Социальные сети Рунета
Пятница, 29 марта 2024

Java REPL вам не ScriptEngine Привет, Хабр! Меня зовут Дима, я разработчик в команде “Архитектура” в hh.ru. Среди прочего, я занимаюсь тем, что делаю разработку проще для коллег. Выполнение кода в продакшене является типовой задачей. Поэтому когда я услышал, что с этим есть проблемы, я решил заняться и...

Как технологии быстрой разработки могут стать источником неприятных уязвимостей Безопасность на реальных примерах всегда более интересна. Как тестировщик на проникновение, люблю, когда приходят проекты, построенные на фреймворках быстрой разработки (Rapid development), подобно Ruby-on-Rails, Django, AdonisJs, Express и так далее. Они позволяют очень бы...

Security Week 10: уязвимости в драйверах NVIDIA Вот что мы еще ни разу не обсуждали в формате дайджеста, так это уязвимости в драйверах для видеокарт. Компания NVIDIA опубликовала 28 февраля информацию о восьми уязвимостях: практически все позволяют повышать привилегии или выполнять произвольный код. Одна брешь относится ...

Сервер, ты меня слышишь? BROP-атака на примере задания NeoQUEST-2019 Как найти уязвимость на сервере, не имея информации о нём? Чем BROP отличается от ROP? Можно ли скачать исполняемый файл с сервера через переполнение буфера? Добро пожаловать под кат, разберём ответы на эти вопросы на примере прохождения задания NeoQUEST-2019! Читать дальш...

Как потерять доступ в лайв систему, просто пошарив исходный код Безопасность на реальных примерах всегда более интересна. Один раз пришел клиент с запросом на тестирование на проникновение. У него было достаточно много причин для беспокойства, среди прочих прозвучала и такая: “Несколько месяцев назад к нам пришел новый разработчик, полу...

[Перевод] Подробности о GraphQL: что, как и почему GraphQL сейчас, без преувеличения, это — последний писк IT-моды. И если вы пока не знаете о том, что это за технология, о том, как ей пользоваться, и о том, почему она может вам пригодиться, значит статья, перевод которой мы сегодня публикуем, написана специально для вас. Зд...

Выпутываемся из сетей Tarantool. Синхронизация нод при фильтрации трафика Компания Variti специализируется на защите от ботов и DDoS-атак, а также проводит стресс- и нагрузочное тестирование. Поскольку мы работаем как международный сервис, нам крайне важно обеспечить бесперебойный обмен информацией между серверами и кластерами в режиме реального...

[Перевод] Три типовых ошибки в сфере безопасности, о которых должен знать каждый React-разработчик Автор статьи, перевод которой мы сегодня публикуем, говорит, что React — это её любимая библиотека для создания интерактивных интерфейсов. React одновременно и лёгок в использовании, и достаточно хорошо защищён. Однако это не значит, что React-приложения совершенно неуязвимы...

[Из песочницы] Унификация правил валидации на примере Asp core + VueJS В статье описывается простой способ унификации правил валидации пользовательского ввода клиент-серверного приложеия. На примере простого проекта, я покажу как это можно сделать, с использованием Asp net core и Vue js. Разрабатывая веб приложения, мы как правило сталкаваемся...

Древности: Интернет 1999 года в 20 скриншотах Мы не умеем хранить данные. Нет, от лица отдельно взятого пользователя — немного умеем. Как работники компании — тоже можем, в виде бэкапов, резервирования и прочего. А вот так, чтобы в любой момент можно было прокрутить цифровую машину времени лет на двадцать назад — так н...

Web Security Testing Starter Kit Всем привет! Меня зовут Андрей. Уже 10 лет я занимаюсь поиском уязвимостей в различных веб-сервисах. и готов поделиться своими знаниями с вами. В мае прошлого года я выступал с докладом про это на конференции Heisenbug, а теперь готов поделиться своими знаниями еще и здесь,...

Security Week 32: дыра в iMessage, приватность голосового ввода 22 июля Apple выпустила обновление операционной системы iOS до версии 12.4, в котором были закрыты три серьезные уязвимости, обнаруженные экспертом из команды Google Project Zero Натали Сильванович. Самая опасная (CVE-2019-8646) позволяет красть данные с удаленного устройств...

Tarantool Kubernetes Operator Kubernetes в значительной мере упрощает эксплуатацию приложений. Он забирает на себя ответственность за развертывание, масштабирование и отработку отказов, а декларативная природа описания ресурсов упрощает управление сложными приложениями. Тarantool может выполнять роль ...

RESTinio — это асинхронный HTTP-сервер. Простой пример из практики: отдача большого объема данных в ответ Недавно мне довелось поработать над приложением, которое должно было контролировать скорость своих исходящих подключений. Например, подключаясь к одному URL приложение должно было ограничить себя, скажем, 200KiB/sec. А подключаясь к другому URL — всего 30KiB/sec. Самым инте...

[Перевод] Конференция BLACK HAT USA. Разбогатеть или умереть: зарабатываем в Интернете методами Black Hat. Часть 1 Ведущий: леди и джентльмены, это выступление очень забавное и очень интересное, сегодня мы собираемся поговорить о реальных вещах, которые наблюдаются в интернете. Этот разговор немного отличается от тех, к которым мы привыкли на конференциях Black Hat, потому что мы собирае...

Proof-of-Stake: взгляд изнутри В интернете ходит много обывательских статей и рассуждений, но достаточно мало информации по существу. В определённый момент автору стало понятно, что механика и множество связанных нюансов безопасности до конца не понятны даже многим разработчикам криптовалют. Это вскрылос...

Эксплуатация cookie-based XSS | $2300 Bug Bounty story ⠀Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уяз...

Steam Windows Client Local Privilege Escalation 0day Я не первый год занимаюсь поиском уязвимостей, и, казалось бы, многое видел, но есть такая часть работы, к которой не удается привыкнуть и которую не могу понять. Это абсолютное нежелание вендоров принимать информацию об уязвимостях и проблемах. Я понимаю, что очень неприятн...

[Перевод] Бесстрашная защита. Безопасность потоков в Rust Это вторая часть цикла статей «Бесстрашная защита». В первой мы рассказывали про безопасность памяти Современные приложения многопоточны: вместо последовательного выполнения задач программа использует потоки для одновременного выполнения нескольких задач. Все мы ежедневно ...

10 лучших техник веб-хакинга 2018 Каждый год сообщество экспертов по веб-безопасности выбирает TOP-10 техник атак на веб-приложения. Организатором конкурса выступает компания Portswigger, разрабатывающая один из лучших инструментов для тестирования на проникновение веб-приложений — Burp Suite. Под катом в...

9 типовых проблем в сети, которые можно обнаружить с помощью анализа NetFlow (на примере Flowmon) Относительно недавно мы публиковали статью “Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks”. Там мы кратко рассмотрели возможности этого продукта и процесс установки. Неожиданно для нас, после статьи и вебинара, поступило бо...

[Перевод] Повтор неудачных HTTP-запросов в Angular Организация доступа к серверным данным — это основа почти любого одностраничного приложения. Весь динамический контент в таких приложениях загружается с бэкенда. В большинстве случаев HTTP-запросы к серверу работают надёжно и возвращают желаемый результат. Однако в некоторы...

Uibook — инструмент для визуального тестирования React-компонентов с медиа-запросами Всем привет! Меня зовут Виталий Ризо, я фронтенд-разработчик в «Амплифере». Мы сделали Uibook — простой инструмент для визуального тестирования React-компонентов с реальными медиа-запросами. Расскажу, как он работает и чем может быть полезен вам. Читать дальше →

[Перевод] Конференция DEFCON 19. Три поколения DoS-атак (с участием аудитории в качестве жертв). Часть 1 Меня зовут Сэм Боун, я здесь, чтобы поговорить с вами о DoS-атаках, и вы мне в этом поможете. Мы немного поговорим о хактивистах, которые использовали такие атаки, потому что я нахожу их интересными. Они наглядно показывают, сколько вреда вы можете нанести различными видами ...

Ловушка (тарпит) для входящих SSH-соединений Не секрет, что интернет — очень враждебная среда. Как только вы поднимаете сервер, он мгновенно подвергается массированным атакам и множественным сканированиям. На примере ханипота от безопасников можно оценить масштаб этого мусорного трафика. Фактически, на среднем сервере ...

Что такое идеальная система отчетности. Реально ли понять что происходит в компании? Как должна выглядеть идеальная система отчетности в системе управления проектами? Можно ли принести компании реальную пользу, выгрузив что-то из системы управления, или это всегда будет просто формальностями? Можно ли найти в данных системы управления что-то интересное и нов...

[Из песочницы] Деплоим изоморфное веб-приложение на примере Nuxt.js В средних и больших проектах сайт не ограничивается одним сервисом  —  к примеру только сайтом, как правило существует база данных, API, сервер который маршрутизирует запросы ко всем этим сервисам. Выкатывать и обновлять все это без какой-либо стандартизации непросто, а мас...

Удаленное выполнение произвольного кода в протоколе RDP Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019-0708, позволяющей выполнить произвольный код на целевой системе. Читать дальше →

4 трудности при локализации мобильных игр на примере Fishing Clash — перевод Хабр, привет! Перевели статью Кевина Дабровски, креативного директора Ten Square Games. На примере их игры Fishing Clash он рассказал, какие у них случались факапы, и что делать, чтобы у вас такого не повторилось. Следует сразу разделить понятия: локализация и перевод — ...

Новая функция Google сделает поиск проще За поиском нужной информации — в Google Миллионы пользователей во всём мире ценят Google за его простоту и удобство. В отличие от региональных поисковиков вроде Яндекса и Baidu, Google отличает более широкий охват источников, который делает поиск нужной информации боле...

[Из песочницы] Как быстро увеличить размер диска на сервере Всем привет! Недавно столкнулся с простой на первый взгляд задачей — увеличить «на горячую» размер диска на сервере Linux. Описание задачи Есть сервер в облаке. В моем случае, это Google Cloud — Compute Engine. Операционная система — Ubuntu. Сейчас подключен диск размером 3...

В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное в...

Уязвимость в ProFTPD позволяет копировать файлы без разрешения и выполнять произвольный код При соблюдении определенных условий серверы ProFTPD уязвимы перед удаленным исполнением кода и атаками на раскрытие информации.

Tor Project отключил 13,5% серверов своей сети Причиной отключения стало то, что все перечисленные серверы использовали устаревшие и не поддерживаемые версии ПО Tor, что создавало риск раскрытия анонимности и потенциально позволяло организовать успешные кибератаки на сеть. В актуальных версиях программного обесп...

[Перевод] Государственный университет Адамс. Как взламывать веб-сайты. Часть 2 Государственный университет Адамс. Как взламывать веб-сайты. Часть 1 Давайте поговорим о нашей следующей атаке. Расскажу, как серверы вас идентифицируют. Для этого между браузером и сервером используется протокол HTTP без сохранения состояния, когда общение с сервером проис...

Представление произвольных полиномов в виде конечных разностей с произвольным шагом Введение В данной статье рассматривается возможность представление произвольного полинома произвольной целой степени n в виде конечных разностей. Подход в данной статье отличается от уже имеющихся тем, что все формулы выводятся для произвольного полинома с произвольными коэф...

«Яндекс» и сайты некоторых СМИ пострадали от DNS-атаки из Роскомнадзора Специалистам хорошо известно, что в механизме блокировок есть серьёзная уязвимость, допускающий внедрение в реестр блокировки произвольных IP-адресов. Для проведения атаки нужно ввести в DNS-записи любого заблокированного домена целевые IP-адреса, которые вы хотите «заблокир...

Application Security Manager. Разработчик или безопасник? Большинство успешных атак организации реализуется через уязвимости и закладки в софте. К счастью, сканер уязвимостей ПО уже рассматривается компаниями не как что-то экзотическое, а как необходимый элемент инфраструктуры защиты. Если при небольших объемах разработки можно исп...

Обеспечение безопасности в беспроводных протоколах на примере LoRaWAN Привет, Хабр. Мне хотелось бы в очередной раз поговорить о том, как обеспечивается базовый (читай: минимально необходимый) уровень безопасности данных в беспроводных сетях, используемых в IoT-устройствах, на примере LoRaWAN. Почему именно LoRaWAN? Во-первых, потому, что эт...

[Перевод] JWT: Атака на цифровую подпись VS MAC-атака Всем привет. Ни для кого не секрет, что ежемесячно OTUS запускает несколько абсолютно новых уникальных курсов, в этом месяце в их число вошел курс «Пентест. Практика тестирования на проникновение». По устоявшейся традиции, в преддверии старта курса, делимся с вами переводом ...

Выявляем атаку вируса-шифровальщика, получаем доступ к контроллеру домена и пробуем противостоять этим атакам WannaCry, NotPetya, BadRabbit и другие — вирусы-шифровальщики, которые гремели на весь мир ещё около года-двух назад. Сегодня об атаках таким типов вирусов шума меньше, но истории с атаками всё равно происходят. В этой статье я покажу один из инструментов для остановки ата...

[Из песочницы] Как я нашел свою первую уязвимость? Предисловие Всем привет. Мне 20 лет. Еще недавно я учился в лицее и готовился поступать в медицинский ВУЗ, а сейчас я — фулстэк разработчик в одной американской компании. На самом деле я очень рад, что с медициной у меня не вышло — программирование было моим хобби, а сейчас ...

Фильм, в котором был грунт. Исследование Яндекса и краткая история поиска по смыслу Иногда люди обращаются к Яндексу, чтобы найти фильм, название которого вылетело из головы. Описывают сюжет, запомнившиеся сцены, яркие детали: например, [как называется фильм там где мужик выбирает красная или синяя таблетка]. Мы решили изучить описания забытых фильмов и выя...

[Перевод] 7 ключевых индикаторов риска Active Directory на панели мониторинга Varonis Все, что нужно злоумышленнику, – это время и мотивация для проникновения в вашу сеть. Но наша с вами работа состоит в том, чтобы не дать ему этого сделать или, по крайней мере, максимально усложнить эту задачу. Нужно начать с определения слабых мест в Active Directory (дал...

