Знаете ли вы, что более 90% строительных проектов выходят за рамки бюджета, а 89% подрядчиков регулярно сдают проекты с задержкой? При этом каждая стройка генерирует терабайты данных, которые чаще всего остаются необработанными, хотя имеют большой потенциал для оптимизации. Неудивительно, что индустрия активно ищет способы повышения эффективности процессов, и машинное обучение становится одним из ключевых инструментов.

От автоматической генерации строительных графиков до роботов-каменщиков с миллиметровой точностью укладки — ML-технологии уже трансформируют отрасль. Системы компьютерного зрения отслеживают безопасность на площадках, алгоритмы предсказывают задержки проектов, а генеративный дизайн оптимизирует архитектурные решения.

В статье покажем на реальных примерах, как работают современные решения ML в строительстве и какие результаты они дают.

Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google.

В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.

При обсуждении взлома оборудования не стоит забывать о старой, но по-прежнему распространенной технологии передачи данных — инфракрасных сигналах. Они до сих пор используются в наших домах, офисах и даже на производстве.

Этот способ связи имеет свои недостатки: ограниченную дальность, чувствительность к внешнему освещению, невысокую скорость передачи данных, а также уязвимость к перехвату и атакам, включая повторное воспроизведение сигналов. С другой стороны, он дешев в производстве и прост в применении, а еще он обеспечивает долгую работу пультов управления от батареек, ведь потребляет электричество только во время работы. 

В статье поговорим о реверс-инжиниринге и аппаратном хакинге протоколов дистанционного ИК-управления: от подготовки необходимого оборудования до перехвата и декодирования сигналов. Взломаем пульт от телевизора Samsung и поделимся библиотекой ИК-сигналов, которая позволит вам с легкостью декодировать передачи для других устройств — например, камина Electrolux и кондиционера Funai. 

В этой статье я поделюсь практическим опытом оптимизации производительности и защищенности систем резервного копирования (СРК). Многие наши клиенты задумываются о том, как построить архитектуру корпоративных бэкапов и при этом оптимизировать затраты. Мы рассмотрим архитектурные особенности системы, поговорим о тонкостях настройки дедупликации, обсудим безопасность резервных копий и проанализируем актуальные решения на российском рынке. Материал основан на реальном опыте внедрений и будет полезен как техническим специалистам, так и руководителям ИТ-подразделений.

Особое внимание уделим балансу между производительностью, надежностью и стоимостью владения — трем китам, на которых держится эффективная система резервного копирования. Разберем типичные ошибки, с которыми мы сталкиваемся при проектировании систем, и покажем, как их избежать.

Стеганография — древнее искусство сокрытия информации, которое обрело новую жизнь в цифровую эпоху. В отличие от криптографии, где мы шифруем содержимое сообщения, стеганография прячет сам факт существования секретной информации.

Представьте: вы отправляете безобидную фотографию в социальной сети, но внутри нее скрыто сообщение, которое увидит только нужный человек. Или пересылаете документ, содержащий невидимую цифровую подпись для подтверждения авторства. Все это — примеры современной стеганографии.

Сегодня этот метод используется как в легальных целях (защита авторских прав, цифровые водяные знаки), так и злоумышленниками для обхода защитных систем. Поэтому специалистам по информационной безопасности критически важно понимать принципы работы стеганографических систем и методы их анализа.

В этой статье мы разберем основы стеганографии, проанализируем возможные атаки на стегосистемы и способы защиты от них.

Привет, Хабр! Сегодня поговорим о фишинге, но не о том, который используют злоумышленники, а о его «белой», легальной версии — учебных фишинговых рассылках. Как специалист по информационной безопасности, я часто сталкиваюсь с вопросом: «А нужно ли нам это?». Давайте разберемся, с какими подводными камнями можно столкнуться во время таких тестов и почему простая рассылка писем — это только верхушка айсберга.

В этой статье мы погрузимся в мир корпоративной кибербезопасности, рассмотрим реальные кейсы из практики и обсудим, как правильно подойти к организации учебного фишинга. Поговорим о технических нюансах, юридических аспектах и психологических приемах.

Готовы узнать из первых уст, как работают белые хакеры? Тогда поехали!

Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах под монотонное жужжание серверов, то спешу вас разочаровать. Это скорее детективный сериал, где вместо отпечатков пальцев — логи, а место преступления — запутанная паутина корпоративной сети. И да, наш главный герой тоже любит эффектно снимать солнцезащитные очки, только вместо фразы «Похоже, у нас убийство» он говорит: «Кажется, у нас компрометация Exchange».

В этой статье мы погрузимся в увлекательный мир расследования инцидентов, где каждый день — новая головоломка, а злоумышленники иногда оказываются более изобретательными, чем создатели CTF-заданий. Разберем ключевые аспекты этой непростой, но захватывающей работы: обсудим типичные сценарии атак, вспомним пару интересных историй из практики и ответим на вопрос о том, стоит ли компаниям идти на переговоры с хакерами.

После ухода западных вендоров в 2022 году российские компании столкнулись с необходимостью массовой миграции с Oracle и MS SQL на PostgreSQL и другие открытые СУБД. Теперь к вопросам миграции приходится относиться ответственнее: самостоятельно оценивать риски и прогнозировать работу систем после переезда.

Как перфоманс-инженер, я часто сталкиваюсь с вопросами типа: справится ли PostgreSQL с текущей нагрузкой? Потребуется ли обновление железа? Какие проблемы могут возникнуть после перехода? К сожалению, готовых инструментов для оценки производительности СУБД на рынке фактически нет. Это заставило нас разработать собственную методологию тестирования, которая позволяет выявить потенциальные проблемы и точно оценить необходимые ресурсы.

В этой статье я поделюсь практическим опытом нагрузочного тестирования баз данных и расскажу об инструментах, которые мы используем для анализа производительности. Наш подход не требует существенных затрат и может быть адаптирован под задачи любой компании, планирующей миграцию на PostgreSQL.

В этой статье я расскажу, как создать хакерское приложение, используя встроенный язык программирования Linux, и собрать базу данных участников западной «Национальной Киберлиги». Можно сказать, хакнем хакеров! ;)

Начнем со ссылки на отчет о соревнованиях Western National Cyber League, а закончим полноценным инструментом автоматизации. По пути рассмотрим основы работы с сURL, научимся обходить базовые ограничения веб-приложений и поработаем с PDF-документами из командной строки. 

Статья будет полезна специалистам по информационной безопасности и всем, кто интересуется автоматизацией процессов в Linux.

Первый месяц 2025 года задал высокую планку для развития ИИ. DeepSeek выпустила открытую модель уровня о-1, которая переполошила весь интернет и обрушила акции гигантов индустрии. Американские коллеги ответили настоящим шквалом релизов: OpenAI анонсировала сразу три значимых обновления, а NVIDIA презентовала новую линейку RTX и бюджетный суперкомпьютер для работы с ИИ-моделями.

Пока все отходили от новогодних праздников, индустрия ИИ продолжала развиваться с космической скоростью. Разбираем главные события января: новые модели, неожиданные исследования и амбициозные проекты.

По нашим данным, в 2024 году киберпреступники установили новый рекорд по атакам на российский бизнес: рост составил 20% по сравнению с предыдущим годом. Это максимальный показатель за всю историю наблюдений. Ситуация требует от руководства компаний пристального внимания к кибербезопасности, но как обстоят дела на самом деле?

Делимся статистикой, собранной по результатам тестирования кибербезопасности более 300 средних и крупных компаний по всей России. Под катом вы узнаете, какие ИБ-услуги оказались самыми востребованными в 2024 году, какие уязвимости встречались пентестерам чаще всего и как сегодня выглядит типичная атака на российскую организацию.

В этом дайджесте мы собрали 50 знаковых научных работ в области ИИ за последние годы. Подборка охватывает десять ключевых направлений разработки нейросетей: от промтинга и проектирования бенчмарков до файнтюнинга и компьютерного зрения. 

Материал будет полезен как для опытных ИИ-инженеров, которые хотят прокачать свои навыки разработки, так и тем, кто только начинает свое знакомство с нейросетями и находится в поисках точки входа в ту или иную тему.

Весной 2022 года наша команда столкнулась с нестандартной задачей: за две недели нужно было перенести всю ИТ-инфраструктуру крупного производственного предприятия из-под контроля иностранного менеджмента в российскую юрисдикцию. На кону стояла непрерывность работы завода: от заводских станков до систем учета и документооборота.

