ВведениеЗдравствуй, читатель. В этой статье я расскажу про найденную мной не так давно серьезную уязвимость в UEFI-совместимых прошивках на базе платформы Insyde H2O, которая присутствует в них примерно с 2012 года и (на большинстве существующих ныне систем) продолжает присутствовать.Уязвимость эта позволяет надежно (и незаметно для средств мониторинга стандартных переменных UEFI SecureBoot вроде db, KEK и PK) обойти механизм проверки подписей UEFI-драйверов и UEFI-загрузчиков, а для её успешно…
Ничто так не обнажает человеческую глупость, как желание заплатить как можно больше за один и тот же товар. Если вещь продаётся по двум ценам: 1 копейка и 1 рубль, то первую мало кто купит, а за второй выстроится очередь. Правда, это относится не ко всем, а к особой категории товаров — вебленовским, которые влияют на статус и сочетаются с демонстративным потреблением. Интересные феномены вызывают интерес у учёных, поскольку поведение обывателей влияет на уровень их счастья и на рост экономики.…
ИИ, который учится без данных: как Absolute Zero Reasoner меняет машинное обучениеПредставьте ИИ, который не нуждается в миллионах размеченных примеров, не требует армии разметчиков из Кении, и может совершенствоваться, создавая задачи и непрерывно обучаясь у самого себя? И нет, это уже не фантастика — система Absolute Zero Reasoner доказала, что такой подход не только работает но и крайне эффективен.Парадигма Absolute Zero ReasonerВозможно я был недостаточно внимателен, но мне попалось на Хабр…
KafkaДанная статья открывает серию из трёх материалов, каждый из которых представляет отдельный уровень изучения Kafka.Если у тебя уже есть практический опыт работы с Kafka — первый уровень, скорее всего, не для тебя. Он предназначен для новичков, которые хотят понять, зачем вообще нужен Kafka и где он используется. На втором уровне ты углубишься в технологию — и этого уже будет достаточно, чтобы уверенно использовать Kafka в профессиональной работе. Третий уровень — это джедайский уровень. Не …
Вряд ли вас сегодня удивит новость об очередном крутом смартфоне, робо-собаке или игре с поддержкой 3D. Но вообще-то подобные девайсы появились куда раньше, чем многие думают. Просто порой они были слишком смелы для своей эпохи и провалились, но их идеи позже легли в основу того, чем мы пользуемся сегодня. Разберем 10 забытых гаджетов, которые могли изменить нашу жизнь, и посмотрим, почему рынок оказался к ним не готов. Детали под катом. Перед тем как перейти к самим устройствам, вспомним атм…
Если ты пишешь Dockerfile, скорее всего, он работает. Но вопрос не в том, работает ли. Вопрос в другом: будет ли он работать через неделю, на другом сервере, в CI/CD, на чужом железе — и будет ли это безопасно. Или всё сломается, потому что ты не зафиксировал зависимости, положился на latest, и забыл про то, что ENTRYPOINT — это тоже код.В этой статье — как собрать нормальный Docker-образ, который предсказуем, устойчив и готов к продакшену.1. Первая ошибка: ты начинаешь с плохой базыМногие беру…
Многие люди, занимающиеся информационной безопасностью, включая меня, давно считают Telegram подозрительным и ненадежным. Теперь, основываясь на выводах, опубликованных расследовательским журналистским изданием IStories*, и моем собственном анализе перехватов пакетов из Telegram для Android и протокола Telegram, описанного ниже, я считаю Telegram неотличимым от ханипота для слежки.Telegram генерирует долгосрочный идентификатор, называемый auth_key_id, на каждом клиентском устройстве. Этот идент…
TL;DR: я построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты. В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти. С чего все началосьМеня зовут Шарон Бризинов. Я занимаюсь исследованием низкоуровневых эксплойтов в устройствах OT/IoT и время от вре…
Привет всем!Как обычно это и бывает, я накопил критическую массу мыслей, и пора их как-то систематизировать, чтобы вы, мои замечательные читатели Хабра, могли что-то извлечь из моего опыта или поделиться своим :)Я люблю и одновременно ненавижу статьи-обзоры в стиле «10 программ для {whatever}». Ненавижу — потому что их очень легко делать, вбил в гугл «программа для X», взял первые 10 ссылок, статья готова. Я называю такие статьи «лёгкий рейтинг». А люблю я их за то, что даже если 9 пунктов — чу…