Свежая RCE-брешь Drupal получила применение в кибератаках Взломщики сайтов взяли на вооружение RCE-уязвимость в Drupal, которую разработчики CMS-системы закрыли неделю назад. После публикации PoC-эксплойта к бреши злоумышленники стали активно сканировать Интернет в поисках незащищенных ресурсов и даже нашли дополнительный вектор ат...

Незакрытая в течение 19 лет уязвимость WinRar позволяет разместить распакованный файл в произвольном месте Специалисты по кибербезопасности из компании Check Point обнаружили серьезную уязвимость в архиваторе WinRar. Затем они же показали, как при помощи этой уязвимости можно распаковать файл в произвольное место — совсем не то, которое указывает пользователь. Ну а поскольку п...

Как я Telegram ломал Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Н...

Устаревший ключ DNSSEC подверг угрозе корневые сервера Как сообщает VeriSign, корневые сервера DNS подверглись массовой атаке запросами о данных DNNSEC после того, как был обновлён главный криптографический ключ.Начиная с октября, когда было произведено обновление, количество запросов к корневым серверам увеличилось в 75 раз - с...

[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...

Security Week 39: безопасность и банальные ошибки На прошлой неделе специалист по безопасности Авинаш Джайн обнаружил (новость, оригинальный блогпост) в общем доступе сотни пользовательских календарей в сервисе Google Calendar. Такие календари индексируются поисковыми сервисами, и в самом Гугле доступны по простому запросу ...

Как я стал уязвимым: сканируем ИТ-инфраструктуру с помощью Qualys Всем привет! Сегодня хочу рассказать про облачное решение по поиску и анализу уязвимостей Qualys Vulnerability Management, на котором построен один из наших сервисов. Ниже покажу, как организовано само сканирование и какую информацию по уязвимостям можно узнать по итогам....

Безопасность DHCP в Windows 10: разбираем критическую уязвимость CVE-2019-0726 Изображение: Pexels С выходом январских обновлений для Windows новость о критически опасной уязвимости CVE-2019-0547 в DHCP-клиентах всколыхнула общественность. Подогревали интерес высокий рейтинг CVSS и тот факт, что Microsoft не сразу опубликовал оценку эксплуатабельнос...

[Перевод] DNS по HTTPS – половинчатое и неверное решение Всё время существования интернета открытость была одной из его определяющих характеристик, и большая часть сегодняшнего трафика всё ещё передаётся без какого бы то ни было шифрования. Большая часть запросов HTML-страниц и связанного с этим контента делается прямым текстом...

Security Week 26: спам в сервисах Google Чаще всего в наших еженедельных дайджестах мы обсуждаем какие-то новые факты или события, связанные с информационной безопасностью. В некоторых случаях такие открытия представляют чисто теоретический интерес: например, уязвимости типа Spectre в современных процессорах вряд л...

Исследователи из Google: для защиты от Spectre требуется изменение архитектуры процессоров, программные патчи не помогут В январе 2018 года исследователи Google раскрыли в публичном доступе информацию о фундаментальной аппаратной уязвимости в большинстве современных процессоров, имеющих спекулятивное выполнение команд. Уязвимость Spectre (и смежная Meltdown) эксплуатирует механизм предсказания...

Динамическая CDN для WebRTC стриминга с низкой задержкой Ранее, анализируя возможности стандартных конфигураций серверов в Digital Ocean с точки зрения WebRTC стриминга, мы отмечали, что один сервер может обслужить до 2000 зрителей. В реальной жизни часто встречаются случаи, когда одного сервера недостаточно. Допустим, любители а...

Как меняется специфика работы с серверами приложений на примере OpenLiberty Привет, Хабр! Выступление Себастьяна Дашнера на java meetup в московском офисе IBM (нашел запись похожего выступления) подтолкнуло меня начать свое знакомство с легковесными серверами приложений, в частности, с OpenLiberty. И тогда я задумался: Какие преимущества дают ...

[Перевод] Почему единицу не относят к простым числам, и когда её вообще начали считать числом Мой друг инженер недавно меня удивил. Он сказал, что не уверен, является число 1 простым или нет. Я удивилась, потому что никто из математиков не считает единицу простым. Путаница начинается с определения, которое дают простому числу: это положительное целое число, которое ...

Chrome делает интернет более доступным для слабовидящих TalkBalk в Google Chrome - это функция доступности, которая помогает слабовидящим перемещаться по Интернету.Однако, когда речь идет об изображениях, функция ограничена чтением описаний изображений или же совсем пропускает их. Теперь Google официально запустил автоматические ...

Анализ инцидентов, связанных с кибератаками на блокчейн-проекты Все помнят взлет криптовалюты в 2017 году, когда кто-то впервые о ней узнал, а кто-то смог сколотить состояние или даже успел потерять его. История криптовалюты берет начало в 90-х годах прошлого столетия, а большую популярность она получила в 2009 году, когда появился битко...

Уязвимость в фильтрах AdBlock и uBlock позволяет выполнять произвольный код на веб-страницах При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev. Вот как описывается проблем...

Эксперты обнаружили уязвимости в трех VR-платформах ИБ-исследователи Алекс Радоча (Alex Radocea) и Филип Петтерссон (Philip Pettersson) на конференции REcon рассказали об уязвимостях удаленного исполнения кода в платформах виртуальной реальности Steam VR, High Fidelity и VRChat. По их словам, обнаруженные дыры открывали возмо...

Волшебная сила макросов, или как облегчить жизнь ассемблерного программиста AVR Про макросы в ассемблере написано много. И в документации, и в различных статьях. Но в большинстве случаев все сводится либо к простому перечислению директив с кратким описанием их функций, либо к набору разрозненных примеров готовых макросов. Цель этой статьи — описать опре...

Исследователи обнаружили в электросамокатах Xiaomi уязвимость, позволяющую удаленно (до 100 м) захватить контроль над транспортным средством Специализирующаяся на вопросах компьютерной безопасности американская компания Zimperium выявила серьезную уязвимость в электрических самокатах Xiaomi. Как утверждается, ошибка, связанная с управлением транспортным средством посредством Bluetooth, может быть использована зло...

Масштабирование приложения в Kubernetes на основе метрик из Prometheus Распространённая ситуация: у вас есть несколько приложений, у одного из них пиковая нагрузка приходится на дневное время, а в другие часы к нему никто не обращается (либо обращаются, но редко); при этом другим приложениям мощности кластера могут пригодиться и в ночное врем...

Умный сервис кэша на базе ZeroMQ и Tarantool Руслан Ароматов, главный разработчик, МКБ Привет, Хабр! Я работаю бэкенд-разработчиком в Московском кредитном банке, и за время работы у меня накопился некоторый опыт, которым я хотел бы поделиться с сообществом. Сегодня я расскажу, как мы писали свой собственный сервис к...

Предварительный обзор ASUS StudioBook S. Тонкая рабочая станция В последнее время мы все привыкли к тому, что для работы есть один ноутбук — MacBook Pro. Конечно, можно взять и более тонкую легкую версию, но она не даст вам такого набора возможностей и производительности в программах. С другой стороны, нужно понимать, что на рынке есть м...

Сервер push сообщений В любом современном интернет сервисе можно выделить всего две основные функции: • Первая — это авторизация пользователей. • Вторая — это моментальная отправка некоего события с сервера на клиент. Первый пункт, думаю, в пояснении не нуждается. Второй пункт, это клиент се...

[Из песочницы] Идея, как можно предоставлять сотрудникам временный доступ к ресурсам клиента, не светя лишний раз пароли Небольшая предыстория После лекции на HighLoad++ 2017. Я посмотрел этот доклад, “Как мы админа увольняли”, в записи. Докладчик сказал, что все web компании испытывает проблемы с паролями, и у меня появилась идея как это решить. Скорее всего кто-то уже сделал, но, если честно...

Security Week 35: статистика утекших паролей и атаки через Google Drive Прошедшая неделя отметилась как минимум двумя громкими событиями в сфере инфобезопасности. Впервые за долгое время для актуальных моделей Apple iPhone со свежей прошивкой iOS 12.4 доступен джейлбрейк (новость, пост на хабре). Джейлбрейк эксплуатирует уязвимость, которую закр...

Max Patrol 8. Обзор инструмента для управления уязвимостями Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, ка...

Программа конференции ZeroNights 2019 В этом году ZeroNights пройдет 12 и 13 ноября в Санкт-Петербурге в клубе А2 (пр. Медиков, 3). На конференции обсудят безопасность различных устройств, проблемы криптографии, уязвимости в популярном программном обеспечении для работы с DICOM, взлом IoT, атаки на механизмы J...

[Перевод] Облако — это просто чей-то компьютер Когда мы запустили в 2013 году Discourse, наши требования к серверу были высокими: 1 ГБ ОЗУ быстрый двухядерный ЦП быстрый твердотельный накопитель от 20 ГБ Я имею в виду не дешёвый общий cpanel-сервер, а выделенный виртуальный частный сервер с такими характеристиками. Н...

17 способов проникновения во внутреннюю сеть компании Безопасность. Слово означающие защищённость человека или организации от чего-либо/кого-либо. В эпоху кибербезопасности мы всё чаще задумываемся не столько о том, как защитить себя физически, сколько о том, как защитить себя от угроз извне (киберугроз). Сегодня мы поговорим...

Разработка гибридных PHP/Go приложений с использованием RoadRunner Классическое PHP-приложение — однопоточность, тяжелая загрузка (если вы конечно не пишите на микрофреймворках) и неизбежная смерть процесса после каждого запроса… Такое приложение тяжелое и медленное, но мы можем дать ему вторую жизнь гибридизацией. Чтобы ускорить — демонизи...

Число критически опасных уязвимостей веб-приложений в 2018 году выросло в три раза Доля приложений с критически опасными ошибками безопасности сегодня составляет 67%. Число критически опасных уязвимостей, которое в среднем приходится на одно веб-приложение, по сравнению с 2017 годом выросло в три раза. Среди них наиболее распространены уязвимости, связанны...

24-ядерный ARM-сервер на Banana Pi работает под управлением Ubuntu 18.04 Материснкая плата SynQuacer E-Series для 24-ядерного ARM-сервера Серверные процессоры на базе ARM давно угрожают позициям Intel в дата-центрах, но пока это лишь теоретическая угроза. До сих пор она не слишком реализовалась, если посмотреть на реальные случаи крупномасштаб...

Flow-протоколы как инструмент мониторинга безопасности внутренней сети Когда речь заходит о мониторинге безопасности внутренней корпоративной или ведомственной сети, то у многих возникает ассоциация с контролем утечек информации и внедрением DLP-решений. А если попробовать уточнить вопрос и спросить, как вы обнаруживаете атаки во внутренней сет...

Двойной VPN в один клик. Как легко разделить IP-адрес точки входа и выхода TL;DR В статье описывается самый простой способ настроить VPN-сервер, у которого IP-адрес для подключения VPN-клиентов отличается от IP-адреса, с которого клиенты выходят в интернет. Используете VPN для защиты приватности в интернете и арендуете для этого свой личный сер...

Искусство парсинга или DOM своими руками Привет, Хабр! Недавно я задался идеей создать простой язык разметки наподобие markdown, который отлично подходил бы для моих задач, а именно — быстрого написания лекций с форматированием и возможностью вставки математических формул «на лету», с применением одной лишь клавиат...

Как мы закрываем уязвимости в ОС Astra Linux Special Edition Операционных систем без уязвимостей не бывает — вопрос лишь в том, как эффективно разработчики их выявляют и закрывают. Наша ОС Astra Linux Special Edition здесь не исключение: мы постоянно проверяем и тестируем код на ошибки, нарушения логики, прочие баги и оперативно их ус...

Обеспечение отказоустойчивости хранилищ Всем привет! Недавно состоялся открытый вебинар «Обеспечение отказоустойчивости хранилищ». На нём рассмотрели, какие проблемы возникают при проектировании архитектур, почему выход из строя серверов — это не оправдание для падения сервера и как сокращать время простоя до ми...

СКУД моего ЖК — безопасность на двух болтах Спешу предупредить читателей: Данная статья написана только для ознакомления, и ни в коем случае не призывает к любым противоправным действием. Автор не несет ответственности за любые неправомерные действия совершенные людьми с использованием информации из данной статьи. Пр...

[Из песочницы] Визуализация времени возрождения Рошана В данной статье рассматривается перехват функций графического API на примере DirectX 9 под x64 применительно к игре Dota 2. Будет подробно рассказано, как внедриться в процесс игры, как изменить поток выполнения, приведено краткое описание внедряемой логики. В конце поговор...

[Перевод] Руководство для начинающих по серверной веб-разработке с Node.js Большую часть своей веб-карьеры я работал исключительно на стороне клиента. Проектирование адаптивных макетов, создание визуализаций из больших объемов данных, создание инструментальных панелей приложений и т. Д. Но мне никогда не приходилось иметь дело с маршрутизацией или ...

Не ходите в Африку гулять: как обстоят дела с интернет-цензурой на Черном континенте Последние несколько лет ознаменовали себя не только бурным развитием интернет-технологий и проникновением интернета в те регионы планеты, где даже с обычной мобильной связью тяжело. Разработаны и взяты на вооружение чиновниками инструменты интернет-цензуры, включая запрет...

С сожалением об отсутствии в C++ полноценного static if или… … как наполнить шаблонный класс разным содержимым в зависимости от значений параметров шаблона? Когда-то, уже довольно давно, язык D начали делать как "правильный C++" с учетом накопившегося в C++ опыта. Со временем D стал не менее сложным и более выразительным языком, чем C...

Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса После нахождения уязвимостей в мобайл-банкинге украинского банка (пост) я захотел немного сменить направление и перейти от финансовых сервисов к другим. На глаза попалась рекламная статья про обновлённое мобильное приложение такси, его я и выбрал своим подопытным. Здесь и...

