу? Да, в этой статье мы вам расскажем, что это за ГОСТ, какие категории ошибок в нём существуют, какие из них относятся к Java, и даже покажем примеры из реальных проектов. Читать далее...
Шифрование скриптов
Часто при передаче продукта заказчику, в виде готовой программы или некоторого аппаратного продукта, необходимо также защитить интеллектуальную собственность в виде исходных текстов программ и скриптов. Компилируемые языки хоть как-то защищаются, соответственно, с помощью компиляции, хотя и это не...
Гранулярное погружение в атаки на кэш в ARMv8. Разбираем типы атак и митигации
Привет! Без лишнего: в статье расскажу про атаки на кэш-память в процессорах семейства ARMv8. Подробно изучил их для совершенствования безопасности KasperskyOS: познакомлю с теорией и практикой, механизмами работы и способами митигации. Также кратко расскажу, как мы тестировали каждый способ атаки...
Роль стандартизации программного обеспечения в эффективном обслуживании АСУ ТП
В эпоху цифровизации промышленности всё больше компаний понимают: стандартизация программного обеспечения — это не просто формальность, а мощный инструмент для управления рисками, сокращения затрат и повышения стабильности работы производства. Сегодня автоматизированные системы управления...
Фильтрация предупреждений PVS-Studio, выявляющих критические ошибки (согласно классификации ГОСТ Р 71207-2024)
ГОСТ Р 71207-2024 "Статический анализ кода" выделят класс дефектов в коде, называемых критическими ошибками. При разработке безопасного программного обеспечения (РБПО) такие дефекты должны в обязательном порядке выявляться и исправляться в приоритетном режиме. Статический анализатор PVS-Studio...
SmartCaptcha Yandex на iOS: инструкция по внедрению
Привет! Меня зовут Александр, я iOS-разработчик в IT-компании SimbirSoft. В этой статье я расскажу, как интегрировать Yandex SmartCaptcha в iOS-приложение — от подготовки до решения возможных трудностей. Настройка Yandex SmartCaptcha на первый взгляд может показаться простой задачей, но на практике...
Путешествие туда и обратно за безопасным ELF-парсером
Жил-был в норе под землей… разработчик группы разработки защитных решений безопасной платформы. Привет! Я Максим Жуков, занимаюсь безопасностью различных аспектов KasperskyOS. Расскажу про один из них, ELF-парсер. Эта история не про то, как мы в «Лаборатории Касперского» сделали парсер с нуля. А...
Как один разработчик предотвратил крупнейшую кибератаку: история взлома XZ Utils
Прошел ровно год с момента, когда мир с открытым ртом следил за расследованием одного из самых изощрённых бэкдоров в истории Linux. История с библиотекой xz Utils напоминала триллер: внедрение под реальным именем, доверие сообщества, закладки в коде — и случайное обнаружение в самый обычный рабочий...
Миф о доказательном программировании без ошибок
Много копий сломано в обсуждениях, какой язык программирования самый лучший с точки зрения корректности и безопасности (под термином "корректность и безопасность" имеется ввиду отсутствие различных ошибок в программе, которые проявляют себя на стадии её выполнения и приводят к выдачей некорректного...
Как я превратил старый смартфон в игровую консоль с возможностью звонить
Осторожно: эта статья точно будет хабратортной, ведь в ней мы смоделируем, спроектируем и запрограммируем своё видение N-Gage 2! Я очень старался сделать статью интересной даже для тех читателей, кто не разбирается в теме 3D-печати и программирования микроконтроллеров :) Я очень люблю ретро-игры и...
Реализация шифра «Кузнечик» на языке RUST
Привет! Сегодня мы рассмотрим, заключительный в цикле материалов, Российский шифр "Кузнечик". "Кузнечик" — это современный стандарт шифрования в России и за рубежом. Опубликован был в 19 июня 2015 года. В наступающем 2025 году будем отмечать его юбилей. Читать далее...
[Перевод] PyMyFlySpy: отслеживание полёта по бортовым данным
«Где мы, папа», — спросил меня 5-летний сын. «Мы приземлимся примерно через час», — ответил я. «Да нет, я имею в виду, где мы? Мы ещё не пролетаем Италию?» Точно ответить я не мог. Это был недолгий перелёт по низкому тарифу без удобств в виде встроенных в подголовники кресел экранов. Тогда я...