Обычно, когда исследователю безопасности попадается устройство с недокументированным сетевым протоколом его разбирают и учатся общаться с ним по сети. Для этого нужна прошивка, но что делать, когда она зашифрована или ее невозможно достать из микросхем?
⠀
Казалось бы, проще отступить. Но когда такое встречается во время исследования безопасности в промышленности, отступать некуда. Ведь некоторые промышленные контроллеры способны вызвать взрыв на электростанции или затопить маленький город.
⠀
Ведущий специалист отдела анализа приложений компании Positive Technologies Антон Дорфман расскажет, какие техники, набор скриптов и пачку CVE они использовали, чтобы получить описание протокола ПЛК FX5U от компании Mitsubishi.
⠀
📍Подробности в статье: https://habr.com/ru/companies/oleg-bunin/articles/764068/
⠀
Казалось бы, проще отступить. Но когда такое встречается во время исследования безопасности в промышленности, отступать некуда. Ведь некоторые промышленные контроллеры способны вызвать взрыв на электростанции или затопить маленький город.
⠀
Ведущий специалист отдела анализа приложений компании Positive Technologies Антон Дорфман расскажет, какие техники, набор скриптов и пачку CVE они использовали, чтобы получить описание протокола ПЛК FX5U от компании Mitsubishi.
⠀
📍Подробности в статье: https://habr.com/ru/companies/oleg-bunin/articles/764068/
Хабр
ПЛК Mitsubishi: как разобрать сетевой протокол и найти уязвимости в устройстве без использования прошивки
Нас окружают умные устройства. Внутри каждого — микросхемы и прошивки с программным кодом, который содержит уязвимости. Представьте, что в руки исследователя безопасности попадает устройство с...
👍3
Владимир Радонец расскажет о том, как Nomad может выстрелить в ногу и что сделать, чтобы увернуться.
⠀
Что общего у водителя, пересевшего с автоматики на механику и SRE-инженера, познавшего переход с K8s на Nomad?
⠀
Nomad выбирают за его флексабилити и админ-френдли подход, но что, если вы продвинулись чуть дальше «стартовой локации». В гайде не описаны тонкости реализации кастомных решений: например, про обновление Nomad с Raft 2 на 3, когда кластер построен на основе Consul.
⠀
Владимир расскажет, как они пытались использовать функционал K8s на примере sidecar, внедряли многопоточные тесты, как подружили GitLab и Nomad. Поделится горьким опытом, советами по кастомизации Nomad и способами безопасной передачи секретов типа .env с помощью Vault в продуктовом окружении.
⠀
Собираемся 27 и 28 ноября в Москве на HighLoad++ 2023 🙌
⠀
✅ Программа конференции и билеты на сайте в описании канала @HighLoadChannel
⠀
Что общего у водителя, пересевшего с автоматики на механику и SRE-инженера, познавшего переход с K8s на Nomad?
⠀
Nomad выбирают за его флексабилити и админ-френдли подход, но что, если вы продвинулись чуть дальше «стартовой локации». В гайде не описаны тонкости реализации кастомных решений: например, про обновление Nomad с Raft 2 на 3, когда кластер построен на основе Consul.
⠀
Владимир расскажет, как они пытались использовать функционал K8s на примере sidecar, внедряли многопоточные тесты, как подружили GitLab и Nomad. Поделится горьким опытом, советами по кастомизации Nomad и способами безопасной передачи секретов типа .env с помощью Vault в продуктовом окружении.
⠀
Собираемся 27 и 28 ноября в Москве на HighLoad++ 2023 🙌
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Друзья, у нас готово предварительное расписание конференции HighLoad++ 2023 🙌
⠀
Ознакомиться с ним можно на сайте в описании канала @HighLoadChannel
⠀
В расписании еще возможны корректировки, но ориентировочно уже можно запланировать свой день на конференции 😉
⠀
Ознакомиться с ним можно на сайте в описании канала @HighLoadChannel
⠀
В расписании еще возможны корректировки, но ориентировочно уже можно запланировать свой день на конференции 😉
🔥2👍1
Игорь Балюк расскажет, как они делают трейсинг в условиях тысяч сервисов и миллионов спанов в секунду.