[Из песочницы] Нейронные сети для трекинга рук в режиме реального времени Недавно исследователи из GoogleAI показали свой поход к задаче трекинга руки и определения жестов в реальном времени. Я как раз занимался подобной задачей и потому решил разобраться с тем как они подошли к решению, какие технологии они использовали, и как добились хорошей то...

Уход инженера-электронщика из Apple вызвал волнение среди биржевых спекулянтов. Как стать таким как он? 29 марта инженер по имени Жерард Вильямс Третий ушел из компании Apple. Это известие сразу опубликовал CNET и еще три десятка изданий во всем мире, не только технических, но и финансовых. Что же такого делал этот инженер, что его уход вызвал волнение среди биржевых спекулянт...

Заплатку для 0-day в Windows выпустила сторонняя компания Компания Acros Security выпустила исправление для уязвимости нулевого дня в операционной системе Windows 10. Брешь обнаружила ИБ-исследовательница, известная в Сети под псевдонимом SandboxEscaper, в конце декабря, однако Microsoft не закрыла ее в январском пакете обновлений....

[Из песочницы] Абстрактная фабрика на пальцах Написать данную статью меня заставили две причины. Совсем недавно я познакомился с паттерном Абстрактная фабрика. Как говорится – «Не умеешь сам, научи товарища». Известно, что один из лучших способов закрепления материала – это объяснение кому-либо ранее изученного. Вторая ...

Ящик Пандоры: разбираем эксплуатацию уязвимости WinRAR на примере задания NeoQUEST-2019 Как часто нам на помощь приходит старый добрый WinRAR! Из раза в раз он заботливо и бескорыстно распаковывает наши архивы, и запаковывает их обратно. Но мы стали старше, и теперь хочется попробовать что-то поинтереснее, правда? А тут как раз нашли 19-летнюю уязвимость, позв...

[Из песочницы] Типизация REST API для фронтенд разработчика Сегодня широкое распространение имеют следующие подходы для описания взаимодействия браузера и сервера, такие как OpenApi & GraphQL. В этой статье я расскажу о нашей попытке сделать статически типизированное REST API и избавить фронтенд команду от написания кода по нап...

Microsoft устранила два бага 0-day, замеченные в атаках Июльский набор патчей для продуктов Microsoft закрывает 77 уязвимостей, в том числе 15 критических и две уже используемые злоумышленниками. Одиннадцать критических уязвимостей выявлены в скриптовых движках и браузерах, остальные затрагивают DHCP-сервер, подсистему GDI+, фрей...

Уязвимость библиотеки Windows грозит отказом в обслуживании Эксперт по безопасности компании Google Тэвис Орманди (Tavis Ormandy) опубликовал уязвимость криптографической библиотеки, входящей в ОС Windows 8 и старше. Баг позволяет злоумышленнику вызывать критические ошибки ПО, которые в отдельных случаях устраняются только перезагруз...

Июльские патчи Oracle устранили более 300 угроз Корпорация Oracle выпустила очередной пакет обновлений безопасности (Critical Patch Update, CPU), закрыв в своих продуктах 319 уязвимостей. Свыше 50 багов получили высшую оценку угрозы, набрав 9,8 балла по шкале CVSS. Больше всего заплаток пришлось на приложения Oracle Finan...

VR\AR на вооружении цифрового ритейла «Я создал ОАЗИС, потому что чувствовал себя некомфортно в реальном мире. Не знал как ладить с людьми. Боялся всю свою жизнь. Пока не понял, что конец близок. Только тогда я понял, что наряду с тем какой жестокой и страшной может быть реальность, она остаётся единственным мес...

[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 41. DHCP Snooping и Nondefault Native VLAN Сегодня мы рассмотрим две важные темы: DHCP Snooping и «недефолтные» Native VLAN. Перед тем, как перейти к уроку, приглашаю вас посетить другой наш канал YouTube, где вы сможете просмотреть видео о том, как улучшить свою память. Рекомендую вам подписаться на этот канал, так ...

[Перевод] Конференция DEFCON 19. Три поколения DoS-атак (с участием аудитории в качестве жертв). Часть 2 Конференция DEFCON 19. Три поколения DoS-атак (с участием аудитории в качестве жертв). Часть 1 Но что еще хуже… Я попытался разработать проект для своих студентов, и получалось забавно, но проблема заключалась в том, что нельзя было посмотреть «убиваемые» адреса, так как эт...

Не просите Google Assistant набирать номер за вас, и вот почему Google Assistant Несмотря на ограниченную функциональность голосовых ассистентов, со многими задачами они так или иначе справляются. Например, очень удобно с их помощью записывать напоминания, устанавливать будильники или, скажем, набирать чей-то номер, не прикасаясь к смарт...

Microsoft пропатчила атакуемую уязвимость 0-day Майский набор обновлений для продуктов Microsoft закрывает брешь повышения привилегий, уже используемую в атаках. Уязвимость CVE-2019-0863 связана с функциональностью, отвечающей за формирование и отправку на сервер отчетов об ошибках Windows. Согласно бюллетеню, эксплуатаци...

[Перевод] Делаем стильный водопад из RiME прямо в Unity или UE4 Есть игры с таким запоминающимся визуалом, что страшно считать потраченное на его разработку время, взять хотя бы последний God of War или RDR2. А бывают проекты, которые подкупают своей атмосферной, даже если они далеки от ААА. Как пример — RiME не раз хвалили за стиль, зву...

[Перевод] Я выставил счёт $18 000 за статичную веб-страничку… и мне это сошло с рук Не так давно я работал контрактником, перескакивая с одного проекта на другой. С некоторыми краткосрочными проектами справлялся за неделю. Другие длились пару месяцев. Они приносили достаточно денег, чтобы взять отпуск. Но я предпочитал короткие, потому что там можно было ус...

HTTP/2-серверы под угрозой DoS-атак Специалисты компаний Google и Netflix нашли группу DoS-уязвимостей в конфигурациях HTTP/2-серверов крупных вендоров и в аналогичных решениях с открытым кодом. Обнаруженные баги позволяют даже не самому продвинутому злоумышленнику заблокировать сервер — вредоносный клиент обр...

Security Week 45: уязвимости Chrome и BlueKeep в дикой природе Компания Google выпустила апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019-13720) использовалась в реальных атаках и была обнаружена (новость, исследование) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019...

Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2 Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать да...

[Перевод] RxJava2. Модифицируем адаптер для обработки состояния отсутствия интернета Довольно часто необходимо делать повторные запросы в сеть, например, когда у пользователя не было интернета и он захотел получить данные из интернета. Неплохо бы было заново кинуть запрос при его появлении. Хорошая практика — показать пользователю определенный UI, который...

Злоумышленники опробуют новый эксплойт для Exim Зафиксированы первые попытки массовой эксплуатации недавно обнародованной уязвимости в почтовом агенте Exim. Пользователям продукта настоятельно рекомендуется обновить его до версии 4.92. В настоящее время Exim используют более половины почтовых серверов в Интернете. Для зло...

Фаззинг — важный этап безопасной разработки Многие компании ещё до конца не осознают плюсы использования фаззинга при разработке своих программных продуктов. А ведь безопасность продуктов должна идти рядом с разработкой. Потому что исправлять то, что уже сделано, трудозатратнее и гораздо дороже, чем сразу сделать хоро...

Тесты на Си без SMS и регистрации Недавно zerocost написал интересную статью «Тесты на C++ без макросов и динамической памяти», в которой рассматривается минималистический фреймворк для тестирования Си++ кода. Автору (почти) удалось избежать использования макросов для регистрации тестов, однако вместо них в ...

Security Week 41: больше уязвимостей в SIM-картах, дешифрование PDF На прошлой неделе получила развитие история про атаки на уязвимый софт в SIM-картах. Обнаруженная ранее активно эксплуатируемая атака SimJacker оказалась не единственной. Исследователи из компании Ginno Security сообщили о похожей проблеме в компоненте Wireless Internet Brow...

В сетях 5G уже найдены уязвимости Развертывание сетей 5G только начинается, а исследователи в области безопасности уже пытаются найти в них слабые места. По сообщению источника, недавно им удалось обнаружить три уязвимости в сетях 4G и 5G, которые можно использовать для перехвата телефонных звонков и от...

Гайд по автоматическому аудиту смарт-контрактов. Часть 2: Slither Анализатор: Slither Описание: Open-source static analysis framework for Solidity githib: https://github.com/trailofbits/slither Это статический анализатор кода, написанный на python. Он умеет следить за переменными, вызовами, и детектирует вот такой список уязвимостей. У каж...

ZombieLoad — новая уязвимость в процессорах Intel Исследователи обнаружили новую уязвимость в системе безопасности процессоров Intel, которая может использоваться для кражи  конфиденциальной информации. Уязвимости подвержены не только персональные компьютеры, но и облачные серверы, благодаря чему злоумышленники могут получ...

Как багхантеры перехватывали письма в пневмопочте на ZeroNights Про Bug Bounty уже многое сказано и необходимость подобных программ для компаний кажется очевидной. За время существования нашей собственной программы Почта Mail.ru выплатила более $250 000, средняя выплата составляет $379, чуть подробнее об этом мы уже писали. А сегодня, ...

Миллионам серверов Exim угрожает уже вторая опасная уязвимость за последние месяцы Все серверы Exim, работающие под управлением версии 4.92.1 и раньше, уязвимы перед новой проблемой, позволяющей выполнить произвольный код с root-привилегиями.

Как прокси применяют в информационной безопасности: 6 практических сценариев использования Изображение: Unsplash Прокси-серверы обычно используются в качестве «прокладки» между клиентом и веб-сайтом или онлайн-сервисов. Направление трафика через прокси помогает пользователям скрывать свое реальное местоположение и IP-адрес. При этом, прокси используют и компани...

Использование DiagnosticSource в .NET Core: теория DiagnosticSource — это простой, но весьма полезный набор API (доступен в NuGet пакете System.Diagnostics.DiagnosticSource), который, с одной стороны, позволяет различным библиотекам отправлять именованные события о своей работе, а с другой — позволяет приложениям подписывать...

Книга «GraphQL: язык запросов для современных веб-приложений» Привет, Хаброжители! У нас вышла книга по языку запросов GraphQL. Мы решили поделиться переводом главы «Анатомия запросов GraphQL» «Снежный клык» (Snowtooth) — выдуманный горнолыжный курорт. Ради примеров в данной главе мы сделаем вид, что это настоящая гора и мы там работ...

Новый сотрудник — dead or alive Всем привет! Продолжаю рассказывать об опыте управления в IT. Сегодня поговорим о вводе нового сотрудника в команду. Вы взяли инженера в штат. Когда он станет полноценной боевой единицей? Что делать, чтобы ускорить его адаптацию? Как оптимизировать этот процесс? В конце конц...

Пентест приложений с GraphQL В последнее время GraphQL набирает всё большую популярность, а вместе с ней растёт и интерес со стороны специалистов информационной безопасности. Технологию используют такие компании, как: Facebook, Twitter, PayPal, Github и другие, а это значит, что пора разобраться, как т...

В Exim пропатчили критическую уязвимость Разработчики почтового агента Exim выпустили экстренный патч к критической уязвимости своего продукта. Как уточняется в описании, злоумышленники могли атаковать системы версий 4.80–4.92.1 с включенным TLS, чтобы выполнить на сервере сторонний код с root-привилегиями. Описани...

После установки обновления Windows 10 на некоторых ноутбуках Lenovo придётся отключить Secure Boot Lenovo X260 ThinkPad с Windows 10 19 декабря 2018 года Microsoft выпустила экстренный патч KB4483229 для устранения 0day-уязвимости в Internet Explorer 9−11. Критическая уязвимость CVE-2018-8653 действительно требовала немедленных действий, ведь она позволяет злоумышленник...

Погружаемся в opensource-экосистему Android Disclaimer о том, что пост не призывает к радикальным формам фанатизмаКаждый выбирает свой "уровень погружения". Вам не обязательно следовать каждому пункту из этого поста. Моя цель — показать, насколько хорошо развита экосистема на данный момент и чего вы можете и не можете...

Кто хочет стать миллионером? Mail.ru обещает миллион рублей за уязвимости в новом браузере Atom Mail.ru Group представила новый браузер Atom с акцентом на безопасность и приватность пользователей. Для проверки компания запустила публичную программу поиска уязвимостей.  Пользователям, которые найдут серьёзную уязвимость в Atom обещана награда в размере одного...

6 настольных игр для прокачки английского Геймификация обучения — это отличный способ поднять мотивацию ученика и повысить получаемые результаты. Причина проста — игры помогают поддерживать стабильный и высокий интерес к предмету. А там включаются механизмы запоминания и ассоциаций. Вы ведь обращали внимание, чт...

Разбираем уязвимости проверки сертификатов SSL/TLS в небраузерном софте Первоначально разработанный для браузеров, SSL/TLS-протокол позже стал стандартом де-факто вообще для всех защищенных интернет-коммуникаций. Сейчас он используется для удаленного администрирования виртуальной инфра­структуры, развернутой в облаке, для передачи платежных рекв...

[Из песочницы] Рассылка Push-уведомлений с SpringBoot сервера Предисловие Приветствую Вас. Недавно передо мной стала задача — настроить Push-уведомления на сайте. С этим я столкнулся впервые и во много разобраться мне помогла эта статья. В ней же уже есть описание серверной стороны, но, в процессе изучения данной темы я обнаружил более...

[recovery mode] Data as a Service: что это такое, технические сложности и как их обойти с помощью резидентных прокси Data as a Service (DaaS) – относительно новая модель дистрибуции данных, которая подразумевает, что информация сбором, управлением и хранением нужной информации компании и пользователи занимаются не самостоятельно, а делегируют эту задачу специализированным провайдерам. ...

Строим пайплайн автоматизированного тестирования на Azure DevOps Недавно я столкнулся с не очень популярным пока зверем в мире DevOps, пайплайнами Azure DevOps. Сразу же ощутил отсутствие каких то внятных инструкций или статей на тему, не знаю с чем это связанно, но Microsoft явно есть над чем поработать в плане популяризации инструмента....

