«Лаборатория Касперского», Москва - Ловим вирусы, исследуем угрозы, спасаем мир / Статьи / Хабр

Как стать автором

Профиль Статьи 836Новости 5Вакансии 89Подписчики 103K

Kaspersky_Lab 17 июн в 19:05

Security Week 2425: поиск уязвимостей в биометрическом терминале

5 мин

1.3K

Блог компании «Лаборатория Касперского»Информационная безопасность*

На прошлой неделе исследователи «Лаборатории Касперского» опубликовали подробный отчет о поиске уязвимостей в биометрическом терминале компании ZKTeco. Терминал обеспечивает распознавание пользователей по лицу, но также предоставляет резервные методы аутентификации: по пин-коду и с помощью QR-кода, который сканируется встроенной фотокамерой. В статье подробно описывается типичный процесс исследования устройства для поиска аппаратных и программных уязвимостей, включая анализ «железа», физических и сетевых интерфейсов, исследование прошивки. Не меньший интерес представляет и список найденных уязвимостей: всего их было обнаружено 24 штуки. Авторы работы приходят к выводу, что передовая технология была реализована в крайне небезопасном виде.

Помимо традиционных уязвимостей, вроде вшитого пароля для SSH, отсутствующей или легко взламываемой защиты коммуникаций по проприетарному сетевому протоколу, в устройстве ZKTeco была обнаружена возможность проведения атаки с помощью «вредоносного» QR-кода. Отсутствие необходимых проверок вводимых пользователем данных либо приводит к аварийной перезагрузке биометрического терминала, либо, что гораздо интереснее, позволяет провести SQL-инъекцию и таким образом обойти систему аутентификации. Подробные технические описания каждой уязвимости опубликованы в репозитории на GitHub.

Читать дальше →

+9

ayushindin 14 июн в 12:45

«Я стал тимлидом и боюсь». Что почитать и зачем

Простой

8 мин

23K

Блог компании «Лаборатория Касперского»Информационная безопасность*Управление разработкой*Управление проектами*Учебный процесс в IT

Мнение

Стресс, связанный с переходом на менеджерскую роль, способен пошатнуть любые, даже самые крепкие нервы. А если ваше решение стать руководителем желанное и осознанное, то вы легко можете загнать себя в ловушку из двух стен: тревожности и перфекционизма.

Меня зовут Александр Шиндин, я — технический менеджер мобильных продуктов Kaspersky Password Manager и Kaspersky Who Calls. Я так сильно хотел проявить себя в роли руководителя, что внутренних обучающих курсов, которые дает в таких случаях компания, мне не хватало, — и лучшим дополнением к теории стали книги. Они ускорили мое погружение в мир менеджмента, помогли быть готовым к еще большему числу нестандартных ситуаций и придали уверенности в принимаемых решениях.

В этой статье поделюсь своим личным топом книг, которые оказались в свое время полезны мне и, я уверен, будут полезны и вам как будущим или начинающим техническим менеджерам.

Читать дальше →

+40

Kaspersky_Lab 10 июн в 19:22

Security Week 2424: что не так с функцией Microsoft Recall

7 мин

1.5K

Блог компании «Лаборатория Касперского»Информационная безопасность*

В пятницу 7 июня компания Microsoft сообщила о внесении изменений в работу фичи Microsoft Recall. Представленная ранее функция пока недоступна обычным пользователям и какое-то время будет работать только на ноутбуках Microsoft Surface и устройствах других производителей на базе новейших процессоров Qualcomm Snapdragon X. Microsoft Recall каждые несколько секунд делает скриншот экрана, распознает его содержимое, сохраняет информацию в базу данных и предоставляет пользователям возможность поиска по этой базе. По замыслу разработчиков, это должно значительно упростить жизнь владельца компьютера с вновь введенным обозначением «Copilot+ PC». Можно отыскать сайт, который вы когда-то посещали, по общему описанию типа «статья про домики красного цвета», вытащить из «истории» случайно удаленный текст и так далее. В некотором смысле Recall расширяет возможности, которые нам предоставляют сейчас разрозненные сервисы: поиск по архиву электронной почты и сообщений в мессенджере, история перемещений («где находится ресторан, в котором я был год назад»). Все это возможно благодаря сбору и хранению огромного массива данных обо всех аспектах деятельности пользователя. И именно это является проблемой.