⠀
Поговорим о трейсинге в Авито: какую он задачу решает и как у них выглядит архитектура трейсинга, обрабатывающая миллионы спанов в секунду от нескольких тысяч сервисов, объединенных в service mesh (который, как оказалось, помогает). Игорь расскажет, как они меняли подходы к семплированию данных и почему ушли от Jaeger к OpenTelemetry и собственному инструменту, объединяющему трейсинг, логи и метрики.
⠀
Рассмотрим примеры из их опыта, когда трейсинг ускоряет нахождение проблем и отладку в распределенной среде, и попробуем ответить на вопрос «зачем нужен трейсинг и какая цена у его внедрения»?
⠀
Встречаемся 27 и 28 ноября в Москве на HighLoad++ 2023 🙌
⠀
✅ Программа конференции и билеты на сайте в описании канала @HighLoadChannel
⠀
Поговорим о трейсинге в Авито: какую он задачу решает и как у них выглядит архитектура трейсинга, обрабатывающая миллионы спанов в секунду от нескольких тысяч сервисов, объединенных в service mesh (который, как оказалось, помогает). Игорь расскажет, как они меняли подходы к семплированию данных и почему ушли от Jaeger к OpenTelemetry и собственному инструменту, объединяющему трейсинг, логи и метрики.
⠀
Рассмотрим примеры из их опыта, когда трейсинг ускоряет нахождение проблем и отладку в распределенной среде, и попробуем ответить на вопрос «зачем нужен трейсинг и какая цена у его внедрения»?
⠀
Встречаемся 27 и 28 ноября в Москве на HighLoad++ 2023 🙌
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Нет времени объяснять, программируй! Кирилл Шваков расскажет историю о том, зачем исправлять «фатальные недостатки».
⠀
В жизни каждого программиста наступает момент, когда существующий ORM, библиотека для парсинга JSON или логов перестают устраивать настолько, что появляется еще один проект, лишенный всех недостатков.
⠀
А что делать, если не устраивает что-то посерьезнее, чем библиотека логов?
⠀
Мы используем свои сервера раздачи контента; готовимся к переезду в собственное распределенное хранилище объектов; используем JIT пакетирование и шифрование видео на лету и все это пишем на Go.
⠀
Разберемся:
⠀
· Почему, собственно, Go? Его плюсы и минусы для наших решений.
· Какой минимум нужно знать, чтоб решение было рабочим, и в чем тут сильно помогает Go.
· Когда наступает момент, что ввязаться в разработку своего решения нужно.
⠀
🖐 Встречаемся на HighLoad++ 2023, в рамках которой пройдет Golang Conf 2023.
⠀
✅ Программа конференции и билеты на сайте в описании канала @HighLoadChannel
⠀
В жизни каждого программиста наступает момент, когда существующий ORM, библиотека для парсинга JSON или логов перестают устраивать настолько, что появляется еще один проект, лишенный всех недостатков.
⠀
А что делать, если не устраивает что-то посерьезнее, чем библиотека логов?
⠀
Мы используем свои сервера раздачи контента; готовимся к переезду в собственное распределенное хранилище объектов; используем JIT пакетирование и шифрование видео на лету и все это пишем на Go.
⠀
Разберемся:
⠀
· Почему, собственно, Go? Его плюсы и минусы для наших решений.
· Какой минимум нужно знать, чтоб решение было рабочим, и в чем тут сильно помогает Go.
· Когда наступает момент, что ввязаться в разработку своего решения нужно.
⠀
🖐 Встречаемся на HighLoad++ 2023, в рамках которой пройдет Golang Conf 2023.
⠀
✅ Программа конференции и билеты на сайте в описании канала @HighLoadChannel
👍1
YDB Topic Service: Александр Зевайкин расскажет, как они повышали производительность очереди сообщений.