MVCC-7. Автоочистка Напомню, что мы начали с вопросов, связанных с изоляцией, сделали отступление про организацию данных на низком уровне, подробно поговорили о версиях строк и о том, как из версий получаются снимки данных. Затем мы рассмотрели внутристраничную очистку (и HOT-обновления), обыч...

FaceApp собирает личную информацию FaceApp - это новейшее вирусное приложение благодаря своей способности показывает, как можно выглядеть в разных обстоятельствах. Это приложение впервые стало популярным несколько лет назад благодаря своим сменным фильтрам. Однако, наряду с его новой популярностью, существую...

Как выбрать VPS О том, зачем нужен и какой бывает веб-хостинг читайте в нашем посте «Хостинг: варианты, сравнения, пользовательская статистика». Здесь же мы сразу перейдём к теме статьи, название которой содержательней любого вступления.  Конечно, в статье мы будем приводить примеры из с...

Раскрыты детали вредоносной кампании на пользователей iPhone 29 августа группа Project Zero после тщательного исследования опубликовала детальную информацию об обнаруженных векторах атак в ходе массовой кампании по похищению данных пользователей iPhone. Результатом успешной атаки на пользователя являлся запуск агента слежения («имплан...

Смартфон Huawei P30 Pro отправляет запросы на китайские серверы Сетевые источники сообщают о том, что флагманский смартфон Huawei P30 Pro осуществляет отправку запросов, а возможно, и данных, на китайские правительственные серверы. Это происходит, даже если пользователь не подписан на какие-либо услуги Huawei. Такое заявление было опубли...

Генерация простых чисел В продолжение темы, начатой в этой серии статей, сегодня мы поговорим о генерации простых чисел. Генерация бывает вероятностной и бывает гарантированной. Так вот, наш случай — с гарантией, которая позволяет использовать получаемые числа в приложениях, связанных с криптографи...

Об одной уязвимости, которой нет В конце марта 2019 года американская компания Trustwave, занимающаяся кибербезопасностью и сервисами по защите от угроз, опубликовала сообщение об уязвимости в СУБД PostgreSQL, которая присутствует во всех версиях, начиная с версии PostgreSQL 9.3 по версию 11.2. Эта уязвимо...

Октябрьский апдейт Android устраняет критические RCE-баги Компания Google выпустила заплатки для трех критических уязвимостей в библиотеках мультимедиа ОС Android (Media framework). Их эксплуатация позволяет злоумышленнику удаленно выполнить свой код. Совокупно октябрьский набор патчей для Android закрывает почти три десятка уязвим...

Чем живёт домашний интернет и статистика сервера доменных имён Домашний роутер (в данном случае FritzBox) умеет многое регистрировать: сколько трафика когда ходит, кто с какой скоростью подключён и т.п. Узнать, что скрывается под непонятными адресатами, мне помог сервер доменных имён (DNS) в локальной сети. В целом, DNS оказал положите...

Сайт который не взлетел Сегодня я покажу вам пример обычного сайта и как он продвигается. Это совершенно обычный сайт, не лучший, но и не худший. Начнём. Вот сам сайт — http://monastery-russia.ru/ Идея проекта простая: По запросам монастырей очень хорошая посещаемость. А всего монастырей в Ро...

Security Week 17: атаки по цепи поставок В начале апреля мы обсуждали атаку ShadowHammer на ноутбуки Asus как пример вредоносной кампании с использованием цепочки поставщиков. Атаки на supply chain представляют особый интерес для исследователей и особую опасность для бизнеса именно потому, что компрометируют довере...

Инвентаризация от И до Я. Считаем ИТ-активы На этом скриншоте результат работы Quest KACE относительно компьютера бухгалтера одной из российских компаний. Выяснилось, что часть ПО установлена, но не используется. Здесь приведены цены, по которым это ПО закупалось. В вашем случае цена на ПО может отличаться, здесь ва...

Защита облачных сервисов Office 365: тестирование Check Point Cloud Guard SaaS Привет, Хабр! Меня зовут Борис, и я отвечаю за информационную безопасность клиентских и внутренних сервисов в Linxdatacenter. Сегодня мы поговорим о том, как защитить от утечки и потери данных корпоративную почту в Office 365.  Страшный сон ИТ-инженера — толпа коллег с пан...

Neoquest 2019: «Связь с небесами» Недавно закончился очередной NeoQuest. Под катом разбор третьего задания, относящегося к поиску web-уязвимостей и немножко фишингу. Интересно, как обмануть Telegram бота и заставить его поделиться ключом? Тогда добро пожаловать под кат. Читать дальше →

[Перевод] PowerShell в роли инструмента для пентеста: скрипты и примеры от Varonis Хакеры любят использовать PowerShell для запуска «fileless malware» — бестелесных вредоносных программ, которые не являются традиционными бинарными файлами с компилированным вредоносным кодом, и по этой причине подчас не могут быть обнаружены антивирусными решениями. Powe...

В роутерах Cisco ASR 9000 закрыта опасная уязвимость Компания Cisco Systems пропатчила критическую уязвимость в сервисных маршрутизаторах серии ASR 9000. Согласно бюллетеню, атака через эту лазейку позволяет получить доступ к устройству на уровне администратора, а также вызвать на нем состояние отказа в обслуживании. Уязвимост...

Оптимизация запросов базы данных на примере B2B сервиса для строителей Как вырасти в 10 раз под количеству запросов к БД не переезжая на более производительный сервер и сохранить работоспособность системы? Я расскажу, как мы боролись с падением производительности нашей базы данных, как оптимизировали SQL запросы, чтобы обслуживать как можно бол...

Capesand: новый эксплойт-пак со старым кодом Злоумышленники опробуют пакет эксплойтов Capesand, находящийся в стадии активной разработки. Анализ показал, что новый инструмент заимствует исходные коды схожего проекта, выложенные в открытый доступ на GitHub пять лет назад. Эксплойт-пак Capesand впервые засветился в ходе ...

Бойтесь уязвимостей, воркэраунды приносящих. Часть 1: FragmentSmack/SegmentSmack Всем привет! Меня зовут Дмитрий Самсонов, я работаю ведущим системным администратором в «Одноклассниках». У нас более 7 тыс. физических серверов, 11 тыс. контейнеров в нашем облаке и 200 приложений, которые в различной конфигурации формируют 700 различных кластеров. Подавл...

Как делать скриншоты в приложениях, которые запрещают это Сделать скриншот на смартфоне не всегда просто. Некоторые приложения препятствуют снятию снимка экрана, но ограничение можно обойти.

Разворачиваем автоматизацию за пару часов: TypeScript, Protractor, Jasmine Привет, Хабр! Меня зовут Виталий Котов, я довольно много занимаюсь автоматизацией тестирования и мне это нравится. Недавно я участвовал в проекте по настройке автоматизации «с нуля» на стеке TypeScript + Protractor + Jasmine. Для меня этот стек был новым и необходимую инфор...

Вулканический поросенок, или SQL своими руками Сбор, хранение, преобразование и презентация данных — основные задачи, стоящие перед инженерами данных (англ. data engineer). Отдел Business Intelligence Badoo в сутки принимает и обрабатывает больше 20 млрд событий, отправляемых с пользовательских устройств, или 2 Тб входя...

Ну, Android, а ты OMA CP… Недавно мы «порадовали» пользователей iPhone проблемами безопасности BLEee, но вряд ли мы сторонники какого-либо из фронтов в извечном споре Apple vs. Android, и готовы рассказать «отличную» новость про Android, если, конечно, в вашей душе есть место для злорадства. Исследо...

[Перевод] Асинхронное программирование в Python: краткий обзор Когда говорят о выполнении программ, то под «асинхронным выполнением» понимают такую ситуацию, когда программа не ждёт завершения некоего процесса, а продолжает работу независимо от него. В качестве примера асинхронного программирования можно привести утилиту, которая, работ...

В Exim устранили еще один RCE-баг Разработчики популярных почтовых агентов Exim в экстренном порядке выпустили обновление 4.92.3. Оно закрывает критическую уязвимость, позволяющую удаленно вызвать отказ в обслуживании или даже выполнить произвольный код на сервере. Проблема, получившая идентификатор CVE-2019...

[Перевод] Создание игровых 3D-моделей «для бедных»: путь инди Вы когда-нибудь задумывались о том, как работает небольшая инди-студия, занимающаяся разработкой видеоигр? Создавать игры с очень маленьким бюджетом можно, но для этого необходима смекалка, много труда и ещё больше любви к своему делу. Мы — небольшая команда из Польши. Нас...

Учимся писать Waves смарт-контракты на RIDE и RIDE4DAPPS. Часть 1 (Многопользовательский кошелек) Всем привет! Совсем недавно Waves Labs анонсировал конкурс для разработчиков приуроченный к релизу в тестовую сеть расширения языка смарт-контрактов RIDE для децентрализованных приложений Ride4Dapps! Мы выбрали кейс DAO, так как Ventuary планирует заниматься разработкой dAp...

ТОП-10 уязвимостей IoT-устройств К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей. В среднем между временем подключения...

[Перевод] В Android и Google Photos обнаружены новые уязвимости, позволяющие украсть данные о пользователях Недавно исследователи обнаружили две несвязанные друг с другом уязвимости в продуктах Google. Imperva нашла способ провести атаку по сторонним каналам на Google Фото, которая позволяет злоумышленникам собирать информацию о местонахождении, времени и информации из личных учет...

Perf и flamegraphs Огромную популярность набирает тема повышения производительности операционных систем и поиска узких мест. В этой статье мы расскажем об одном инструменте для поиска этих самых мест на примере работы блочного стека в Linux и одного случая траблшутинга работы хоста. Пример ...

Потенциальные атаки на HTTPS и как от них защититься Половина сайтов использует HTTPS, и их число стабильно увеличивается. Протокол сокращает риск перехвата трафика, но не исключает попытки атак как таковые. О некоторых их них — POODLE, BEAST, DROWN и других — и способах защиты, мы расскажем в нашем материале. Читать дальше...

КТТ в серверных решениях — как это выглядит? Примерно вот так. Это часть вентиляторов, которые оказались лишними и были демонтированы из двадцати серверов в тестовой стойке, размещенной в ЦОД DataPro. Под катом — трафик. Иллюстрированное описание нашей системы охлаждения. И нежданное предложение для очень экономных, н...

Смартфон Huawei P30 Pro связывается с китайскими серверами без видимых на то причин Группа ExploitWareLabs обнаружила, что новый смартфон Huawei P30 Pro, запрашивает данные с китайского сервера и, возможно, передаёт информацию обратно. Такое поведение устройства фиксируется даже в том случае, если пользователи не авторизуются в учётную запись Huawei ID. Спи...

В UC Browser обнаружена опасная функциональность Эксперты компании «Доктор Веб» предупреждают об опасной уязвимости мобильного браузера UC Browser и его облегченной версии UC Browser Mini. Незащищенная функция загрузки дополнительных компонентов позволяет злоумышленникам устанавливать на Android-устройства нежела...

[Перевод] Интеграционные тесты баз данных с помощью Spring Boot и Testcontainers 1. Обзор С помощью Spring Data JPA можно легко создавать запросы к БД и тестировать их с помощью встроенной базы данных H2. Но иногда тестирование на реальной базе данных намного более полезно, особенно если мы используем запросы, привязанные к конкретной реализации БД. В эт...

[Из песочницы] Инкапсуляция для настоящих самураев, или нюансы, связанные с ключевым словом internal в C# Пролог: internal is new public Каждый из нас мечтал о проекте, где всё будет сделано правильно. Это кажется вполне естественным. Как только ты узнаёшь о самой возможности писать хороший код, как только слышишь легенды о том самом коде, который можно легко читать и изменять, ...

Как закалялись бойцы ру->нета. Немного реальной истории Беседуя сегодня с друзьями, начали вспоминать «как все было» в Рунете — причем не со слов политически ангажированных «Ашмановых и прочих приближенных», но как было реально. Подбили на написание статьи. Делать было нечего, написал набросок о чем дальше можно © По сути — р...

Как застраховать себя от возможных потерь при инвестициях на бирже: структурные продукты Изображение: Unsplash Главный стоп-фактор, который чаще всего останавливает людей от того, чтобы самостоятельно попробовать инвестировать на бирже – страх потерять деньги. Такой риск всегда есть, и его нужно учитывать. Однако сфера инвестиций развивается, и в последние го...

iOS 12.4 официально взломана. Кто виноват? Apple уделяет большое значение обновлениям своих операционных систем и издавна прививает это же чувство своим пользователям. Поэтому в Купертино всегда советуют устанавливать все апдейты без исключения, даже если они, на первый взгляд, не включают в себя новых функций. В ко...

[Из песочницы] Мониторинг доступности хостов на Powershell Всем доброго времени суток, хочу поделиться простой инструкцией «Как можно перестать вручную пинговать десяток хостов. Без регистрации и СМС!». С просторов Интернета Важно: я не программист и не системный администратор, но мне приходиться работать одновременно с большим на...

Тренды сферы финансов: крупным компаниям нужно все больше ИТ-специалистов Сфера финансов — высокотехнологичная отрасль. Для того, чтобы пользователи могли не вставая с дивана подать заявку на кредит или купить акции той или иной компании, задействуются различные протоколы передачи финансовых данных (например, FIX, FAST, Plaza II), терминалы, бро...

Обзор Hang Line. Необычный геймплей Стоит отметить, что за последнее время действительно необычных казуальных игр наблюдается крайне мало — разработчикам дорого выпускать подобные релизы. Намного проще взять и отправить в просторы интернета безликую копию чего-либо, чем заниматься созданием действительно уника...

В Twitter опубликовали эксплоит для неисправленной уязвимости в KDE Простой просмотр вредоносного файла .desktop или .directory может привести к выполнению произвольного кода.

Критический баг в SAP NetWeaver позволял угнать приложение Компания SAP выпустила августовский комплект патчей, исправляющий 13 уязвимостей в продуктах вендора. Три новых бага и одно обновление для уже внедренной заплатки получили критический рейтинг угрозы. Серьезные проблемы исправлены в сервере Java-приложений NetWeaver, решении ...

