Привет, Хабр! Иногда кажется, что если выдернуть кабель, то всё будет безопасно. Но в современном мире даже воздух может быть каналом атаки. Как же тогда правильно изолировать сеть? Разбираемся.

В статье мы разработаем свой собственный Google, который можно будет запустить в любой локальной сети как атакующим, что ищут пароли, так и защитникам, которым небезразлична безопасность их родной локалки. И что примечательно, наш Google будет состоять на 99% из готовых компонентов, практически без дополнительного программирования. А внедрение такой системы потребует ввода всего пары команд.

▍ Навигация по частям

• Часть 1 < — вы здесь.
• Часть 2
• Часть 3
• Часть 4
• Часть 5

Если вы зашли прочитать эту статью, есть высокая вероятность, что где‑то в вашем списке дел горит ярко‑красным «СРОЧНО». Вы, конечно, не горите желанием этим заниматься. Ну что ж, добро пожаловать в клуб прокрастинаторов, которые предпочитают посвятить время идеальной настройке камеры и выбору фона в Zoom, вместо того чтобы приступить к решению действительно значимой задачи!

- Интересное резюме упало. По скиллам парень нам, вроде, подходит. Работает в какой-то конторе, обслуживающей оборонку. Я позвонил ему. Он готов приехать на собеседование, но только через пару недель. Как я понял, он сейчас чуть ли не в Сирии. Посмотришь резюме?

Это я примерно пару месяцев назад столкнулся в коридоре с нашим директором по персоналу (которого буду здесь звать Колей). Мы с ним сейчас нанимаем людей ко мне в команду. Коля явно горел энтузиазмом по поводу этого кандидата. Так что и я заинтересовался:

- Конечно, посмотрю. Скидывай.

Розовый хеш — это как розовый слон, только хеш.

Как превратить ваш обычный скучный хеш в голого эндокринолога, которого уже не забыть! А так же, как сделать свой собственный менеджер паролей, не доверяя пароли никаким внешним сервисам.

В данной статье мы с вами затронем анализ сетевых принтеров/МФУ в компании. Каждый из Вас наверное замечал, что данные устройства стоят почти в каждом кабинете и этаже (последнее более опасно, так как доступ к данным устройствам может получить любой человек: сотрудник компании, внешний гость или подрядная организация).

Многие компании не выполняют необходимые мероприятия по предварительной донастройке данных устройств, а данные хосты могуть уязвимым звеном в периметре информационной системы.

Как известно, в России почти каждая первая финансовая организация позиционирует себя как софтверную IT‑компанию, а не просто как «банк» или «платежная система». Сегодня речь пойдет о ЮМани — подразделении Сбера, IT‑гиганта всея руси.

До того, как ЮМани стал тем, чем он сейчас является, сервис долгое время существовал как продукт Яндекса под названием Яндекс.Деньги — в те времена у меня был очень приятный опыт взаимодействия с техническим руководством компании, я неоднократно (будучи security researcher'ом) сообщал им об уязвимостях, а они, в свою очередь, оперативно это исправляли, давали обратную связь и вознаграждали за такую работу, аналогично тому, как это делали и зарубежные крупные IT‑компании в рамках взаимодействия с white‑hat хакерами. Такая вот IT‑компания здорового человека. Но с тем, как Сбербанк поглотил Яндекс.Деньги и провёл ребрендинг, проект стал превращаться, скорее, в IT‑компанию курильщика: взаимодействовать с представителями проекта в соц. сетях стало практически невозможно, какие‑либо данные на страницах о Bug Bounty программах были удалены и даже ни одного email‑адреса не оставили в качестве средства связи для сообщения об уязвимостях.

Пару месяцев назад я обнаружил уязвимость в сервисе ЮМани (о ней чуть позже) и сразу же решил сообщить о ней. Однако никаких релевантных этому форм связи, email‑адресов и т. д. я не обнаружил — способов безопасно сообщить о такой уязвимости элементарно не было на официальном сайте сервиса. Я попытался связаться с людьми, работающими в ЮМани, однако, опять же, я не получил никакой обратной связи. На этом моменте я, что называется, «забил», в надежде, что ошибку исправят и без меня, ведь не может же такая дырень оставаться незамеченной долго, правда? Спойлер: может.