⠀
В составе платформы YDB работает сервис очередей сообщений — Topic Service. Он обладает надёжностью, масштабируемостью, гарантиями порядка и доставки.
⠀
В этом докладе Александр расскажет про ускорение YDB Topic Service и приведет сравнение с конкурентами.
⠀
Ждем вас 27 и 28 ноября на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем HighLoad++ 2023 🙌
⠀
✅ Программа конференции и билеты на сайте в описании канала @HighLoadChannel
⠀
В составе платформы YDB работает сервис очередей сообщений — Topic Service. Он обладает надёжностью, масштабируемостью, гарантиями порядка и доставки.
⠀
В этом докладе Александр расскажет про ускорение YDB Topic Service и приведет сравнение с конкурентами.
⠀
Ждем вас 27 и 28 ноября на крупнейшей профессиональной конференции для разработчиков высоконагруженных систем HighLoad++ 2023 🙌
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3🤩1
BrainSploit. Об эксплойтах социальной инженерии поговорим с Антоном Бочкаревым.
⠀
Легендарный Кевин Митник рассказывал о своем практическом опыте социальной инженерии. Мы же, проводя проекты по социотехническому тестированию на проникновение, в какой-то степени лишь повторяем его сценарии или сценарии коллег. Но почему? Потому что мы отталкиваемся только от чьего-либо опыта, а не от базы.
⠀
Представьте, насколько был бы эффективен пентест в иной области, если бы все, практически бездумно, повторяли проверки коллег, не понимая, как оно работает изнутри?
⠀
В этом докладе мы поговорим с вами о базе. О тех психологических механизмах, которые лежат в основе психологии влияния. Эти основы, подтвержденные многочисленными исследованиями и экспериментами социальных психологов 20 и 21 века, крайне эффективно используются в различных областях, от фишинга, маркетинга и продаж, до любовных аферистов и мошенников колл-центров «службы безопасности». Эти уязвимые механизмы - наше эволюционное наследие, legacy-код нашего мозга.
⠀
Мы разберём примеры скриптов, полученных из мошеннического колл-центра в Бердянске, а также примеры из собственной практики Антона. Эта база позволит вам писать собственные успешные сценарии, и эффективнее противостоять вредоносным манипуляциям.
⠀
Встречаемся на HighLoad++ 2023 в Москве 🙌
⠀
✅ Программа конференции и билеты на сайте в описании канала @HighLoadChannel
⠀
Легендарный Кевин Митник рассказывал о своем практическом опыте социальной инженерии. Мы же, проводя проекты по социотехническому тестированию на проникновение, в какой-то степени лишь повторяем его сценарии или сценарии коллег. Но почему? Потому что мы отталкиваемся только от чьего-либо опыта, а не от базы.
⠀
Представьте, насколько был бы эффективен пентест в иной области, если бы все, практически бездумно, повторяли проверки коллег, не понимая, как оно работает изнутри?
⠀
В этом докладе мы поговорим с вами о базе. О тех психологических механизмах, которые лежат в основе психологии влияния. Эти основы, подтвержденные многочисленными исследованиями и экспериментами социальных психологов 20 и 21 века, крайне эффективно используются в различных областях, от фишинга, маркетинга и продаж, до любовных аферистов и мошенников колл-центров «службы безопасности». Эти уязвимые механизмы - наше эволюционное наследие, legacy-код нашего мозга.
⠀
Мы разберём примеры скриптов, полученных из мошеннического колл-центра в Бердянске, а также примеры из собственной практики Антона. Эта база позволит вам писать собственные успешные сценарии, и эффективнее противостоять вредоносным манипуляциям.
⠀
Встречаемся на HighLoad++ 2023 в Москве 🙌
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Как безопасно настроить инфраструктуру, чтобы избежать незначительных ошибок в конфигурации? Ведь даже некритичные уязвимости могут привести к компрометации системы. Рассмотрим собирательный образ таких уязвимостей, чтобы избежать их у себя.