Чем проще задача, тем чаще я ошибаюсь Эта тривиальная задача возникла в один из пятничных дней и должна была занять 2-3 минуты времени. В общем, как всегда. Коллега попросил поправить скрипт у него на сервере. Сделал, сдал ему и обронил ненароком: «Время спешит на 5 минут». Сервер его, пусть сам и разбирается с...

[Перевод] Анонс Github Security Lab: защита всего кода вместе Мы все несем коллективную ответственность за обеспечение безопасности программного обеспечения с открытым исходным кодом — никто из нас не может это делать в одиночку. Сегодня в Github Universe мы объявили Github Security Lab. Место где соберутся вместе исследователи безоп...

Создание системы формальной верификации с нуля. Часть 1: символьная виртуальная машина на PHP и Python Формальная верификация — это проверка одной программы либо алгоритма с помощью другой. Это один из самых мощных методов, который позволяет найти в программе все уязвимости либо же доказать, что их нет. Более подробное описание формальной верификации можно увидеть на пример...

Доверие к мобильным SDK Недавняя история о бэкдоре в популярнейшей NPM-библиотеке заставила многих задуматься о том, насколько мы доверяем стороннему коду и как смело используем его в своих проектах (потенциально подставляя тем самым пользователей наших продуктов). Но ещё за месяцы до того, как ...

Security Week 31: уязвимость в VLC и испорченный телефон На прошлой неделе широко обсуждалась (новость) серьезная уязвимость в популярном медиаплеере VLC. Информация о проблеме была добавлена в реестр немецкого центра реагирования на угрозы CERT Bund и в американскую базу National Vulnerability Database. Изначально уязвимость CVE-...

Атомная безопасность и промышленное видеонаблюдение Мы видим запрос на видеоаналитику в ритейле, в сегменте HoReCa, в банковской сфере — нужно считать посетителей, идентифицировать новых и VIP-клиентов, вести «чёрный список». Эти запросы не имеют никакого отношения к атомной промышленности, а ведь одним из первых клиентов с...

Анализ производительности запросов в ClickHouse. Доклад Яндекса Что делать, если ваш запрос к базе выполняется недостаточно быстро? Как узнать, оптимально ли запрос использует вычислительные ресурсы или его можно ускорить? На последней конференции HighLoad++ в Москве я рассказал об интроспекции производительности запросов — и о том, что ...

Уязвимость софта для телеконфенций Zoom позволяет любым сайтам шпионить за пользователями через веб-камеру Изображение: Medium.com Исследователь безопасности обнаружил уязвимость в софте для проведения телеконференций Zoom. При использовании программы на компьютерах Mac, любой открытый пользователем сайт может активировать камеру на устройстве без запроса разрешения на данное ...

Security Week 38: слежка за мобильными устройствами через SIM-карту Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять л...

Security Week 40: уязвимость в BootROM мобильных устройств Apple В зависимости от ваших предпочтений к этой новости можно подобрать один из двух заголовков. Либо «серьезная уязвимость обнаружена в мобильных устройствах Apple вплоть до iPhone X», либо «наконец-то придумали новый способ для джейлбрейка iДевайсов (но это не точно)». Насчет д...

[Перевод] Краткое введение в Kustomize Прим. перев.: Статью написал Scott Lowe — инженер с большим стажем в ИТ, являющийся автором/соавтором семи печатных книг (преимущественно по VMware vSphere). Сейчас он работает в её дочерней организации VMware — Heptio (поглощена в 2016 году), специализируясь на облачных выч...

[Перевод] Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 2 Конференция DEFCON 20. Захват за 60 секунд: от гостевой учётной записи до администратора домена Windows. Часть 1 Хорошо то, что мы можем войти в локальную сеть, подделав DNS. А как насчёт социальной инженерии, учитывающей предпочтения и склонности пользователей? Пентестеры ...

[Перевод] Когда исчезнут JavaScript-фреймворки? Автор материала, перевод которого мы сегодня публикуем, веб-разработчик, говорит, что он старается регулярно пересматривать набор инструментов, которыми пользуется. Делает он это для того, чтобы понять, может ли он без некоторых из них обойтись, решая свои обычные задачи. Не...

Высокоуровневая репликация в СУБД Tarantool Привет, я занимаюсь созданием приложений для СУБД Tarantool — это разработанная в Mail.ru Group платформа, совмещающая в себе высокопроизводительную СУБД и сервер приложений на языке Lua. Высокая скорость работы решений, основанных на Tarantool, достигается в частности за сч...

Конференция «Информационная безопасность. Угрозы настоящего и будущего» 6 декабря, с 09:30 до 17:15 Офис Microsoft, БЦ «Крылатские холмы» Москва, ул. Крылатские холмы, 17 корпус 1 Приглашаем вас посетить мероприятие с экспертом по информационной безопасности мирового класса Паулой Янушкевич: «Информационная безопасность. Угрозы настоящего и ...

Пример простой нейросети, как результат разобраться что к чему Нейросети — это та тема, которая вызывает огромный интерес и желание разобраться в ней. Но, к сожалению, поддаётся она далеко не каждому. Когда видишь тома непонятной литературы, теряешь желание изучить, но всё равно хочется быть в курсе происходящего. В конечном итоге, ка...

Обфускация данных для тестов производительности Пользователи ClickHouse знают, что его главное преимущество — высокая скорость обработки аналитических запросов. Но как мы можем выдвигать такие утверждения? Это должно подтверждаться тестами производительности, которым можно доверять. О них мы сегодня и поговорим. Такие...

Cisco вне графика пропатчила менеджер сети ЦОД Компания Cisco Systems выпустила экстренные патчи для двух критических уязвимостей в Data Center Network Manager. В обоих случаях эксплойт позволял захватить контроль над атакуемой системой. Продукт Data Center Network Manager (DCNM) предоставляет пользователям платформу для...

Отказоустойчивый кластер PostgreSQL + Patroni. Опыт внедрения В статье я расскажу, как мы подошли к вопросу отказоустойчивости PostgreSQL, почему это стало для нас важно и что в итоге получилось. У нас высоконагруженный сервис: 2,5 млн пользователей по всему миру, 50К+ активных пользователей каждый день. Сервера находятся в Amazone в ...

Кластерное хранилище для небольших web-кластеров на базе drbd+ocfs2 О чем мы расскажем: Как быстро развернуть общее хранилище для двух серверов на базе решений drbd+ocfs2. Для кого это будет полезно: Туториал станет полезен системным администраторам и всем, кто выбирает способ реализации хранилища или хотят попробовать решение. От каких р...

Киберпреступники заинтересовались анализами ДНК Исследователь NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил в Интернете следы атак на оборудование для анализа ДНК. Кампания, которую ведут неизвестные злоумышленники из-под иранского IP-адреса, построена на уязвимости 2016 года. По словам эксперта, первые инцидент...

[Перевод] Деплоим ML проект, используя Flask как REST API, и делаем доступным через приложение на Flutter Введение Машинное обучение уже везде и, пожалуй, почти невозможно найти софт, не использующий его прямо или косвенно. Давайте создадим небольшое приложение, способное загружать изображения на сервер для последующего распознавания с помощью ML. А после сделаем их доступными ...

Как я делал управление компьютером с телефона Так получилось, что я оказался свободным от работы. С другой стороны, сидеть без дела не привык, а попробовать что-то новое давно хотелось. Долго думать не пришлось, так как давно слежу за развитием Flutter. Мобильной разработкой не занимался до этого вообще, поэтому было...

Очередной обход авторизации в публичных Wi-Fi сетях На эту тему уже было несколько статей — Как обойти SMS-идентификацию при подключении к публичным Wi-Fi сетям? и И еще раз: не пользуйтесь публичным WiFi, но появляются новые методы авторизации, поэтому пришло время поговорить об этом еще раз. Недавно в московском кафе я натк...

Австралийские веб-хостеры пострадали от взломщиков Специалисты Австралийского центра кибербезопасности (Australian Cyber Security Centre, ACSC) рассказали об атаках злоумышленников на поставщиков хостинговых услуг. Преступники взламывали уязвимые веб-сервера, чтобы добывать криптовалюту, организовывать мошеннические рекламны...

Сайты, использующие утилиту Adminer, подвержены взлому Киберпреступники взяли на вооружение уязвимость в PHP-утилите Adminer и крадут учетные данные для доступа к базам данных веб-ресурсов. В теории, они также могут внедрить в них вредоносные программы. К такому выводу пришел ИБ-специалист Виллем де Грут (Willem de Groot), изучи...

Построение процессов с нуля: от хаоса к порядку В этой статье я расскажу про построение рабочих процессов в небольшом отделе, занимающемся веб-разработкой. Отдел был сформирован с нуля и сразу начал автономную работу, поэтому нам пришлось самостоятельно выстраивать производственные процессы, наступать на всевозможные гр...

Security Week 14: ShadowHammer и supply chain Главная новость прошлой недели — таргетированная атака на владельцев устройств Asus через взломанную утилиту Asus Live Update. Исследователи «Лаборатории Касперского» обнаружили атаку в январе этого года: зараженная утилита для обновления драйверов на ноутбуках и компьютерах...

Миллионы серверов Exim находятся под атаками из-за свежей уязвимости Более половины всех почтовых серверов в интернете находятся под угрозой: злоумышленники уже эксплуатируют свежий баг почтовом агенте Exim.

[Из песочницы] Максимальный постоянный ток через полевой транзистор На просторах интернета достаточно много информации о полевых транзисторах (далее ПТ) и их параметрах, но один из довольно простых, на первый взгляд, параметров, а именно – максимальный постоянный ток, который транзистор может через себя пропустить в ключевом режиме, и не сго...

Особенности тестирования веб-приложения для видеосервиса Услуги потокового вещания по запросу (VOD) стали неотъемлемой частью нашей повседневной жизни. Video on Demand — это система доставки видеоконтента, которая позволяет зрителям выбирать контент (видео) и просматривать его в удобное время (по запросу) на любом устройстве, пр...

Зачем мы делаем Enterprise Service Mesh Service Mesh — известный архитектурный паттерн для интеграции микросервисов и перехода на облачную инфраструктуру. Сегодня в облачно-контейнерном мире обойтись без него довольно сложно. На рынке уже доступны несколько open-source реализаций service mesh, но их функциональнос...

Визуализация сортировок обменами В данной статье рассматриваются различные варианты сортировки обменами, а также даётся описание простого графического приложения (processing.js) с примерами сортировок. Перед прочтением рекомендую ознакомиться со статьями: → Сортировка обменами → Пузырьковая сортировка ...

Эксперты насчитали в Интернете 18 млн зараженных сайтов Ежегодный отчет по интернет-безопасности от экспертов SiteLock показал, что в 2018 году количество атак на веб-сайты выросло на 59%, достигнув среднего значения в 62 инцидента в сутки. Криптоджекинг и SEO-спам теряют популярность, а технологии скрытного присутствия, напротив...

VIP-тестирование Anthem с треском провалилось Крупные издатели видеоигр очень редко запускают свои новые франшизы, так как это всегда большой риск. Аудитории может не подойти сеттинг, геймплейные механики или сюжет, что приведёт к большим убыткам. На создание ААА-игры сейчас тратят больше денег, чем на съёмки блокбастер...

К Дню программиста. Программист в 2019 году Сегодня день программиста, 256-ой день в году. В интернете будет много шуток, на Хабре — статей, в пабликах — мемов, в офисах — пиццы, сладкого и приятных сюрпризов. Программирование сегодня стало настоящим культом, к которому стремятся прикоснуться любой ценой, ведь, по мне...

Security Week 12: клавиатурные атаки Когда мы писали про уязвимости в драйверах NVIDIA, стоило упомянуть, что чаще всего дополнительный вектор атаки в вашу систему добавляют не видеокарты, а беспроводные клавиатуры и мыши. Недавно исследователи из немецкой команды SySS обнаружили проблему в комплекте Fujitsu LX...

Как создать тёмную тему и не навредить. Опыт команды Яндекс.Почты Меня зовут Владимир, я занимаюсь мобильным фронтендом в Яндекс.Почте. В нашем приложении уже была тёмная тема, но недожатая: мы умели перекрашивать интерфейс и простые письма. Но письма с форматированием оставались светлыми и контрастировали с тёмным интерфейсом, из-за чего...

В Штатах ГОСТы тоже так себе. Фатальная уязвимость в YubiKey FIPS, которую можно было избежать Привет, %username%! 13 июня 2019 года компания Yubico, производитель устройств для двухфакторной аутентификации, выпустила уведомление о безопасности в котором говорится о критической уязвимости некоторых устройств Yubikey FIPS. Давайте посмотрим что это за уязвимость и к...

5 лайфхаков оптимизации SQL-запросов в Greenplum Любые процессы, связанные с базой, рано или поздно сталкиваются с проблемами производительности запросов к этой базе. Хранилище данных Ростелекома построено на Greenplum, большая часть вычислений (transform) производится sql-запросами, которые запускает (либо генерирует и...

Агентство по кибербезопасности США призывает срочно установить iOS 13.2 iOS 13.2, несмотря на баги, лучше всё-таки установить. И вот почему То, что сейчас происходит с Apple, походит на чёрную полосу, которую компания никак не преодолеет. iOS 13 оказалась настолько проблемной, что теперь в Купертино вынуждены, не покладая рук, проектировать свеж...

Небольшая история о том, как удобство иногда стреляет в колено Артем Азарьев, руководитель направления центра компетенций дистанционных каналов обслуживания дирекции информационных технологий МКБ Привет, Хабр! Меня зовут Артем Азарьев, я тимлид Android-команды Московского кредитного банка, и сегодня хочу поговорить о безопасности при...

Вредоносные расширения для Chrome Аудитория Одноклассников — 71 миллион в месяц. Так же, как и аудитория интернета в целом, наши пользователи подвержены распространенным угрозам безопасности: фишингу, вирусам, переиспользованию паролей. Экономическим двигателем атак на пользователей соцсети, как правило, я...