Читать дальше →

+10

Kaspersky_Lab 4 июн в 10:47

Security Week 2423: о плохих генераторах случайных чисел и пароле к криптокошельку

4 мин

1.3K

Блог компании «Лаборатория Касперского»Информационная безопасность*

«Взлом» криптокошелька, пароль к которому был утерян больше 10 лет назад, — это самая красивая история по теме кибербезопасности на прошлой неделе. Пожелавший остаться анонимным пользователь приобрел биткоины на сумму примерно 4000 евро в 2013 году. Криптовалюта хранилась в цифровом кошельке, доступ к которому был защищен паролем. Известный исследователь Джо Гранд на пару с коллегой помогли владельцу криптокошелька восстановить пароль, и не при помощи простого перебора, а, как правильно отметили в обсуждении на Хабре, «решив проблему мозгами». Джо Гранд любит подавать свои истории красиво, он снял видео и дал интервью журналу Wired, где использовал красивые и понятные более широкой аудитории метафоры типа «мы нашли способ повернуть время вспять».

Реально интересная техническая информация этой работы, впрочем, уместилась на одну страницу текстом. Для облегчения «взлома» криптокошелька хакерам требовалось уменьшить количество возможных вариаций пароля для перебора. Им удалось это сделать благодаря одной особенности программы RoboForm, которую владелец кошелька использовал для генерации пароля. И это, пожалуй, самое интересное: анализ старой версии RoboForm показывает нам пример, как не надо генерировать случайные последовательности символов.

Читать дальше →

+10

ikolesoo 30 мая в 16:23

Между холиваром и оверинжинирингом: что, если разработчик не доверяет тестам тестировщика

Сложный

11 мин

5.5K

Блог компании «Лаборатория Касперского»Веб-разработка*Тестирование IT-систем*Программирование*Научно-популярное

Мнение

Вы — разработчик и хотя бы раз говорили тестировщику «докажи руками»? Или вы — тестировщик и хотя бы раз слышали такое от коллег-разрабов? Либо вы — продакт или тимлид, в команде которого случались или могут случиться такие конфликты? Тогда эта статья для вас!

Кто-то после «а докажи, что это все действительно работает» или «а как ты проверял?» звереет и начинает открыто ругаться с коллегами — что ж, устраивать холивары, конечно, интересно, но бесполезно. Кто-то действительно начинает тратить ресурсы на воспроизведение бага. Однако можно выстроить такой процесс коммуникации, в котором разработчик доверяет результатам команды тестирования и даже иногда сам дополняет тесты, при этом не скатываясь в оверинжиниринг.

Меня зовут Илья Колесов, я — Senior SDET (Software Development Engineer in Test) в команде KasperskyOS Automotive & Embedded Quality Control «Лаборатории Касперского» и занимаюсь разработкой автоматизированных тестов на стыке embedded- и desktop-систем. В этой сфере я прошел весь путь с нуля до готовых решений. И в этой статье расскажу о взаимодействии с разработкой через автоматизацию тестирования — поделюсь своим опытом того, как удается преодолеть недоверие и сделать коммуникации более эффективными.

Читать дальше →

+26

Kaspersky_Lab 27 мая в 19:12

Security Week 2422: уязвимости в устройствах QNAP

4 мин

1.4K

Блог компании «Лаборатория Касперского»Информационная безопасность*

17 мая компания WatchTowr Labs опубликовала результаты исследования прошивки популярных сетевых устройств Qnap. Аудит программного обеспечения выявил 15 уязвимостей, из которых только 4 были закрыты на момент публикации. Авторы исследования анализировали «облачную» версию ПО QuTSCloud, а затем удостоверялись, что обнаруженные проблемы применимы к реальным устройствам. Отчет подробно разбирает один из пятнадцати багов, имеющий идентификатор CVE-2024-27130. Его эксплуатация может приводить к выполнению произвольного кода на устройстве QNAP и получению полного контроля над ним. Интерес представляет как сама уязвимость, так и подробное изложение методов ее обнаружения авторами отчета.

