Рубрика «Блог компании ITSumma» - 2

в 9:18, , рубрики: apt1, L-3, Lockheed Martin, Northrop Grumman, rsa, solarwinds, supply chain, анб, Блог компании ITSumma, взлом, информационная безопасность, карточный домик, криптография, лазерные микрофоны, модель угроз, оборонные подрядчики, поверхность атаки, промышленный шпионаж, разведка, ФБР, цепочка поставщиков

Пришло время рассказать всю правду о взломе компании RSA - 1

У сотрудников компании RSA закончился десятилетний срок действия соглашений о неразглашении (NDA), так что они наконец-то смогли рассказать о событиях, которые случились в 2011 году. Эти события навсегда изменили ландшафт мировой индустрии информационной безопасности. А именно, это было первая в истории атака на «цепочку поставок» (supply chain attack), которая вызвала серьёзную обеспокоенность у американских спецслужб, мягко говоря.

Что такое атака на цепочку поставок? Если вы не можете напрямую атаковать сильного противника типа АНБ или ЦРУ, то вы находите их партнёра — и внедряетесь в его продукт. Один такой взлом даёт доступ сразу в сотни серьёзно защищённых организаций. Так произошло недавно с SolarWinds. Но бывшие сотрудники компании RSA смотрят на SolarWinds и испытывают чувство дежавю. Ведь в 2011 году неизвестные хакеры получили доступ к самому ценному, что было в компании RSA — хранилищу сидов (векторов генерации). Они используются для генерации кодов двухфакторной аутентификации в аппаратных токенах SecurID, а это десятки миллионов пользователей в правительственных и военных агентствах, оборонных подрядчиках, банках и бесчисленных корпорациях по всему миру.

Впрочем, обо всё по порядку.
Читать полностью »

в 10:17, , рубрики: Go, haskell, ITSumma. языки программирования, Julia, kotlin, Rust, scala, Блог компании ITSumma, зелёные пастбища, легаси, поддержка старого кода, Программирование, Проектирование и рефакторинг, рефакторинг, Статистика в IT

Языки любимые и языки страшные. Зелёные пастбища и коричневые поля - 1

Результаты опроса Stack Overflow являются отличным источником информации о том, что происходит в мире разработки. Я просматривал результаты 2020 года в поисках некоторых идей, какие языки добавить в нашу документацию по контейнерным сборкам, и заметил кое-что интересное о типах языков. Мне кажется, это не часто встречается в различных дискуссиях о предпочтениях разработчиков.

В опросах есть категории «Самые страшные языки программирования» (The Most Dreaded Programming Languages) и «Самые любимые языки». Оба рейтинга составлены на основе одного вопроса:

На каких языках вы провели обширную работу по разработке за последний год, и на каких хотите работать в следующем году? (Если вы работаете с определённым языком и намерены продолжать это делать, пожалуйста, установите оба флажка).

Читать полностью »

в 11:16, , рубрики: factorio, ITSumma, Space Exploration, автоматизация, Блог компании ITSumma, железнодорожная сеть, Игры и игровые приставки, командная работа, конкуренция потоков, логические игры, микросервисы, многопоточность, модульная архитектура, отладка, Программирование, светофоры, собеседование, состояние гонки, управление персоналом, чертежи

Совместная игра в Factorio — лучшее техническое собеседование, что мы проводили - 1В последнее время много копий сломано вокруг технических собеседований. Очевидно, что инвертирование двоичного дерева на доске практически никак не связано с практическими навыками реального программиста. Примитивный Fizzbuzz по-прежнему остаётся самым эффективным тестом. Как следствие, выросло внимание к опенсорсным проектам, но оказалось, что это тоже не очень хороший показатель, потому что у большинства профессионалов нет на них времени.