Обзор Pigeon POP. Атака голубей Казуальные игры это всегда крайне тонкая тема, которая требует от разработчика каких-то вложений. Не обязательно финансовых, иногда достаточно, чтобы студия потратила свое время и силы на создание чего-то интересного. Ведь никто не хочет в десятый раз играть в одну и ту же и...

MySpace потерял музыку, фото и видео, которые пользователи загружали с 2003 по 2015 годы Когда-нибудь это произойдёт с Facebook, Вконтакте, Google Drive, Dropbox и любым другим коммерческим сервисом. Все ваши файлы на облачном хостинге неизбежно будут потеряны со временем. Как это происходит — можно прямо сейчас наблюдать на примере MySpace, бывшего интернет-гиг...

О чем думать на NALSD собеседовании Я описывал ранее типичное кодинг-интервью. Помимо кодинга почти всегда есть вопрос на проектирование систем. (Large) System Design. В случае собеседований на SRE, это еще более интересный (как по мне) зверь — NALSD. Non-abstract large system design. Главное отличие между SWE...

Lenovo ThinkShield: мощный комплекс опций и услуг на страже безопасности корпоративных ПК Безопасность всегда была ключевым приоритетом для компании Lenovo. За долгие годы работы на рынках настольных и портативных компьютеров мы реализовали много различных опций и услуг для защиты этих ПК. Также мы единственные на рынке, кто смог внедрить защиту в процессы произв...

В Android исправлены две критические RCE-уязвимости Инженеры Google представили апрельский набор патчей для Android. Сразу несколько уязвимостей получили статус критических и две из них позволяют выполнить произвольный код.

[Перевод - recovery mode ] Использование Union вместо OR Иногда медленные запросы можно исправить, немного изменив запрос. Один из таких примеров может быть проиллюстрирован, когда несколько значений сравниваются в предложении WHERE с помощью оператора OR или IN. Часто OR может вызывать сканирование индекса или таблицы, которая м...

Security Week 49: взлом гостиничной инфраструктуры 28 ноября эксперты «Лаборатории Касперского» опубликовали интересное исследование о систематических атаках на компьютеры в гостиницах. Подтвержденных жертв кампании больше 20, потенциальных — больше тысячи. Исследованные атаки, скорее всего, ведут две разные группировки с не...

ГОСТ Р 57100-2016. Что это было? В сентябре 2017 года был введён Национальный стандарт Российской Федерации, получивший обозначение ГОСТ Р 57100-2016 (статус указан здесь, текст можно посмотреть тут) (я по простоте буду называть его «соткой», осознавая риск быть закиданным помидорами за такую отсебятину). П...

Xamarin.Forms — простой пример Host-based Card Emulation В этой статье будем реализовывать так называемую Host-based Card Emulation (HCE, Эмуляция банковской карты на телефоне). В сети много подробных описаний этой технологии, здесь я сделал акцент именно на получении работающих приложений эмулятора и ридера и решении ряда практич...

Обзор дешевых VPS-серверов Вместо предисловия или как так получилось, что появилась эта статья в котором рассказывается, зачем и почему проводилось это тестирование Полезно иметь под рукой небольшой VPS сервер, на котором будет удобно тестировать некоторые вещи. Обычно требуется, чтобы он ещё и был к...

Приложения Facebook и Instagram для Android в опасности. Будьте осторожны Facebook и Instagram представляют для вас опасность. Будьте осторожны Компания Facebook давно перестала ассоциироваться только с одноимённой социальной сетью. Сегодня всё большему числу пользователей, услышавшим название этого бренда, приходит на ум бесконтрольная слежка и с...

[Перевод] Общение внутри компании — работа каждого Продуманная стратегия внутреннего общения — основа высокой продуктивности коллектива Представьте себе типичное собрание всего коллектива: кто-то делает заметки и задает вопросы, кто-то опоздал и сидит, уткнувшись в телефон. Если при этом вы сами — руководитель, вам наверня...

Предварительный обзор Dynabook Tecra X50-F. Тонкий и мощный Сегодня мы поговорим о новом ноутбуке, который официально представили на выставке IFA 2019. Ноутбук достаточно привлекательный, у него высокая производительность и достаточно малый вес. При этом он работает от одного заряда достаточно долго, что тоже довольно приятно на само...

Состоялся релиз Kali Linux 2019.1   Состоялся rolling-release Kali Linux 2019.1, который содержит множество обновлений: обновленные пакеты, обновленное ядро 4.19.13, обновленные инструменты, а также 5 версию знаменитого фреймворка Metasploit. Kali Linux представляет из себя дистрибутив, содержащий множество...

[Перевод] Делать хорошо, делая плохо: написание «злого» кода с помощью Go, часть 1 Вредные советы для Go-программиста После десятилетий программирования на Java, последние несколько лет я в основном работал на Go. Работать с Go — здорово, прежде всего потому, что за кодом очень легко следовать. Java упростила модель программирования C ++, удалив множеств...

ChipWhisperer: атака по энергопотреблению на Магму Автор статьи: rakf В рамках Summer of Hack 2019 в Digital Security я разбирался с атакой по энергопотреблению и работал с ChipWhisperer. Что это? Анализ энергопотребления — это один из видов атак по сторонним каналам. То есть атак, использующих информацию, которая появляетс...

Дайджест новостей из мира PostgreSQL. Выпуск №16 Мы продолжаем знакомить вас с самыми интересными новостями по PostgreSQL. Главная новость июня EnterpriseDB приобретена инвестиционным фондом Great Hill Partners. Сумма сделки не разглашается. Майкл Стоунбрейкер назначен техническим советником. Энди Палмер вошел в совет ...

BlueKeep-2 — теперь уязвимы все новые версии Windows Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимо...

Oracle выпустила экстренные патчи для уязвимости в WebLogic, которую уже атакуют хакеры В минувшие выходные специалисты зафиксировали новую волну атака на серверы Oracle WebLogic. Злоумышленники использовали свежую уязвимость нулевого дня.

Hostinger сбросил 14 млн паролей из-за вероятной утечки Хостинг-провайдер Hostinger решил сбросить пароли 14 млн клиентских аккаунтов, которые могли быть скомпрометированы в результате кибератаки на серверы компании. Как сообщили представители организации, злоумышленники добрались до зашифрованных паролей, а также некоторых польз...

Визуальные эффекты и локации на новых скриншотах экшена Control Следующей игрой финской студии Remedy Entertainment станет боевик Control. Разработчики продолжают делиться информацией о проекте — на этот раз они показали несколько скриншотов из игры в разрешении 4К. Изображения демонстрируют визуальные эффекты собстве...

[Из песочницы] Вычисляемый сюжет или настольно-ролевая зараза К мысли о механике вычисляемых «самопишущихся» историй я пришёл в то время, как занимался форумными ролевыми играми. Текстовый формат игры накладывал определённые ограничения на использование систем, завязанных на броски кубика. Требуется специфическая площадка с поддержкой ...

[Перевод] Разработка веб-серверов на Golang — от простого к сложному Пять лет назад я начал разрабатывать Gophish, это дало возможность изучить Golang. Я понял, что Go — мощный язык, возможности которого дополняются множеством библиотек. Go универсален: в частности, с его помощью можно без проблем разрабатывать серверные приложения. Эта ...

Эксперты предупредили о небезопасных роутерах NETGEAR Исследователи Talos Intelligence обнаружили уязвимости в беспроводных роутерах NETGEAR. Из-за некорректной настройки рукопожатия между клиентом и точкой доступа злоумышленник может перехватить закрытые данные сетевых устройств. Баги содержатся в модуле ядра NetUSB одного из ...

Один из методов получения истории блокировок в PostgreSQL Продолжение статьи "Попытка создать аналог ASH для PostgreSQL ". В статье будет рассмотрено и показано на конкретных запросах и примерах — какую же полезную информацию можно получить с помощью истории представления pg_locks. Предупреждение. В связи с новизной темы и незавер...

Apple обвинил Google в запугивании владельцев iPhone Ранее группа анализа угроз Google Project Zero обнаружила сразу несколько сайтов, которые распространяли вредоносное ПО среди пользователей iPhone с операционными системами от iOS 10 до iOS 12. После посещения заражённого сайта, на iPhone устанавливался софт, которые крали ф...

CVE-2019-6111 и другие уязвимости в scp TL;DR; Совсем недавно ( примерно с 1983 года ) оказалось, что OpenSSH, как наследник rsh, для команды scp ( ex. rcp ) позволяет серверу выбрать, какой файл и с какими параметрами вам передать. А уязвимости вывода позволяют скрыть, какой именно файл вам передали. То есть прос...

Email-маркетинг на аутсорсе: как построить и чего ожидать В одной из наших предыдущих статей мы рассказывали, как выстроить email-маркетинг внутри компании. И если начать отправлять письма подписчикам не так уж и трудно, то для активного развития этого канала требуется больше сил и времени. Но что делать, если лишних ресурсов не...

[Перевод] Малварь, который читает мемы Давно не было статей про стеганографию. Вот вам пример того, как хакеры маскируют свои атаки под безобидный трафик, используя соц-сети. Читать дальше →

Python и FPGA. Тестирование В продолжение к первой статье, хочу на примере показать вариант работы с FPGA (ПЛИС) на python. В данной статье затрону подробнее аспект тестирования. Если фреймворк MyHDL позволяет людям, работающим на python, используя знакомый синтаксис и экосистему, заглянуть в мир FPGA,...

Используем данные на практике Между идеальным алгоритмом машинного обучения в вакууме и его применением на реальных данных часто лежит пропасть. Вроде бы берешь статью: алгоритм есть, сходимость для данных такого-то типа есть — бери и применяй. Но почему-то оказывается, что твоих данных недостаточно для ...

[Из песочницы] MicroPyServer простой HTTP сервер для ESP8266 и ESP32 Всем привет! Хочу рассказать о библиотеке MicroPyServer написанной на Python, которая позволяет взаимодействовать с устройствами ESP8266 и ESP32 посредством простого HTTP сервера. Что такое MicroPyServer? MicroPyServer это простой HTTP сервер предназначенный для проектов на...

Безопасность IoT. Выпуск 1. Умные часы, фитнес-трекеры и весы В своей прошлой статье я рассказывал, как съездил на DefCamp. Сегодняшняя статья — первая часть публикации о моих исследованиях в области безопасности интернета вещей, которые легли в основу выступления на конференции. IoT быстро развивается: сейчас насчитывается более 260...

[Перевод] F# 1: Hello World Этот текст является вольным переводом серии статей Sacha Barber из Brighton, UK , которые мне показались достаточно интересным Это первый пост в моей серии по F#. Итак, что мы собираемся охватить? Как хорошо знают многие программисты, принято начинать с примера «Hello World...

Безопасность клиентских приложений: практические советы для Front-end разработчика Как вы знаете, большая часть атак BlackHat-хакеров направлена на компрометацию серверных данных web-приложений и сервисов. При этом клиентскую часть сегодня атакуют не реже. Согласно сухому определению, любая атака — это комплекс мер со стороны хакера, направленных на сеть и...

По вашим заявкам: профессиональный тест SSD-накопителей Kingston DC500R и DC500M Вы просили показать реальные примеры использования наших корпоративных SSD-накопителей и профессиональные тесты. Предоставляем вашему вниманию подробный обзор наших SSD-накопителей Kingston DC500R и DC500M от нашего партнера Truesystems. Эксперты Truesystems собрали реальный...

[Из песочницы] Как я стал PMP и как это лучше не делать Я давно осознал, что делиться опытом — это полезно. Но только недавно я понял, что им можно делиться не только со знакомыми и близкими, но и со всеми. Поэтому, я хочу рассказать, как я шел к сертификации, почему я это делал и чем это закончилось. Читать дальше →

Как белка в колесе или немного про исследования пользователей в условиях ограниченных возможностей В интернетах можно найти очень много статей о том, как правильно общаться с пользователями и проводить юзабилити-тестирования. Но, как часто бывает, рисовали на бумаге и забыли про овраги. Не у всех и не всегда есть возможность, время, деньги … продолжаем перечислять дру...

Эх, что же стало с чемоданами?! На примере детского чемодана-самоката ZINC Грядет май, многие уезжают в первые отпуска с детьми, а потому время рассказать про презабавную, хоть и очень простую штуковину — детский «чемокат». Вообще, с чемоданами творится последнее время что-то странное… Читать дальше →

Существенно ускоряем выполнение задач на примере дополнительной настройки обновленной памяти HyperX FURY DDR4 Выбор оперативной памяти для рабочего или игрового ПК – головная боль для тех, кто хочет одновременно получить максимум производительности и не опустошить свой кошелёк. Нет, сегодня мы не будем в очередной раз говорить «такая-то память стоит столько и является оптимальным вы...

Facebook подала в суд на производителя шпионских решений из-за эксплуатации уязвимости в WhatsApp Facebook обратилась в суд с иском против израильской компании NSO Group, которая занимается разработкой и продажей шпионских решений и так называемой «легальной малвари». Камнем преткновения стала уязвимость нулевого дня в WhatsApp, которая использовалась для атак на правоза...

Cisco пропатчила опасные уязвимости в IP-телефонах Компания Cisco Systems пропатчила пять серьезных уязвимостей, объявившихся в ее IP-телефонах бизнес-класса. Пользователям затронутых устройств настоятельно рекомендуется обновить прошивки. Наличие уязвимостей подтверждено для некоторых моделей стационарных телефонов серии 88...

Книга «Kali Linux. Тестирование на проникновение и безопасность» Привет, Хаброжители! 4-е издание Kali Linux 2018: Assuring Security by Penetration Testing предназначено для этических хакеров, пентестеров и специалистов по IT-безопасности. От читателя требуются базовые знания операционных систем Windows и Linux. Знания из области информа...

Новогодние патчи для Adobe Acrobat Reader Праздник праздником, а работа над ошибками не должна прекращаться, решили в Adobe. Третьего января разработчики Acrobat и Reader выпустили патчи для двух критических уязвимостей. К счастью, с обновлением можно повременить. Новым заплаткам присвоен приоритет 2. Согласно приня...