Работа началась с изучения содержимого виртуальной ОС QuTSCloud, где исследователи обнаружили большое количество кода, написанного на C, а в нем — немало типичных ошибок, способных приводить к повреждению памяти. Авторам отчета довольно быстро удалось вызвать ошибку в выполнении функции, обрабатывающей сценарии общего доступа к файлам. Это стандартная фича любого NAS, которая позволяет создать ссылку на файл, хранимый на устройстве, поделиться ей с коллегами или даже выложить в открытый доступ. Возможность вызвать сбой при работе с этим публичным интерфейсом — уже проблема сама по себе, но для потенциального атакующего есть важное ограничение: он должен знать уникальный идентификатор, который предоставляет доступ к какому-либо файлу на устройстве.

Читать дальше →

+9

Kaspersky_Lab 21 мая в 03:00

Security Week 2421: множество исправлений и один новый баг в обновлении Apple iOS

3 мин

1.7K

Блог компании «Лаборатория Касперского»Информационная безопасность*

13 мая компания Apple обновила операционные системы iOS и iPadOS для мобильных устройств до версии 17.5. Всего в этом патче было исправлено более 15 уязвимостей, включая, например, возможность открывать заметки на заблокированном устройстве. Более серьезная проблема была исправлена в ядре iOS: уязвимость с идентификатором CVE-2024-27818 могла приводить к падению приложений, но также делала возможным выполнение произвольного кода.

Как сообщает сайт MacRumours, помимо решения проблем обновление добавило один новый и достаточно серьезный баг, приводящий к нарушению приватности. Сразу после выпуска iOS/iPadOS 17.5 появились сообщения о том, что на мобильных устройствах Apple начали появляться ранее удаленные фото. Во всех случаях отмечалось, что фотографии старые — добавленные не позднее 2017 года, а в некоторых случаях речь шла о совсем древних изображениях, созданных в 2010 году. Это можно было посчитать досадным, но безобидным багом, если бы не еще одно сообщение. В нем утверждалось, что старые фотографии появились на устройстве, отвязанном от учетной записи Apple ID, которое было продано новому владельцу.

Читать дальше →

+13

Kaspersky_Lab 14 мая в 04:11

Security Week 2420: эксплуатация уязвимостей в ПО

3 мин

1.4K

Блог компании «Лаборатория Касперского»Информационная безопасность*

7 мая исследователи «Лаборатории Касперского» опубликовали отчет со статистикой по обнаружению и эксплуатации уязвимостей в ПО. В публикации приводятся цифры за первый квартал 2024 года, по ряду параметров они сравниваются с данными с начала прошлого года.

Начнем с безусловно хороших новостей: количество обнаруженных и зарегистрированных в базе CVE уязвимостей неуклонно растет с 2019 года. В качестве причины авторы отчета указывают как распространение программ bug bounty, так и более широкое использование инструментов и методик для создания более безопасного кода. Для любого конкретного программного обеспечения рост обнаруженных уязвимостей не стоит расценивать как провал разработки. Наоборот, это косвенный признак более внимательного отношения к ПО с точки зрения безопасности.

Читать дальше →

+9

Kaspersky_Lab 6 мая в 15:35

Security Week 2419: уязвимость в Android-приложениях при обмене файлами

4 мин

2K

Блог компании «Лаборатория Касперского»Информационная безопасность*

1 мая исследователи из компании Microsoft рассказали об уязвимости в ряде приложений для платформы Android. Эта уязвимость в некоторых случаях позволяет выполнять произвольный код и полностью контролировать легитимное приложение. В публикации подробно описан интересный способ повышения привилегий, в котором задействована стандартная для Android фича обмена файлами между установленными программами. Проблема относится к типу path traversal: злоумышленник может модифицировать имя файла так, что он будет сохранен не в предназначенной для такого обмена локации, а в произвольном месте, где у приложения-жертвы имеется доступ на запись. Соответственно, имеет место и недостаточный контроль за входящими файлами.

