Всем привет!
Меня зовут Глеб Санин, аналитик данных R&D-лаборатории Центра технологий кибербезопасности ГК «Солар». В этой статье я попробовал разобраться, поможет ли ИИ в решении заданий на CTF-турнирах и с какими ограничениями можно столкнуться в моменте.

О будущем использовании ИИ в CTF, как улучшить взаимодействие человека и «машины» и об этике использования ChatGPT подискутируем в комментариях.

Самое мясо китайского веб-дизайна, или Как не стать лосем в Поднебесной. Путеводитель по провинциям визуального хаоса.

Хочу начать с личной предыстории. Давным‑давно, как и многие из вас, я читал умные книжки: «Чистый код» и «Чистая архитектура» Роберта Мартина, «Совершенный код» Стива Макконнелла и другие.

Также не обошли меня и классические принципы проектирования — SOLID, KISS, DRY — и, думаю, каждый читатель добавит сюда свои.

Безусловно, это всё важные и фундаментальные вещи.

Но однажды на горизонте появилось DDD — предметно‑ориентированное проектирование в изложении Эрика Эванса. Именно его «синяя книга» стала культовой и задала язык для архитектурного мышления.

Позже я открыл и «красную книгу» Вона Вернона, где DDD уже рассматривался с точки зрения практической имплементации: архитектура, код, реальные подходы в проектах.

Читая Эванса, рассматривая его диаграммы классов и примеры кода, я всё думал: как он это делает?

Самым большим открытием для меня стало то, что книга DDD хоть и показывает стратегические и тактические приёмы — агрегаты, объекты‑значения, спецификации, фабрики и т. д. — но не учит проектировать саму предметную область.

Складывалось ощущение, что мы это уже откуда‑то должны были знать. А откуда — остаётся загадкой.

Есть у меня страсть к коллекционированию и ремонту интересных смартфонов прошлых лет. Недавно подписчик подарил мне весьма диковинный и необычный гаджет 2011 года: бюджетный QWERTY-смартфон Samsung Galaxy Y Pro с чипсетом от Broadcom. Помимо самого факта того, что смартфон обладал QWERTY-клавиатурой, меня также заинтересовало его кровное братство с Raspberry Pi первого поколения. Но вот незадача, смартфон не включался и просто висел на логотипе. Если вам интересен необычный кейс ‭«отвала‭» eMMC и переноса Android на MicroSD-флэшку — жду вас под катом!

23 марта прошла очередная годовщина сведения с орбиты космической станции «Мир», и по этому поводу я решил вспомнить о последней пилотируемой экспедиции, которую отправили к станции. А точнее - о контексте той экспедиции.

Экипаж основной экспедиции №28 (или ЭО-28) в составе Сергея Залётина и Александра Калери стартовал к орбитальному комплексу «Мир» на корабле Союз ТМ-30 4 апреля 2000 года, но подготовка к этому полёту началась ещё за несколько лет, а в какой-то момент казалось, что его не будет и вовсе. Но обо всё по порядку.

tl;dr: Продолжение разборов состязательных атак на генеративные модели. Разбор семантических атаках (подбор синонимов, построение фраз, эзопов язык), и использование для этого другой LLM модели.

Часть 1: Яндекс.Разврат или анти-этичный ИИ

Jenkins — это open-source сервер автоматизации, используемый для непрерывной интеграции (CI) и непрерывной доставки (CD), написанный на Java. Jenkins автоматизирует задачи, такие как сборка, тестирование и развертывание в процессе разработки ПО. Эта автоматизация ускоряет циклы разработки, повышает качество кода и упрощает релизы. Ключевые возможности —  CI/CD, автоматизированное тестирование, интеграция с системами контроля версий, расширяемость за счет плагинов и мощный мониторинг и отчётность.

Содержание

- Подготовка лаборатории  

- Установка  

- Конфигурация  

- Перебор  

- Эксплуатация с помощью Metasploit Framework  

- Ручная эксплуатация (Reverse Shell)  

- Выполнение команд напрямую  

- Заключение  

Подготовка лаборатории

В этой статье мы настроим сервер Jenkins на машине с Ubuntu и получим удаленное выполнение кода. Воспользуемся следующими устройствами:

Целевая машина: Ubuntu (192.168.1.4)  

Машина атакующего: Kali Linux (192.168.1.7)

В мире, где цифровые технологии пронизывают все аспекты жизни, безопасность разработки становится не просто важной, а критически необходимой. Однако с ростом сложности IT-решений и ускорением темпов обновлений обеспечить безупречную защиту данных и пользовательского опыта становится всё труднее. В таких условиях компании всё чаще обращаются к сообществу, запуская программы багхантинга — поиска уязвимостей силами внешних специалистов за вознаграждение.

Мы решили узнать, как российское IT-сообщество воспринимает багхантинг, и провели опрос среди читателей Хабра. Более 300 человек прошли тест до конца, около 1000 ответили на часть вопросов, что позволило нам составить портрет современного багхантера. Спасибо всем участникам! А теперь давайте разберёмся, что же удалось выяснить. В конце каждого раздела дадим галерею с итогами опроса, чтобы вы могли посмотреть на полное распределение процентов по ответам.

Представьте, что вы — гид в огромном городе под названием «Базы Данных». Ваша задача — помочь Java-приложениям найти нужную информацию, обновить данные или создать новые таблицы. Но как «разговаривать» с разными СУБД, если у каждой свой язык? Здесь на помощь приходит JDBC — универсальный переводчик, который знает все диалекты.  