Меня зовут Константин Ким, я эксперт по сетевым технологиям ИТ-интегратора К2Тех. В этой статье я расскажу, как мы в условиях хаоса и начинающейся паники перенесли все критически важные системы заказчика в Россию и забрали управление всем оборудованием. Вы узнаете о технических особенностях миграции Active Directory, восстановлении доступа к сетевому оборудованию Cisco и Aruba, а также о психологической поддержке построении доверительных отношений с заказчиком в кризисной ситуации.

Мы готовились к разным сценариям развития событий — от идеального до наихудшего. Как все получилось на деле — читайте под катом. 

Один из самых «вкусных» моментов в работе пентестера — red-team тестирование, позволяющее ненадолго ощутить себя эдаким Джейсоном Борном от мира кибербезопасности. Подобно героям боевиков, мы постоянно проникаем на объекты разной степени защищенности: ломаем замки, обходим системы видеонаблюдения. Разве что не спускаемся в серверную на тросе с вертолета.

Поработав на таких проектах, начинаешь смотреть на любую дверь с перспективы потенциального нарушителя и выискивать уязвимости в каждой встречной СКУД. Поэтому первое, что бросилось нам в глаза, когда Бастион переехал в новый офис, — это биометрические терминалы, установленные на дверях нескольких особо важных кабинетов. Словом, пока сисадмины распаковывали сервера и ломали голову над тем, как расставить офисную технику по правилам фэн-шуя, мы решили провести небольшой внутренний пентест…

Финал года выдался богатым на события в сфере ИИ. OpenAI провели свой первый «адвент-календарь» с ежедневными релизами, каждый из которых заслуживает отдельного внимания. Параллельно технологические гиганты представили множество новинок: от квантовых чипов с рекордной производительностью до компактных, но мощных языковых моделей, способных конкурировать с признанными лидерами.

Мы собрали самые интересные новости, исследования и релизы декабря. Новые инструменты, важные научные работы и технические находки — в свежем выпуске нашего ИИ-дайджеста!

Среди ярких символов Средневековья — колдуны, ведьмы и алхимики, которые «заклинают и превращают в золото ртуть». Криптография в это время тоже шла рука об руку с магией: взять хотя бы шифры оккультистских сообществ.

Что же представляли из себя средневековые шифры? Являлись ли они простой «абракадаброй» или действительно содержали ключ к тайным знаниям? Сегодня на эти вопросы ответит Анастасия Ашаева, кандидат исторических наук, старший научный сотрудник московского Музея криптографии.

Сегодня расскажу, как мы полтора года строили систему мониторинга информационной безопасности для одного из крупнейших медиахолдингов России. Это будет история о долгом и масштабном проекте, по итогам которого наша команда прокачала навыки инжиниринга и кардинально пересмотрела подход по внедрению SIEM и развертыванию SOC.

Представьте себе организацию с десятками разнородных цифровых активов, где каждое подразделение автономно управляет своей IT-инфраструктурой, что осложняет контроль безопасности.

Мы взялись за сложнейшую задачу — создать систему мониторинга, которая сможет объединить разрозненные инфраструктуры в единую управляемую экосистему. И как вы уже понимаете, решениями со Stack Overflow в данном случае не обойтись.

DevSecOps — это не просто модное словечко, а целая философия, объединяющая разработку, безопасность и операции. Но как применить эту философию на практике? Здесь на помощь приходят международные стандарты.

В этой статье мы рассмотрим пять основных международных DevSecOps-стандартов: DSOMM, BSIMM, OWASP SAMM, Microsoft SDL и NIST SP 800-64. Мы разберем их особенности, сильные и слабые стороны, а также поговорим о том, как адаптировать эти стандарты к российским реалиям.

Неважно, работаете ли вы в крупной корпорации или небольшом стартапе, — понимание этих стандартов поможет вам выстроить более безопасный и эффективный процесс разработки. 

На конференции OFFZONE 2024, которая прошла в Москве в культурном центре ЗИЛ 22–23 августа, выступил наш сотрудник Семён Рогачёв, руководитель отдела реагирования на инциденты. Он рассказал, какие инструменты сегодня чаще всего используются в кибератаках на российскую Linux- и Windows-инфраструктуру, и объяснил, как эффективно отлавливать и отражать подобные атаки.

Мы написали текст по мотивам этого доклада, обогатив его данными за конец 2024 года. Статья будет полезна для тех, кто занимается пентестами и реагированием на инциденты.