Схема атаки показана выше на иллюстрации из отчета Microsoft. Реальная атака с использованием такой уязвимости может выглядеть следующим образом. Пользователь устанавливает вредоносное приложение, которое при этом само не запрашивает особых прав на доступ к информации в смартфоне или планшете. Приложение без ведома пользователя через стандартные возможности API Android инициирует обмен данными с уязвимой программой. В нормальных условиях этот обмен файлами используется, например, чтобы загрузить фотографию в соцсеть из Галереи или приложить файл к письму в почтовом клиенте. Модифицируя имя файла по стандартным для подобных багов паттернам, например добавляя команду на переход в предыдущую директорию, злоумышленник может сохранить файл в произвольную точку. В Microsoft выявили два очень популярных приложения, которые оказались уязвимыми для подобной атаки: штатный менеджер файлов для телефонов Xiaomi и офисный пакет WPS Office. Обе программы установлены на сотни миллионов устройств.

Читать дальше →

+10

Kaspersky_Lab 2 мая в 13:06

Security Week 2418: приватность автотелеметрии

5 мин

1.6K

Блог компании «Лаборатория Касперского»Информационная безопасность*

На прошлой неделе издание New York Times показало конкретные примеры того, как автопроизводители могут следить за пользователями, пользуясь большим количеством датчиков в автомобиле. Эта история началась еще в марте, когда то же издание впервые сообщило, что компания General Motors передает информацию о поведении водителей за рулем сторонним брокерам. Используя право на доступ к персональной информации, журналистка Кашмир Хилл запросила данные о семейном автомобиле Chevrolet Bolt, который был приобретен в 2023 году.

Информация у крупных брокеров данных LexisNexis и Verisk оказалась весьма подробной: общее количество поездок, километраж, а главное — число событий, когда имел место резкий разгон или торможение, либо превышение скорости. Эти данные впоследствии перепродаются страховым компаниям, которые на их основе могут принять решение о повышении страхового тарифа. Важной особенностью такого персонального расследования стало то, что Кашмир Хилл и ее муж, скорее всего, не давали согласия на сбор таких данных. Или как минимум сделали это, не понимая в полной мере, что эта информация будет доступна кому-то еще, кроме автопроизводителя. В такой же ситуации оказались примерно 8 миллионов владельцев автомобилей концерна GM. Так вышло, что все они обменяли свою приватность на геймификацию вождения, когда автомобиль выдает вам «бейджики» за разного рода достижения за рулем.

Читать дальше →

+15

Magn 25 апр в 15:22

Без холивара «переписать все на Go»: проблема переносимости в Python и ее решение

Средний

19 мин

16K

Блог компании «Лаборатория Касперского»Open source*Python*Программирование*Управление разработкой*

Обзор

На скриптовых языках удобно разрабатывать… И на этом удобство заканчивается. Вне машины разработчика начинаются проблемы. Особенно если вы пишете какой-то прикладной тулинг — cli-утилиты, вспомогательные приложения в вашем SDK и прочее. Вы даже не можете рассчитывать на то, что у пользователя будет pip, чтобы он смог поставить все ваши зависимости, вам все нужно организовать самостоятельно.

В этой статье поговорим о различных формах распространения Python-приложений. Какие есть подходы и инструменты, почему они могут не сработать и как чинить возникающие проблемы.

Если вам покажется, что в чем-то я ошибаюсь, добро пожаловать в комментарии. Буду рад услышать любые альтернативные точки зрения. Кроме, как я уже отметил в заголовке, рекомендации переписать все на Go/Rust/You name it :) Этот холивар мы уже проходили.

Читать далее

+78

Kaspersky_Lab 22 апр в 17:36

Security Week 2417: эксплуатация уязвимостей с помощью LLM

4 мин

1.3K

Блог компании «Лаборатория Касперского»Информационная безопасность*

На прошлой неделе был опубликован препринт научной работы, в которой утверждается, что большие языковые модели (LLM) могут автономно эксплуатировать уязвимости класса «one-day». Под «one-day» здесь понимается уязвимость, которая уже была обнаружена, то есть речь в работе не идет о поиске новых проблем в программном обеспечении. Тем не менее даже в таком ограниченном виде мы теоретически имеем дело с потенциально опасной ситуацией: есть уязвимый веб-сайт или программное обеспечение, есть информация об уязвимости, а дальше LLM справится с атакой самостоятельно. Впрочем, к параметрам эксперимента и полноте опубликованных данных есть вопросы.