Когда новичок пытается построить свою первую вопросно-ответную LLM систему, он быстро узнаёт, что базовый RAG - это для малышей и его нужно "прокачивать" модными техниками: Hybrid Search, Parent Document Retrieval, Reranking и десятки других непонятных терминов.
Глаза разбегаются, наступает паралич выбора, ладошки потеют.

А что, если попробовать их все?
Я решил потратить на подготовку к соревнованию 200+ часов и собственноручно проверить каждую из этих методик.
Получилось настолько удачно, что я выиграл конкурс во всех номинациях.

Теперь рассказываю, какие техники оказались полезными, а какие нет, и как повторить мой результат.

Всю свою сознательную жизнь я жил в Москве. Теперь я живу в испанской деревне в своем доме, сижу в баре с русскими айтишниками, выращиваю апельсины и закатываю оливки. А с вами в статье поделюсь, как в Испании купить жилье, сколько стоит тут жизнь, почему арендовать машину выгоднее, чем покупать и как заставить электроснабжающую компанию работать на вас.

В этой статье предполагается, что вы знаете, что такое неопределённое поведение, и почему его не следует провоцировать, в самом общем виде знаете, как работают процессоры, а также умеете принимать во внимание конкретный контекст, не злоупотребляя излишним обобщением частностей. Эти убеждения можно считать заблуждениями, так как они не применяются глобально, а не потому, что обратное от них действует глобально. Если вы не уверены в себе, то, возможно, от прочтения этого текста вы больше проиграете, тем самым подпортив себе навыки программной инженерии. Поэтому ничего страшного, если вы не будете знакомиться с постом, а просто почитаете комментарии на Reddit — там уже написали, что может пойти не так, если вы, несмотря ни на что, углубитесь в этот материал.

Привет! Я Кирилл Пронин, разработчик PIX RPA из PIX Robotics. А еще я семь лет преподавал основы программирования детям в частных технопарках в рамках дополнительного профессионального образования, а также студентам колледжей и вузов. Чтобы завлечь детей (и упростить работу себе — но об этом чуть позже) я стал внедрять программных роботов в процесс обучения. И понял, что RPA — отличная платформа для старта в разработке. Любой. Но обо всем по порядку. Здесь я расскажу, как продукт по написанию программных роботов может сделать обучение более эффективным и увлекательным, а также проанализируем, какие педагогические методы могут быть адаптированы для работы с RPA. Кроме того, я расскажу о собственном опыте внедрения этих технологий в образовательный процесс и дам несколько полезных советов, которые, надеюсь, помогут вам в вашей практике!

Привет! Меня зовут Роман, и я уже больше 10 лет занимаюсь мониторингом: использовал множество систем, часто приходилось работать с дашбордами. За это время скопилось несколько советов, самыми полезными хочу поделиться в этой статье.

Недавно мы выпустили новую значительную версию Picodata — распределенной in-memory СУБД с открытым исходным кодом. Это продукт на основе Tarantool c поддержкой плагинов на Rust и некоторыми другими интересными особенностями, о которых можно почитать в статье Picodata: простое масштабирование Tarantool.

Одно из главных улучшений в новом релизе Picodata 23.12 — возможность выполнять распределенные (кластерные) SQL-запросы непосредственно из консоли Picodata, без дополнительных настроек. Можно управлять глобальными и шардированными таблицами (DDL), модифицировать данные в них (DML) и, разумеется, читать из них (DQL). Также, мы теперь поддерживаем централизованное управление пользователями, ролями и привилегиями на основе списков контроля доступа (ACL), опять же — в рамках всего кластера.

В этой статье я сосредоточусь на нескольких примерах простых SQL-запросов и покажу, как они выполняются для таблиц, распределенных по нескольким шардам. Это позволит лучше понять, как устроены такие таблицы и какие задачи мы решаем для работы с ними.

Кремниевая долина за четверть века прошла путь от центра мировой интернет-революции до задыхающейся под своей тяжестью империи, которая уже давно не меняет мир, потому что успешно его поделила. Идеи на миллиард долларов (и пользователей) сменились бюджетами в миллиарды долларов. и стремится уже не к дисруптивности, а к сохранению контроля над мировым рынком и его окончательному разделу, с закрепощением пользователей в корпоративных цифровых экосистемах.

Быстро растущий и динамично прогрессирующий сегмент ИИ может казаться возвращением золотого века интернет-инноваций конца девяностых и нулевых, но в реальности Кремнивая долина уже не та, что 25 лет назад — она другая, другие приоритеты и подходы, и эта Кремниевая долина куда вероятнее превратит бум ИИ в новый пузырь доткомов, чем в новую интернет-революцию.

Эти занятия на правах предмета по выбору я веду в одной из местных школ с 2006 года. Их цель — дать представление юным знатокам — любителям ардуин — некоторое представление о том зачем светодиоду резистор, не говоря уже о пользе транзисторов‑конденсаторов и прочих чудес:‑) Занимаемся в основном на макетных платах, впрочем об организационной стороне дела лучше написать потом отдельно.

Такой список занятий с картинками (!) может быть полезен как тем кто захочет провернуть что‑то подобное в собственной школе (но затрудняется с чего начать) — так и тем кто сам захочет немного освежить понимание всех этих «аналоговых фокусов». Прилагаю и ссылочки на накопившиеся «электронные конспекты» по соответствующим темам. В принципе они годятся и для самообразования:‑)