⠀
📍Подробности в статье: https://habr.com/ru/companies/oleg-bunin/articles/766288/
⠀
📍Подробности в статье: https://habr.com/ru/companies/oleg-bunin/articles/766288/
🔥 5 дней до завершения голосования.
⠀
Друзья, напоминаем, что до 15 октября у вас еще есть возможность проголосовать за самых достойных номинантов Премии HighLoad++.
Каждый ваш голос - это благодарность IT-лидерам и их решениям за вклад в развитие экосистемы интернет-разработки в России.
⠀
В этом году компания VK поддержала специальную номинацию «Развивающие проекты», посвященную людям и проектам, которые создают условия для развития: профессиональных разработчиков, новичков в IT и экспертных сообществ, специалистов в молодых цифровых профессиях или одарённых школьников.
Чтобы проголосовать вам необходимо авторизоваться в системе и выбрать трех достойных номинантов.
Вы можете отдать свои голоса в основном голосовании и в спец.номинации.
Имена победителей мы узнаем 27 ноября на церемонии награждения!
⠀
✅ Помните - ваш голос может быть решающим!
Отдать свой честный голос за достойного номинанта можно на сайте в описании канала @HighLoadChannel
P.S.: Обратите внимание, после голосования вы не можете изменить свой выбор.
⠀
Друзья, напоминаем, что до 15 октября у вас еще есть возможность проголосовать за самых достойных номинантов Премии HighLoad++.
Каждый ваш голос - это благодарность IT-лидерам и их решениям за вклад в развитие экосистемы интернет-разработки в России.
⠀
В этом году компания VK поддержала специальную номинацию «Развивающие проекты», посвященную людям и проектам, которые создают условия для развития: профессиональных разработчиков, новичков в IT и экспертных сообществ, специалистов в молодых цифровых профессиях или одарённых школьников.
Чтобы проголосовать вам необходимо авторизоваться в системе и выбрать трех достойных номинантов.
Вы можете отдать свои голоса в основном голосовании и в спец.номинации.
Имена победителей мы узнаем 27 ноября на церемонии награждения!
⠀
✅ Помните - ваш голос может быть решающим!
Отдать свой честный голос за достойного номинанта можно на сайте в описании канала @HighLoadChannel
P.S.: Обратите внимание, после голосования вы не можете изменить свой выбор.
❤🔥3🔥3😱1
Из доклада Григория Бутейко узнаем про BARSiC — асинхронной репликации и консенсусе для 70 баз данных.
⠀
Ядром ВКонтакте являются 70 специализированных баз данных (движков), организованных в 800 кластеров, имеющих в сумме 10000+ шардов.
⠀
Чтобы безболезненно переживать отказы мастера шарда, они сделали BARSiC (Binlog Asynchronous Replication using Simple BD interface + Consensus) — в простонародье Барсик. Это система, которая обеспечивает автоматическое переключение ролей реплик и консистентность данных между ними, при этом не усложняет и не замедляет сами движки.
⠀
Григорий расскажет, как они проектировали BARSiC, почему отказались от стороннего консенсуса и каким образом с помощью модели TLA+ проверяют корректность кода Барсика на Go.
⠀
Встречаемся на HighLoad++ 2023 🙌
⠀
✅ Программа конференции и билеты на сайте в описании канала @HighLoadChannel
⠀
Ядром ВКонтакте являются 70 специализированных баз данных (движков), организованных в 800 кластеров, имеющих в сумме 10000+ шардов.
⠀
Чтобы безболезненно переживать отказы мастера шарда, они сделали BARSiC (Binlog Asynchronous Replication using Simple BD interface + Consensus) — в простонародье Барсик. Это система, которая обеспечивает автоматическое переключение ролей реплик и консистентность данных между ними, при этом не усложняет и не замедляет сами движки.