Общая схема эксперимента, проведенного авторами работы, показана на картинке выше. Оператор указывает цель (уязвимый веб-сайт) и конкретную уязвимость, после чего LLM предположительно делает всю работу. Исследователи проверяли данный метод на 15 известных уязвимостях. Большинство уязвимостей позволяют атаковать веб-сайты, например, через уязвимости в Wordpress или его плагины. Но есть и экзотические уязвимости, например проблема во фреймворке Astropy для вычислений в астрономии (в работе он указан с ошибкой, как astrophy). Способность LLM построить атаку только на основе информации об уязвимости (например, по ее идентификатору CVE) испытывалась для десяти разных моделей. Сразу отметим интересный вывод: хоть что-то у исследователей получилось в модели GPT-4, все остальные показали нулевые результаты.

Читать дальше →

+11

akornilov 19 апр в 08:33

Вы все еще пишете многопоточку на C++ с ошибками синхронизации?

Средний

11 мин

25K

Блог компании «Лаборатория Касперского»Информационная безопасность*Программирование*C++*Параллельное программирование*

Кейс

Привет, коллеги! В этой статье я покажу свой подход к написанию многопоточного кода, который помогает избежать типовых ошибок, связанных с использованием базовых примитивов синхронизации.

Демонстрация идеи будет проходить на живых примерах кода на современном C++. Большинство описанных решений я применял сначала на собственных проектах, а теперь часть этих подходов уже используется в нашей собственной микроядерной операционной системе «Лаборатории Касперского» (KasperskyOS).

Сразу хочу оговориться, что тема многопоточности — очень большая и серьезная. И эта статья — не полноценный анализ проблем многопоточки, а только частНЫе (но довольно частЫе) кейсы, когда мы вынуждены использовать мьютексы.

Читать дальше →

+57

Kaspersky_Lab 15 апр в 19:04

Security Week 2416: уязвимость в серверных материнских платах Intel, Lenovo и Supermicro

4 мин

1.7K

Блог компании «Лаборатория Касперского»Информационная безопасность*

На прошлой неделе исследователи компании Binarly сообщили об обнаружении уязвимости в серверных материнских платах как минимум трех крупных вендоров: компаний Intel, Lenovo и Supermicro. Уязвимость была обнаружена в модуле Baseboard Management Controller, используемом для удаленного управления сервером. BMC создан для управления парком серверов, он упрощает установку операционной системы и другие операции и работает, даже когда сам сервер выключен. Для работы BMC требуется веб-сервер, и в ряде контроллеров для этого используется проект с открытыми исходными кодами lighthttpd. Уязвимость в этом веб-сервере может быть эксплуатирована для чтения данных из оперативной памяти за пределами выделенного диапазона (out of bounds read).

Как отмечается в отчете Binarly, данная уязвимость выявляет целую серию недоработок в цепочке поставок. Уязвимость была обнаружена и исправлена разработчиками lighthttpd еще в 2018 году. Производители контроллеров BMC, несмотря на это, продолжили использовать уязвимую версию — она обнаружена в ряде контроллеров как минимум двух поставщиков, компаний AMI и ATEN. Контроллеры устанавливались в материнские платы, для которых какое-то время выпускались обновления прошивки. Соответственно, имелась возможность исправить уязвимость для уже выпущенных устройств. Но этого сделано не было: в отчете приводится пример платы Intel, самое свежее обновление прошивки контроллера для которой датировано февралем 2023 года. Уязвимость в этом случае не была исправлена. А после того, как Binarly передала информацию о проблеме производителям матплат, Intel и Lenovo сообщили, что исправлять ошибку не будут, так как подверженные устройства более не поддерживаются.