У нас в компании самое эффективное собеседование по программированию на сегодняшний день — это обычно какое-то домашнее задание на несколько дней, в котором кандидата просят исправить баг или реализовать небольшую функцию. Это не очень хорошо, потому что занимает много времени, и человек может получить внешнюю помощь (или погуглить, если функция достаточно распространённая). С другой стороны, некоторые крупные компании вместо этого удвоили количество собеседований с доской (и алгоритмами), подвергая будущих инженеров многочасовым сессиям онлайн-программирования с различным уровнем инвазивного наблюдения.

Все эти методы интервью не сравнятся с очень простой метрикой: совместная игра в Factorio. Прохождение всего цикла Factorio — практически идеальный показатель, насколько хорошо человек решает общие технические проблемы. Можно даже настроить прохождение игры на основе будущей должности, чтобы лучше понять, как кандидат справится со своей ролью.
Читать полностью »

в 13:14, , рубрики: GTA Online, GTA V, ITSumma, stack sampling, stackwalker, бенчмарки, Блог компании ITSumma, детектив, Клиентская оптимизация, обратная разработка, Программирование, профилирование, разработка игр, расследование, реверс-инжиниринг, Софт, хэш-таблица

GTA Online. Многопользовательская игра, печально известная медленной загрузкой. Недавно я вернулся, чтобы завершить несколько ограблений — и был потрясён, что она загружается настолько же медленно, как и в день своего выпуска, 7 лет назад.

Пришло время докопаться до сути.

Разведка

Сначала я хотел проверить, вдруг кто-то уже решил проблему. Но нашёл только рассказы о великой сложности игры, из-за чего она так долго загружается, истории о том, что сетевая p2p-архитектура — мусор (хотя это не так), некоторые сложные способы загрузки в сюжетный режим, а потом в одиночную сессию, и ещё пару модов, чтобы скипнуть видео с логотипом R* во время загрузки. Ещё немного почитав форумы, я узнал, что можно сэкономить колоссальные 10-30 секунд, если использовать все эти способы вместе!
Читать полностью »

в 12:43, , рубрики: DNS, DNS hijacking, fast flux, ITSumma, mitm, SSL, TLS, wpad, Администрирование доменных имен, Блог компании ITSumma, ботнет, домен, информационная безопасность, Конго, криптография, шифрование

Примечание: проблема решена. Сейчас национальный домен .cd уже не делегирует полномочия скомпрометированному нейм-серверу

TL;DR Представьте, что может произойти, если национальный домен верхнего уровня (ccTLD) суверенного государства попадет в чужие руки. Однако я (@Almroot) купил доменное имя, которое указано для делегирования NS в национальном домене Демократической Республики Конго (.cd), и временно принял более 50% всего DNS-трафика для этой TLD. На моём месте мог оказаться злоумышленник, который использовал бы эту возможность для MITM или других злоупотреблений.

Как я угнал национальный домен Демократической Республики Конго - 1
Читать полностью »

в 12:39, , рубрики: dcma, diy или сделай сам, drm, ITSumma, John Deere, tesla, Блог компании ITSumma, Киберпанк, копирайт, право на ремонт, тракторы, транспорт

Фермеры в США вынуждены взламывать тракторы, чтобы просто починить их - 1

Люди начали выращивать еду около 10 000 лет назад, но древние сапиенсы и представить не могли, что в будущем для сбора кукурузы придётся сначала установить пиратскую украинскую прошивку, а потом разбираться в кодах неисправностей по протоколу OBD-II.

Обычно «хакерами» называют специалистов по компьютерной безопасности, которые ищут уязвимости в IT-системах. Но в США обычные фермеры сейчас вынуждены взламывать собственное оборудование только для того, чтобы оно работало.