⠀
Григорий расскажет, как они проектировали BARSiC, почему отказались от стороннего консенсуса и каким образом с помощью модели TLA+ проверяют корректность кода Барсика на Go.
⠀
Встречаемся на HighLoad++ 2023 🙌
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
В докладе Эдгара Сипки мы разберем Protobuf и buf: блеск, нищета и импортозамещение.
⠀
В мире быстрых технологий и постоянно меняющихся требований, инструменты, которые обеспечивают эффективность и совместимость, становятся ключевыми. Однако, что делать, когда доступ к таким инструментам ограничен из-за политической обстановки?
⠀
В этом докладе мы погрузимся в мир Protobuf и инструмента buf, мощной утилиты для линтинга прото файлов, проверки обратной совместимости API, генерации кода и валидации запросов. Эдгар расскажет о разнообразии фич и удобств, которые предлагает buf.
⠀
Однако, как и в любой бочке меда есть ложка дегтя - его недоступность в России из-за санкций. Эта проблема подтолкнула Эдгара и команду к разработке собственного решения, замещающего сервер buf.
⠀
Эдгар поделится историей реверс-инжиниринга сервера buf и процессом создания собственного сервера, который хотя бы частично, но смог заменить функционал их пакетного менеджера.
⠀
Встречаемся на HighLoad++ 2023, в рамках которой пройдет Golang Conf 2023 🙌
⠀
✅ Узнать подробнее программу конференции можно на сайте в описании канала @HighLoadChannel
⠀
В мире быстрых технологий и постоянно меняющихся требований, инструменты, которые обеспечивают эффективность и совместимость, становятся ключевыми. Однако, что делать, когда доступ к таким инструментам ограничен из-за политической обстановки?
⠀
В этом докладе мы погрузимся в мир Protobuf и инструмента buf, мощной утилиты для линтинга прото файлов, проверки обратной совместимости API, генерации кода и валидации запросов. Эдгар расскажет о разнообразии фич и удобств, которые предлагает buf.
⠀
Однако, как и в любой бочке меда есть ложка дегтя - его недоступность в России из-за санкций. Эта проблема подтолкнула Эдгара и команду к разработке собственного решения, замещающего сервер buf.
⠀
Эдгар поделится историей реверс-инжиниринга сервера buf и процессом создания собственного сервера, который хотя бы частично, но смог заменить функционал их пакетного менеджера.
⠀
Встречаемся на HighLoad++ 2023, в рамках которой пройдет Golang Conf 2023 🙌
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
При обработке больших данных с помощью Apache Spark наиболее трудозатратным этапом считается Shuffle stage, когда вся информация активно перемещается. А возникает он в вашем плане, как только вы задумываетесь о группировке или джойнах. Но всегда ли он необходим? Нет! Дело в том, что зачастую Spark не знает, как эффективно использовать метаданные источника данных, поэтому строит универсальные способы исполнения.
В этом докладе на конференции Saint HighLoad++ 2023 Алексей Шишкин из Яндекса рассказал, как они ускорили выполнение агрегаций и джойнов на отсортированных данных внутри YTsaurus. Для этого придется покопаться во внутренностях механизмов выполнения запросов, чтения данных и генерации планов исполнения.
В этом докладе на конференции Saint HighLoad++ 2023 Алексей Шишкин из Яндекса рассказал, как они ускорили выполнение агрегаций и джойнов на отсортированных данных внутри YTsaurus. Для этого придется покопаться во внутренностях механизмов выполнения запросов, чтения данных и генерации планов исполнения.
🔥 Если вы разработчик опенсорсного решения — у вас есть возможность рассказать о нем крупнейшему IT-сообществу России на опенсорс-трибуне HighLoad++ 2023, которая пройдет при поддержке Яндекса!
⠀
Многотысячная аудитория хайлоадеров узнает о лучших опенсорс-решениях и увидит их авторов.
⠀
У каждого выступающего будет 15 минут:
10 минут на презентацию и 5 минут на ответы.