Читать дальше →

+10

pvpokr 9 апр в 13:36

Чего боятся стажеры? {Спойлер: всех отвлекать, все поломать, чего-то не знать, на код-ревью завалиться…}

Простой

8 мин

8.8K

Блог компании «Лаборатория Касперского»Информационная безопасность*Учебный процесс в ITКарьера в IT-индустрииIT-компании

Ретроспектива

✏️ Технотекст 2023

Мы все чего-то боимся. И это нормально: страх достался нам от наших предков как защитная реакция на какой-либо раздражитель, чтобы настроить организм на дальнейшие действия. И хотя времена мамонтов и саблезубых тигров давно прошли, наша биохимия никуда не делась. Главное – как тогда, так и сейчас – чтобы страх не причинял нам самим вреда, не сковывал, не парализовывал. Чтобы не мешал развиваться и двигаться вперед.

В этом посте – шесть совершенно разных историй экс-стажеров “Лаборатории Касперского”. У каждого был какой-либо страх (а как еще, когда ты стажер без опыта, и это твоя первая работа!), но все герои смогли совладать с ними и вырасти до специалистов, тимлидов и даже руководителей целых функций.

А в дополнении – опрос, который покажет, чья позиция ближе Хабру.

Если вы сами – интерн или еще только ищете стажировку в IT-индустрии, этот пост будет для вас особенно актуален. Но даже если вы уже преодолели первую ступень профессионального пути, вам наверняка будет интересно сравнить свой опыт с опытом коллег.

Читать далее

+29

Kaspersky_Lab 8 апр в 19:31

Security Week 2415: новые уязвимости в продуктах Ivanti

4 мин

825

Блог компании «Лаборатория Касперского»Информационная безопасность*

2 апреля компания Ivanti сообщила о закрытии четырех новых уязвимостей в сетевых шлюзах Ivanti Connect Secure и Ivanti Policy Secure. Из них наибольшую опасность представляет проблема, получившая идентификатор CVE-2024-21894. Ошибка в компоненте IPSec при некоторых условиях приводит к «переполнению кучи». В результате потенциальный злоумышленник может отправить на уязвимый сервер подготовленный пакет данных и вызвать либо отказ в обслуживании, либо, при ряде условий, выполнение произвольного кода.

По данным разработчика, эта уязвимость не эксплуатировалась на момент обнаружения, что отличает новую проблему от набора предыдущих, обнаруженных еще в начале января. Тогда критические уязвимости были найдены в ходе расследования реальной атаки, а разработчик довольно долго не мог выпустить патч для активно эксплуатируемой проблемы. Это даже привело к достаточно нестандартной рекомендации от американского государственного агентства CISA: сначала отключить уязвимые VPN-серверы вовсе, а потом уже разбираться с наличием или отсутствием патча. Сложная обстановка с защищенностью систем, призванных ограждать корпоративный периметр от неавторизованного доступа, привела также к публикации открытого письма от генерального директора Ivanti, в котором он пообещал пересмотреть подход к безопасности.

Читать дальше →

+9

android_sumin 4 апр в 18:42

Как протестировать Android-приложение, которому требуются разрешения

Средний

19 мин

3K

Блог компании «Лаборатория Касперского»Open source*Тестирование IT-систем*Программирование*Разработка под Android*

Туториал

✏️ Технотекст 2023

Часто для корректной работы приложению нужен доступ к определенным функциям мобильного устройства: к камере, записи голоса, совершению звонков, отправке SMS-сообщений и т. д. Приложение может получить доступ к ним и использовать только в том случае, если пользователь даст на это разрешение.

При написании автотестов для таких приложений вы можете столкнуться с некоторыми трудностями. Например, автотест попытается выполнить определенное действие, но вместо ожидаемого результата на экране отобразится запрос разрешения, которое будет проигнорировано, и тест завершится неудачно. Или вы можете добиться такого поведения, когда на момент запуска тестов все разрешения будут даны, но при этом вы не сможете проверить, как ведет себя приложение, если пользователь отклонил запрос.

В этой статье мы покажем, как данные проблемы решает библиотека Kaspresso — популярный (1,7 тысячи звезд на Github) open-source-фреймворк для автотестов.