На Хабре уже писали об этой абсурдной ситуации. Компания John Deere и другие крупные производители максимально затрудняют фермерам самостоятельный ремонт. Логика примерно такая же, как у Apple: мол, только сертифицированные специалисты из фирменных центров могут обеспечить высокий сервис, поэтому диагностические инструменты нельзя раздавать всем подряд, а только официальным дилерам.
Читать полностью »

в 12:12, , рубрики: devops, Grafana, ITSumma, kubergraf, kubernetes, prometheus, Блог компании ITSumma, Блог компании Southbridge, микросервисы, Слёрм

KubeGraf — плагин для мониторинга Kubernetes в Grafana. Как создавался и почему стал востребованным - 1

KubeGraf — это плагин для Grafana, который собирает данные с кластера Kubernetes и приложений внутри него, а затем показывает их на красивых и понятных графиках. В феврале этого года вышел релиз 1.5, и стало известно, что предыдущие версии скачали более 250 тысяч раз! Мы расспросили Сергея Спорышева, создателя плагина и директора направления DevOps-продуктов в ITSumma, об истории создания плагина, факапах и причинах популярности.

Читать полностью »

в 11:19, , рубрики: diy или сделай сам, DVD, HD DVD, PHR-803T, xbox 360, Блог компании ITSumma, конфокальная микроскопия, лазерный микроскоп, микробиология, периферия, Производство и разработка электроники, Разработка под Arduino

Старый DVD-привод превращается… в лазерный микроскоп - 1

В наше время DVD-приводы постепенно выходят из употребления, мало кто уже покупает диски или записывает их сам, а старые диски постепенно деградируют, ведь химическое покрытие на болванках не вечное.

Но для ненужного привода есть полезное применение. Например, из него можно смастерить лазерный микроскоп на Arduino (примечание: по факту требуется две лазерные головки, то есть два ненужных привода).

Это оптический микроскоп, который использует для сканирования образца сфокусированный лазерный луч.
Читать полностью »

в 16:57, , рубрики: Feedbin, Feedly, github, INFOLUST, Inoreader, IT-стандарты, NewsBlur, reddit, rss, the old reader, YouTube, Блог компании ITSumma, глубокая работа, информационный поток, совместные проекты, сохранение рассудка, социальные сети, Социальные сети и сообщества, цифровое благополучие

Почему я по-прежнему пользуюсь RSS - 1

Я твёрдо верю, что Интернет и его философия максимально проявились именно в RSS.

RSS или Really Simple Syndication является (или был в прошлом, в зависимости от вашей точки зрения) средством, которое объединяет в один канал практически все онлайн-ресурсы. Вы заходите на сайт, если он вам нравится, то добавляете его RSS в свой любимый ридер — и с этого момента мгновенно получаете уведомления о любом новом контенте. Вот так просто.

Расцвет RSS пришелся на эпоху Веб 2.0 (около 1999-2010 гг.), когда движущей силой многих инноваций была полная свобода делать всё что угодно с информацией из интернета. Конечно, всё это происходило до того, как начали развиваться социальные сети в нынешнем виде, а большинство этих концепций оказались изолированы в своих замкнутых социальных фидах.
Читать полностью »

в 7:36, , рубрики: amd epyc, innodb, intel xeon, ITSumma, Let's Encrypt, mariadb, mdraid, OpenZFS, pcie, raid, SATA, Администрирование баз данных, Блог компании ITSumma, Компьютерное железо, Процессоры, Серверное администрирование

Let's Encrypt перевел серверы БД на AMD EPYC - 1
Внутреннее устройство 2U-сервера Dell PowerEdge R7525. Два серебристых прямоугольника посередине — процессоры AMD EPYC 7542. Сверху и снизу от них планки оперативной памяти по 64 ГБ каждая. На левом краю фотографии — 24 диска NVMe, такое возможно только на EPYC

Let's Encrypt — крупнейший удостоверяющий центр в интернете, на его бесплатных TLS-сертификатах работает более 235 млн сайтов. В сердце УЦ находится база данных, на основе которой происходит управление сертификатами. Важно, чтобы её производительность была на уровне, иначе мы увидим ошибки API и таймауты при выдаче сертификатов.

В конце 2020 года некоммерческая организация сделала апгрейд своих серверов.
Читать полностью »

123...10...16
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js