Я хочу, чтобы посетители моего сайта наслаждались им, так что я забочусь об accessibility и проверяю, что даже без JavaScript тут есть, на что смотреть. Я забочусь о том, насколько быстро грузятся страницы, ведь на некоторых из них есть большие иллюстрации, поэтому я минифицирую HTML.

Вот только есть один нюанс, который ставит мне палки в колёса и не даёт сделать блог лёгким как пёрышко.

Удалённый доступ может быть как очень опасной программной функцией, так и очень полезной - всё зависит от контекста, намерений, задач и целей с которыми подобные программы будут применяться. Такая же ситуация с анонимностью и анонимными коммуникациями в общем. Они могут как скрывать злонамеренную активность, так и скрывать законную активность от посторонних, которым её выявление может быть выгодно как по финансовым, так и по политическим причинам. Вследствие этого, технология остаётся нейтральной, ровно, как и любая полезная, и в это же самое время потенциально опасная вещь.

Недавно я реализовал очень необычную задумку — демонстрацию Minecraft-подобного движка с игровой логикой, выполняющейся полностью на GPU.

Как и зачем я это сделал, и как дошёл до жизни такой, я поведаю в этой статье.

Внимание, в статье есть много скриншотов!

Меня зовут Слава Усов. В 20 лет я уехал в экспедицию в Антарктиду и с тех пор пожил и поработал практически на всех континентах. От ученого до операционного менеджера в Африке и на Ближнем Востоке. Очень разный опыт. Самоорганизацией я увлекся лет восемь назад — триста писем в день, пару сотен сотрудников, мне было на чем практиковаться.

Зачем создавать паровой мотоцикл?

Весь мир сейчас пытается продвигать технику в будущее. Ищут всё более экономичные, мощные и удобные двигатели. Мне же наоборот, захотелось заглянуть в прошлое и оживить забытые технологии. Посмотреть, как оно было и вообще начиналось. Окунуться в эпоху индустриального взрыва. И создать настоящую паровую машину.  Техника прошлого очень сильно отличается от всего что мы сейчас себе представляем. Это ощущение и понимание трудно передать, но я постараюсь.

В июле прошлого года я сделал публикацию о принципиальной возможности достижения человеком бессмертия. Теперь попробую описать, как это можно было бы реализовать практически. И хотя изложенное ниже в какой-то части может показаться сценарием фантастического фильма ужасов, но я уверен, что если человечество когда-нибудь реально озаботится обретением физического бессмертия, то иной вариант оно вряд ли придумает.

(Если вам проще смотреть видео, чем читать публикацию, то видео по этой публикации здесь)

Доброго дня всем читателям Хабра.

В апреле со мной случилась весьма интересная история, которой я хотел бы с вами поделиться. 

На одну неделю из проджекта Яндекса я превратился в преподавателя трека «Интернет Вещей». И не где-нибудь, а в научно-технологическом университете Сириус (тот, что недалеко от Сочи). Это был потрясающий опыт, и я обязательно хочу про него рассказать.

Заметка написана с целью рассказать о переходе от macOS к Fedora Asahi Remix, встреченных проблемах, попытке их решения и умозаключениях, а не ради холивара в поисках идеальной ОС. Тем более, спорить тут не о чем. Есть плюсы, минусы, предпочтения и обстоятельства, остальное от лукавого.

И можно ли верить, что данные клиентов OpenAI отправленные через API, не используются для обучения моделей?

На днях наши знакомые ребята спросили бота на GPT-3,5 Turbo о том, кто его создал. Ответ был: «Я был создан командой Just AI». То есть нами. Хотелось ответить, что команда Just AI тайно правит миром и стоит за большими языковыми моделями. На самом деле мы очень удивились и решили разобраться, как так получилось. В этой статье расскажем о нашем мини‑расследовании и гипотезах, попутно рассказав и об инструментах, которые мы для этого использовали.