Читать дальше →

+23

Kaspersky_Lab 1 апр в 19:59

Security Week 2414: последствия взлома xz-utils

5 мин

7.3K

Блог компании «Лаборатория Касперского»Информационная безопасность*

История со взломом набора утилит xz-utils, несомненно, войдет в категорию легендарных событий в сфере информационной безопасности. Эта тщательно спланированная атака на цепочку поставок была в шаге от полного успеха. Могла быть реализована ситуация, когда десятки и сотни тысяч систем на базе Linux имеют в своем коде скрытый бэкдор, задействуемый организаторами атаки с помощью известного им приватного ключа. Поражает как сложность самой атаки, так и неординарная история обнаружения бэкдора. Последнее все же заставляет надеяться, что сообщество разработчиков открытого ПО найдет средства противодействия подобным атакам в будущем.

Таймлайн атаки достаточно подробно описан на Хабре здесь (еще одна обновляемая статья — тут), подверженные дистрибутивы приведены здесь, в этой статье мы постараемся выделить самые важные моменты и попробуем представить, как это повлияет на разработку ПО с открытым исходным кодом.

Читать дальше →

+5

yuliana_s 31 мар в 12:25

Синкерим, хешайдим, терминируем: 6 утилит, чтобы ускорить ваши локализации

Простой

11 мин

1.4K

Блог компании «Лаборатория Касперского»Веб-разработка*Тестирование IT-систем*Программирование*Подготовка технической документации*

Из песочницы

✏️ Технотекст 2023

Наша команда Mobile Doc&Loc «Лаборатории Касперского» занимается подготовкой документации и локализации B2C-продуктов компании для мобильных устройств. Основная сложность (и одновременно фишка) нашей работы заключается в том, что необходимо регулярно подготавливать переводы на 34 языка в крайне сжатые сроки.

Меня зовут Юлиана Соломатина, я — Doc&Loc-инженер, и в этой статье я расскажу про инструменты-автоматизации, которые помогают нам справляться с наплывом задач и укладываться в дедлайны, не жертвуя при этом качеством. Кстати, многие из этих инструментов мы разработали сами.

Читать далее

+15

Kaspersky_Lab 25 мар в 19:09

Security Week 2413: аппаратная уязвимость в процессорах Apple

6 мин

2.2K

Блог компании «Лаборатория Касперского»Информационная безопасность*

Большой новостью прошлой недели стало объявление о научной работе исследователей из ряда университетов США, демонстрирующей аппаратную уязвимость GoFetch в процессорах Apple M1 и M2 (сайт проекта, сама научная работа, подробное описание в статье издания Ars Technica). Уязвимость делает возможной атаку по стороннему каналу на алгоритмы шифрования данных с последующей кражей приватных ключей. Для этого на компьютере жертвы необходимо запустить вредоносный код, который сможет контролировать алгоритм. Сама атака занимает от одного до нескольких часов, и прямо сейчас угрозы пользователям не несет. Последствия от обнаружения уязвимости, тем не менее, будут: проблема в системе подгрузки данных в кэш-память может быть закрыта только программным путем, в конкретных реализациях алгоритмов шифрования, что приведет к снижению производительности.

Уязвимость обнаружена в механизме контекстно-зависимой предварительной выборки данных (data memory-dependent prefetcher, или DMP). Это достаточно новая технология, внедренная пока лишь в новейших чипах Apple и процессорах Intel начиная с 13-го поколения (в последних механизм работает по-другому и данная атака для них не актуальна). DMP входит в набор оптимизаций, направленных на повышение производительности вычислений: в целом такие технологии ранее неоднократно становились источником проблем. Атака была продемонстрирована на ноутбуках под управлением Mac OS с процессорами Apple M1 и M2. Самые современные чипы M3 также содержат эту уязвимую оптимизацию, но в них предусмотрена инструкция, позволяющая отключить DMP для криптографических вычислений. Для более ранних процессоров придется обновлять код более сложными методами, чтобы исключить утечку по стороннему каналу.

Читать дальше →

+9

1

2 3 ...