Если уже стучат в дверь: как защитить информацию на устройствах Несколько предыдущих статей в нашем блоге были посвящены вопросу безопасности персональной информации, которая пересылается при помощи мессенджеров и социальных сетей. Теперь пришло время поговорить о мерах предосторожности относительно физического доступа к устройствам. ...

Безопасность алгоритмов машинного обучения. Защита и тестирование моделей с использованием Python В рамках предыдущей статьи мы рассказали про такую проблему машинного обучения, как Adversarial примеры и некоторые виды атак, которые позволяют их генерировать. В данной статье речь пойдет об алгоритмах защиты от такого рода эффекта и рекомендациях по тестированию моделей....

Мобильные сети 4G и 5G позволяют следить за пользователями Одна из тенденций в мире мобильной индустрии в текущем году, о которой мы последнее время нередко говорим, – сети нового поколения 5G. Любая технология, а особенно если она нова, подвержена рискам извне. Не избежали этой участи новые чипсеты для работы с 5G. Исследователи в...

Как повысить безопасность в системах идентификации личности и контроля доступа Мы уже писали о том, как с помощью системы видеонаблюдения контролировать периметр и обстановку внутри склада, магазина, автостоянки и других объектов. Но любая система безопасности дает максимальный эффект только в том случае, когда в ней используется одновременно несколь...

[Перевод] Mayhem — машина, способная находить уязвимости в программах и исправлять их Программа заняла первое место в конкурсе Cyber Grand Challenge от DARPA, посвящённом автоматизации этичного взлома В 2011 года, когда инвестор Марк Андриссен сказал, что «программы поедают мир», эта идея была свежей. Сейчас очевидно, что ПО проникает во все аспекты наших ж...

Шоу Трумана – 2019: как нейросети научили фальсифицировать новостную картину Чтобы создать для любого из нас «индивидуальную» новостную картину и фальсифицировать подобранные в ней сообщения СМИ, сегодня достаточно усилий одного программиста. Об этом «Известиям» рассказали специалисты по искусственному интеллекту и кибербезопасности. Совсем недавно, ...

Крадущийся тигр, затаившийся SQLAlchemy. Основы Доброго дня. Сегодня хочу рассказать про ORM SQLAlchemy. Поговорим о том, что это, про его возможности и гибкость, а также рассмотрим случаи, которые не всегда понятно описаны. Данная ORM имеет порог вхождения выше среднего, поэтому я попытаюсь объяснить всё простым языком ...

Почему надо создавать модули для nginx Nginx — это веб-сервер, который решает десятки бизнес-задач, гибко настраивается, масштабируется и работает почти на всех ОС и платформах. Список функций, возможностей и решаемых проблем из коробки можно расписать в небольшой брошюре. Но порой, ряд бизнес-задач можно решить,...

Логирование HTTP запросов в Spring Boot с использованием Бобины Приветствую, дорогие друзья! Сегодня я хочу продемонстрировать потрясающий пример того, как Бобина может помочь в очень распространённой ситуации — логирование HTTP запросов и ответов в Spring Boot. Даже больше! Мы будем логировать только сообщения HTTP в отдельные файлы. Чи...

Злая картинка. Разбираем уязвимость в GhostScript, чтобы эксплуатировать Pillow и ImageMagick Для подписчиковСпециалисты из Google Project Zero нашли несколько опасных уязвимостей в Ghostscript — популярной реализации PostScript. Правильно сформированный файл может позволить исполнять произвольный код в целевой системе. Уязвимости подвержена и библиотека Pillow, кото...

Поиск задач в JIRA (простым языком). Часть 2: Продвинутый поиск Структуру JQL-запросов без примеров сложно понять специалистам, не знакомым ранее с JIRA. Мы уже успели рассказать про быстрый и базовый поиск. Теперь же прейдем к самому мощному из трех методов — к продвинутому поиску. В этом режиме вы можете указывать критерии, которые ...

RAMBleed: извлечь RSA-ключ за 34 часа Представлена новая атака RAMBleed, основанная на методе Rowhammer. Теперь под ударом не только целостность, но и конфиденциальность пользовательских данных. Исследователи продемонстрировали атаку на OpenSSH, в ходе которой им удалось извлечь 2048-битный RSA-ключ. Как они...

[Из песочницы] Web MVC приложение без фреймворков и сервлетов Напишем небольшое веб приложение, без использование Web-фреймворков, внешних библиотек, и сервера приложений. Цель данной статьи показать общую суть происходящего под капотом веб-сервиса, на примере Java. Итак, поехали. Мы не должны использовать сторонние библиотеки, а так...

[recovery mode] Технология Progressive Streaming, или как смотреть 4k видео по сети, без фризов Сегодня никого не удивить скоростью интернета 100 Мбит\с., но существует проблема, как её использовать. Все основные операции загружают сеть не полностью. Одновременно с этим более высокую популярность получают тяжёлые форматы аудио и видео 4k-8k, которые хочется смотреть ...

Лучшие программы для взлома Wi-Fi сетей Android-смартфон способен на многое. В том числе и на то, чтобы взломать беспроводную сеть В одном из наших предыдущих материалов мы уже рассказывали вам о лучших хакерских приложениях. Чтобы не пропускать такие материалы — подпишитесь на наш канал в Телеграм, если эта...

[Перевод] История одного SQL расследования В декабре прошлого года я получил интересный отчет об ошибке от команды поддержки VWO. Время загрузки одного из аналитических отчетов для крупного корпоративного клиента казалось непомерно большим. А так как это сфера моей ответственности, я тут же сосредоточился на решении ...

Запуск SAP GUI из браузера Эту статью я сначала написал в свой блог, чтобы потом опять не искать и не вспоминать, но поскольку блог никто не читает, то этой информацией захотелось поделиться со всеми, вдруг кому пригодиться. Во время работы над идеей сервиса по сбросу пароля в системах SAP R/3 возник...

Privileged Access Management как приоритетная задача в ИБ (на примере Fudo PAM) Есть довольно интересный документ CIS Controls, который рассматривает Информационную безопасность с применением принципа Парето (80/20). Этот принцип гласит, что 20% защитных мер дают 80% результата с точки зрения защищенности компании. Ознакомившись с этим документом мног...

Регулятор взял в оборот Tesla из-за хвастовства по поводу высокой безопасности Model 3 Национальное управление безопасностью движения на трассах министерства транспорта США (National Highway Traffic Safety Administration, NHTSA) направило в прошлом году компании Tesla письмо с предупреждением о возможных санкциях за несоблюдение руководящих принципов NHTSA в с...

Уязвимость в соцсети «ВКонтакте» привела к волне спама Пользователи «ВКонтакте» столкнулись со спамерской атакой, построенной на не известной ранее уязвимости. По имеющимся сведениям, организаторы кампании пытались отомстить администрации соцсети за отказ платить по программе bug bounty. Вечером 14 февраля по «ВКо...

[Из песочницы] Настройка поиска Sphinx для интернет-магазина Информации по Sphinx не так много, как хотелось бы. Лишняя статья не помешает. Первые шаги в освоении Sphinx мне помогли сделать статьи Создание ознакомительного поискового движка на Sphinx + php и Пример Sphinx поиска на реальном проекте — магазин автозапчастей Tecdoc Совет...

Как отключить отслеживание поисковых запросов в Safari на iOS В наше время многие крупные компании, совершенно не стеснясь, занимаются сбором данных о пользователях. Взять за пример тот же Google. Поисковый гигант отслеживает буквально каждый наш шаг — начиная от полной истории запросов, заканчивая данными о ваших перемещениях и...

Управление договоренностями Давайте поговорим про управление договоренностями. Почему это вдруг? Да потому что, мы на TeamLead Conf любим обсуждать боли и проблемы, но и не забываем про решения. Наверняка у всех бывают проблемы, связанные с договоренностями по работе. «Договоренности не выполняются»,...

Криптуем по-крупному. Разбираемся с режимом гаммирования из ГОСТ 34.13—2015 Для подписчиковРежим гаммирования, в отличие от режима простой замены, позволяет шифровать сообщения произвольной длины без применения операции дополнения (паддинга). Сегодня мы поговорим о том, как реализуется такой режим, и напишем все необходимые для его реализации функци...

В Joomla выявили уязвимость нулевого дня Специалист компании Hacktive Security Алессандро Гроппо (Alessandro Groppo) обнаружил опасную уязвимость в CMS Joomla. По его словам, некоторые версии системы допускают внедрение стороннего PHP-инжекта, что может привести к выполнению вредоносного кода на сервере веб-ресурса...

Гибкая схема хранения данных в MySQL (JSON) Александр Рубин работает в компании Percona и не единожды выступал на HighLoad++, знаком участникам как эксперт в MySQL. Логично предположить, что и сегодня речь пойдет про что-то, связанное с MySQL. Это так, но лишь отчасти, потому что еще мы поговорим про интернет вещей. Р...

ORM: почему эта задача не имеет решения, но делать с этим, тем не менее, что-то нужно Современные информационные технологии поражают своей мощью, ошеломляют открывающимися возможностями, обескураживают заложенным в них техническим совершенством, но есть один смехотворный пункт, об который IT раз за разом снова и снова ломает зубы. Показать пользователю данн...

Имитация целевых атак как оценка безопасности. Киберучения в формате Red Teaming Когда дело доходит до кибербезопасности, то, как правило, ни одна организация не является на 100% защищенной. Даже в организациях с передовыми технологиями защиты могут быть проблемные моменты в ключевых элементах — таких как люди, бизнес-процессы, технологии и связанные ...

[Перевод] Уязвимость Exchange: как обнаружить повышение привилегий до администратора домена Обнаруженная в этом году уязвимость в Exchange позволяет любому пользователю домена получить права администратора домена и скомпрометировать Active Directory (AD) и другие подключенные хосты. Сегодня мы расскажем, как работает эта атака и как ее обнаружить. Читать дальше ...

[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 15. Медленная связь и функция Port Security Перед тем как приступить к уроку, хочу сказать, что на нашем сайте nwking.org вы сможете найти не только информацию по изучению курса CCNA, но и множество других тем, полезных для сетевого специалиста. Мы публикуем там интересные сведения о продукции других производителей и ...

Мониторинг производительности запросов PostgreSQL. Часть 1 — репортинг Инженер — в переводе с латыни — вдохновенный. Инженер может всё. (с) Р.Дизель. Эпиграфы. Или история о том, зачем администратору баз данных вспоминать свое программистское прошлое. Предисловие Все имена изменены. Совпадения случайны. Материал представляет собой исключител...

И ещё один Steam Windows Client Local Privilege Escalation 0day В предыдущей серии Не так давно я опубликовал описание уязвимости для Steam. Я получил много отзывов от читателей. Valve не проронили ни слова, а HackerOne прислал огромное слезливое письмо и, в основном, молчал. В итоге меня забанили Valve на H1 — я не могу участвовать в и...

Уязвимость в runC угрожает безопасности Docker, Kubernetes и не только Обнаруженная в runC уязвимость может использоваться для атаки на хост-систему и получения root-доступа.

Убойный текст. Выполняем произвольный код в Vim и Neovim Для подписчиковСегодня поговорим об уязвимости в редакторе Vim и его побратиме Neovim. Для ее эксплуатации не нужно никаких привилегий, пользователю достаточно открыть специально сформированный файл, который выполнит произвольный код на целевой системе.

Отзывы. Их роль в жизни фрилансера и не только Важным аспектом любой деятельности, связанной с деньгами, является репутация. Человек который отдает свои деньги хочет (пускай и напрасно) ощущать уверенность в положительном исходе дела, что его деньги будут потрачены не зря. Фриланс, находящийся на перекрестье интернета ...

[Перевод] Конфиденциальность данных, IoT и Mozilla WebThings От переводчика: краткий пересказ статьиЦентрализация устройств умного дома (вроде Apple Home Kit, Xiaomi и прочих) — это плохо, потому что: Пользователь становится зависим от определённого вендора, ведь устройства не могут общаться между собой за пределами одного произво...

Мониторинг безопасности облаков. Часть 2 Итак, я продолжу статью, посвященную мониторингу безопасности облачных провайдеров. В первой части я рассказывал об опыте Cisco в работе с внешними облачными сервисами, а также о наблюдениях Cisco, с которым мы столкнулись при построении или аудите SOCов наших заказчиков. Вз...

Простое открытие файла в LibreOffice может привести к компрометации системы ИБ-эксперт утверждает, что патч для недавно исправленной уязвимости в LibreOffice можно обойти.

А нужны ли Headhunter-ы Очередное обращение Headhunter-а заставило меня задуматься о том, почему работа по поиску персонала не всегда эффективна, а иногда и контрпродуктивна для их клиентов. Каждый из работающих в IT-сфере с завидной регулярностью получают запросы от Headhunter-ров. Кто-то полнос...

40 миллионов HTTP запросов/мин на голом Си Введение I/O реактор (однопоточный цикл событий) — это паттерн для написания высоконагруженного ПО, используемый во многих популярных решениях: Node.js Tor Transmission Chromium Memcached ... В данной статье мы рассмотрим подноготную I/O реактора и принцип его работы, нап...

RESTinio — это асинхронный HTTP-сервер. Асинхронный Пару лет назад мы опубликовали RESTinio — свой небольшой OpenSource C++фреймворк для встраивания HTTP-сервера в C++ приложения. Мегапопулярным за это время RESTinio не стал, но и не потерялся. Кто-то выбирает его за "родную" поддержку Windows, кто-то за какие-то отдельные фи...

[Перевод] Как решить «Сапёра» (и сделать его лучше) «Сапёр» (Minesweeper) — это простая игра с простыми правилами, однако некоторые её конфигурации создают любопытные трудности. В этой статье мы создадим солвер «Сапёра» с увеличивающейся сложностью, и поразмышляем над тем, как меняется динамика игры при постепенном повышении...