⠀
✅ Подать заявку на участие можно до 22 октября по ссылке
⠀
Многотысячная аудитория хайлоадеров узнает о лучших опенсорс-решениях и увидит их авторов.
⠀
У каждого выступающего будет 15 минут:
10 минут на презентацию и 5 минут на ответы.
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5🏆1
С Михаилом Жилиным и Павлом Конотоповым обсудим мифы и реалии архитектуры мультимастера в реляционной СУБД PostgreSQL.
⠀
Существуют несколько мифов о мультимастере: он медленный, сложно интегрировать с приложением, неудобен в обслуживании. Недавно Михаилу и Павлу удалось получить опыт работы с мультимастером в реальных боевых условиях. Теперь они хотят поделиться плюсами, минусами и полезными советами при работе с мультимастером на примере продукта PostgresPro Enterprise:
⠀
- Как выжать максимальную производительность из мультимастера
- Почему можно забыть о проксях и балансировщиках
- Какой же trade-off и какие ещё бонусы можно получить
⠀
Ждем вас на профессиональной конференции для разработчиков высоконагруженных систем HighLoad++ 2023 🖐
⠀
✅ Ознакомиться с программой конференции и купить билет можно на сайте в описании канала @HighLoadChannel
⠀
Существуют несколько мифов о мультимастере: он медленный, сложно интегрировать с приложением, неудобен в обслуживании. Недавно Михаилу и Павлу удалось получить опыт работы с мультимастером в реальных боевых условиях. Теперь они хотят поделиться плюсами, минусами и полезными советами при работе с мультимастером на примере продукта PostgresPro Enterprise:
⠀
- Как выжать максимальную производительность из мультимастера
- Почему можно забыть о проксях и балансировщиках
- Какой же trade-off и какие ещё бонусы можно получить
⠀
Ждем вас на профессиональной конференции для разработчиков высоконагруженных систем HighLoad++ 2023 🖐
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
🤗3
Media is too big
VIEW IN TELEGRAM
Друзья, Антон Быстров приглашает вас на HighLoad++ 2023 🖐
⠀
Будем слушать интересные доклады, вдохновляться опытом коллег, узнавать тренды индустрии, много общаться и знакомиться 😎
Ознакомиться с программой конференции и купить билет можно на сайте в описании канала @HighLoadChannel
⠀
Будем слушать интересные доклады, вдохновляться опытом коллег, узнавать тренды индустрии, много общаться и знакомиться 😎
Ознакомиться с программой конференции и купить билет можно на сайте в описании канала @HighLoadChannel
⚡2🔥2👍1🤗1
⠀
На HighLoad++ 2023 пройдет «Прожарка архитектурных кейсов» - топовые эксперты разберут архитектурные решения участников и найдут все изъяны. В итоге каждый участник уйдёт с идеей, как исправить ситуацию.
⠀
Отправить кейсы для разбора можно на сайте в описании канала @HighLoadChannel
⠀
Как это будет:
⠀
Вы представляете свой кейс — какую задачу решали, в чём была сложность? Выслушав ваш рассказ, эксперты Прожарки зададут уточняющие вопросы .
⠀
Что вы получите:
⠀
- Эксперты подскажут, как сделать правильно, исправят ошибки, поделятся идеями именно под ваш кейс и расскажут о своём опыте
⠀
- Внимание со стороны заинтересованного сообщества
⠀
А еще каждый участник Прожарки получит бесплатный билет на конференцию и нетворкинг!
⠀
Ждем ваши кейсы и до встречи на HighLoad++ 2023 🙌
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4⚡1🎉1
С помощью облачного сервис-провайдера клиент может заказать любое количество Kubernetes-кластеров динамически, но их администрирование — это очень много рутинных задач. Чтобы с ними справиться и не «заболеть» можно написать операторы.
⠀
📍Подробности в статье: https://habr.com/ru/companies/oleg-bunin/articles/766898/
⠀
📍Подробности в статье: https://habr.com/ru/companies/oleg-bunin/articles/766898/