Смотри меня полностью: выжимаем максимум из live video на мобильных платформах Самый простой способ воспроизвести видео на мобильном устройстве — это открыть ссылку имеющимся в системе плеером, но это не всегда эффективно. Можно взять ExoPlayer и оптимизировать его, а можно вообще написать свой видеоплеер, используя только кодеки и сокеты. В статье ...

[Из песочницы] Запуск 619 тысяч тетрисов на GLSL, их рендеринг и простой бот У меня была "идея" сделать максимальное число одновременно запущенных "Тетрисов" для одного шейдера (одной текстуры фреймбуфера). Далее небольшое описание как работает полученный код. Читать дальше →

[Из песочницы] Как мы обошли Review Guidelines и запустили сервер на телефоне Привет, Хабр. Меня зовут Антон Логинов, я iOS-разработчик в компании FINCH. Недавно мы столкнулись с проблемой использования web-интерфейсов для азартных игр. В очередном обновлении AppStore Review Guidelines коллеги из Купертино опять ужесточили правила. Если конкретнее, ...

От ракет к роботам и при чем здесь Python. История выпускника GeekBrains Сегодня мы публикуем историю перехода в IT Андрея Вуколова. Детское увлечение космосом когда-то привело его на ракетостроение в МГТУ. Суровая реальность заставила забыть о мечте, но все обернулось еще интереснее. Изучение C++ и Python позволило заниматься не менее увлекател...

ZombieLoad — новая уязвимость, позволяющая похищать данные, которая затрагивает почти все процессоры Intel с 2011 года В процессорах Intel обнаружена новая уязвимость, позволяющая злоумышленникам похищать любые данные, к которым процессор недавно обращался. Это касается даже облачных серверов, которые могут позволить злоумышленнику украсть информацию с других виртуальных машин, работающих на...

Skip Ahead временно стало доступно всем С 30 января стала доступа регистрация на канале тестирования Skip Ahead. Совсем недавно ходила информация о том, что Microsoft в течении нескольких недель даст доступ к тестированию осеннего обновления Windows 10 19H2 и вот сейчас есть возможность вступить туда. Стоит отмети...

Опыт разработки сервиса Refund Tool с асинхронным API на Kafka Что может заставить такую большую компанию как Lamoda с отлаженным процессом и десятками взаимосвязанных сервисов существенно менять подход? Мотивация может быть совершенно разная: от законодательной до присущего всем программистам желания экспериментировать. Но это вовсе н...

Хакеры научились взламывать смартфоны через WhatsApp WhatsApp взламывают все, кому не лень, а пользователи и не в курсе Существует масса способов взломать смартфон удалённо. Чаще всего для этого используются приложения-шпионы, которые выдают себя за доброкачественное ПО. Они распространяются через Google Play и сторонние площа...

О барицентрических координатах на пальцах Привет. Наверняка всем доводилось быть свидетелями оценки на глазок степени сходства ребенка с родителями: что-нибудь типа «вылитый папа, но на маму тоже похож!!!» (взято отсюда) Как в примере на изображении, можно оценить степень похожести в процентах. Можно задействова...

Nexon Korea выпустит новую MMORPG Project V4 во всем мире после корейского релиза в этом году Компания Nexon Korea сегодня анонсировала, что получила права на мировое издание Project V4 – загадочной мобильной игры, впервые представленной еще на G-Star 2018. Разработкой занимается студия Nat Games, которая может быть известна вам проектами HIT и Overhit. В качестве д...

Обнаружена новая атака группировки BlackTech Схема атаки выглядит следующим образом: облачное хранилище ASUS направляет запрос на легитимный сервер для получения бинарного файла с последней версией обновления системы. На этом этапе злоумышленники подставляют собственный URL-адрес, ведущий на вредоносный файл.Загрузка ф...

WebFPGA — разработка на Verilog в браузере Думаю, многие программисты, начиная от питонистов-датасайентистов и заканчивая суровыми разработчиками драйверов, временами возводят очи горе и мечтательно вздыхают: «Эх, пoжёcтчe бы чего, похардкорнее...». Мы, конечно, говорим про Verilog, язык описания и моделирования элек...

[Из песочницы] Как использовать группы в Facebook для продвижения: создаем паутину Facebook меняет ленту. На официальной конференции F8 30 апреля и 1 мая первые лица компании анонсировали нововведения. В числе прочего фокус на формирование личного пространства. Чувствовать свою принадлежность легче, когда вы находитесь в небольших сообществах и среди бли...

Интеллектуальные CPaaS: новинки индустрии и что ей дали AI/ML В июне в Амстердаме прошлая очередная APIDays – конференция для всех, кто так или иначе создает и пользуется различными API. Темой конференции стал «расцвет контекстуальных коммуникаций», то есть коммуникаций, в которых обе стороны сразу и полностью понимают контекст общени...

Энергия — подключи дома (новая игра головоломка) 1.06 Энергия  — новая увлекательная игра головоломка. На игровом поле расположены дома, которые не подключены к электросети. Ваша цель — присоединить все дома к электросети с помощью воздушных линий электропередач (ЛЭП). Поворачивайте линии питания таким образом, чтобы ток дошел ...

Аппаратный CTF. Легкий способ узнать ключ шифрования, когда у тебя под рукой осциллограф и ноутбук Для подписчиковХардварные crackme в этом сезоне снова набирают популярность. Их полюбили организаторы профильных конференций, и они все чаще встречаются в тематических конкурсах. В этой статье мы разберем один из реальных прошлогодних примеров и заодно узнаем, как выглядит а...

Особенности APT-атак в промышленности и ТЭК В двух новых исследованиях специалисты Positive Technologies описали специфику APT-атак на промышленные компании и организации ТЭК. Помимо этого, эксперты провели опрос среди посетителей сайта компании Positive Technologies, аудитории интернет-портала SecurityLab.ru и участн...

«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак Пока визионеры разного масштаба, авторы сценариев антиутопических фильмов и хайтек-сериалов и прочие выдумщики и алармисты рисуют разной степени убедительности картины о восстании «умных» устройств или применении смарт-дома как орудия убийства или терроризма, специалисты по...

Microsoft нашла две похожие на BlueKeep RCE-уязвимости Специалисты Microsoft призывают пользователей оперативно установить обновления безопасности, устраняющие две уязвимости исполнения стороннего кода в Remote Desktop Services. По словам экспертов, CVE‑2019‑1181 и CVE‑2019‑1182 схожи с багом BlueKeep, ко...

Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Sp...

Уязвимость в Telegram позволяет обойти пароль local code любой длины Из прошлого В предыдущей своей работе Я продемонстрировал уязвимость секретных чатов Telegram, и выложил видео-мануал по восстановлению local code Telegram на GNU/Linux/Windows/Android (взлом СЧ Telegram). Недавно обнаружил «продолжение уязвимости»: Android-Telegram [обход ...

Check Point Gaia R80.40. Что будет нового? Приближается очередной релиз операционной системы Gaia R80.40. Несколько недель назад стартовала программа Early Access, по которой можно получить доступ для тестирования дистрибутива. Мы, как обычно публикуем информацию о том, что будет нового, а также выделим моменты, ко...

Adobe закрыла десятки брешей в Acrobat и Reader В рамках февральского «вторника патчей» компания Adobe устранила 75 уязвимостей. Из них 44 оценены как критические, в том числе брешь нулевого дня в Reader, для которой сторонние специалисты в понедельник предложили временное решение. Уязвимость 0-day зарегистриров...

[Из песочницы] Анонимны ли бесплатные мессенджеры? После вступления в силу нового Федерального закона от 01.05.2019 №90-ФЗ "О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации". Появилась новая волна негодований большого колличества пользоват...

Как не дать украсть данные с вашего Dropbox, OneDrive, Google Drive или iCloud Количество информации, которой мы пользуемся, постоянно растет. Шутка ли? Еще лет 10 назад вряд ли можно было мечтать о доступном смартфоне с 256 гигабайтами памяти, а сегодня это уже в порядке вещей. Но даже таких объемов уже не всегда хватает и тут на помощь могут прийти ...

Как обеспечить безопасность разработки, сохранив время и нервы Переход в digital-сегмент банков, ритейла, медицины и других жизненно важных отраслей производства и обслуживания спровоцировал многочисленные угрозы в плане безопасности. Сегодня во всем мире продолжает расти активность злоумышленников, а вопросы защиты пользовательских и к...

О новых стандартах C++ Сегодня у меня довольно короткий пост. Я бы его и не писал, наверное, но на Хабре в комментах довольно часто можно встретить мнение, что плюсы становятся хуже, комитет делает непонятно что непонятно зачем, и вообще верните мне мой 2007-й. А тут такой наглядный пример вдруг п...

[Перевод] Три проблемы сервисов для проверки английской грамматики, и можно ли их решить Грамматика английского языка далеко не всегда проста, и даже самые образованные люди из числа его носителей делают ошибки. Поэтому использование специализированного софта для исправления неточностей в письменном английском кажется хорошей идеей. Ее подкрепляет довольно агр...

Apache Ignite Zero Deployment: точно Zero? Мы — отдел развития технологий розничной сети. Однажды руководство поставило задачу ускорить объемные вычисления за счет использования Apache Ignite в связке с MSSQL, показало сайт с прекрасными иллюстрациями и примерами Java-кода. На сайте сразу понравился Zero Deployment,...

[Перевод] Итак, вы хотите стать аналитиком в области сетевой безопасности… Перевод статьи подготовлен специально для студентов курса «Пентест. Практика тестирования на проникновение». Вы интересуетесь развитием методов взлома и хотите поделиться своими открытиями с сообществом информационной безопасности? В этой статье я дам некоторые рекомендац...

Безопасные push-уведомления: от теории к практике Привет, Хабр! Сегодня расскажу о том, чем мы с коллегами заняты уже несколько месяцев: о пуш-уведомлениях для мобильных мессенджеров. Как я уже говорил, в нашем приложении главный упор сделан на безопасность. Поэтому мы выясняли, есть ли у пуш-уведомлений “слабые места” и ...

Уязвимости ритейлеров — три случая, когда OTP можно было получить в запросе При входе в личные кабинеты различных сервисов, в целях безопасности, часто используется 2FA — помимо логина и пароля, нужно ввести одноразовый код. Но, как оказалось, не всё так безопасно даже с двухфакторной аутентификацией — за последний год я нашёл три (!) сервиса, ког...

Новая уязвимость Spoiler затрагивает все поколения процессоров Intel Core Исследователи из Вустерского политехнического института в Массачусетсе и университета в Любеке (Германия) опубликовали документ, в котором рассказали о новой уязвимости процессоров Intel. Уязвимость получила имя «Spoiler» и она не относится к уязвимостям Spectre и Meltdown, ...

«Лаборатория Касперского» помогла закрыть дыры в умном доме Специалисты «Лаборатории Касперского» оценили безопасность системы Fibaro Home Center, которая обеспечивает управление умным домом. Эксперты нашли в продукте ряд уязвимостей, позволивших перехватить контроль над IoT-инфраструктурой. Исследование инициировал один из...

Искусственный интеллект на примере простой игры. Часть 2 В этот раз выбрана игра «Змейка». Создана библиотека для нейросети на языке Go. Найден принцип обучения, зависимый от «глубины» памяти. Написан сервер для игры между разработчиками. Читать дальше →

Разбор: как заработать на инвестициях в биржевые индексы и ETF Изображение: Pexels В статьях и передачах на экономические темы часто можно услышать фразы вроде «индекс S&P500 обновил исторический максимум» или «индекс РТС в ходе торгов обвалился на 200 пунктов». Сегодня мы поговорим о том, какой на самом деле смысл скрывается за ...

Как одновременно закрыть сразу несколько ненужных вкладок в Safari для iPhone и iPad «Вкладочек» на вашем iPhone или iPad стало слишком много? Тогда ненужные можно и нужно закрыть! Но делать это вручную слишком долго. Да и зачем, если есть простой способ автоматизировать эту рутину? Как известно, в мобильной версии Safari для iPhone и iPad можно работает пои...

Введение в программирование: простой 3Д шутер с нуля за выходные, часть 2 Продолжаем разговор про 3Д шутер за выходные. Если что, то напоминаю, что это вторая половина: Часть первая: отрисовка стен Часть вторая: населяем наш мир + оконный интерфейс Как я и говорил, я всеми силами поддерживаю желание в студентах делать что-то своими руками. В ча...

Kubernetes tips & tricks: о локальной разработке и Telepresence Нас все чаще спрашивают про разработку микросервисов в Kubernetes. Разработчики, особенно интерпретируемых языков, хотят быстро поправить код в любимой IDE и без ожидания сборки/деплоя увидеть результат — по простому нажатию на F5. И когда речь шла про монолитное приложени...

[Перевод] Подмена поисковой выдачи Google   Эксперт по информационной безопасности Wietze Beukema обнаружил довольно простую логическую уязвимость в формировании поисковой выдачи Google, позволяющую производить манипуляцию результатами выдачи. Несмотря на простоту уязвимости, последствия от ее применения могут быть...

[Из песочницы] Как я НЕ просканировал Белорусский интернет Предисловие Данная статья не совсем похожа на те, что публиковались ранее про сканирования интернетов определенных стран, потому как я не преследовал целей массового сканирования конкретного сегмента интернета на открытые порты и наличие самых популярных уязвимостей ввиду то...

Безопасный доступ к полям регистров на С++ без ущерба эффективности(на примере CortexM) Рис. взят с сайта www.extremetech.com/wp-content/uploads/2016/07/MegaProcessor-Feature.jpg Всем доброго здравия! В прошлой статье я рассмотрел вопрос о проблеме доступа к регистрам микроконтроллера с ядром CortexM на языке С++ и показал простые варианты решения части про...

Как на iOS научить приложение всегда запрашивать доступ к местоположению iOS 13 защитит вас от слежки приложений Конфиденциальность, о существовании которой раньше знали, наверное, два человека из десятка, с лёгкой подачи Apple превратилась чуть ли не в ключевую ценность для большинства пользователей. Теперь стало в порядке вещей заклеивать объек...

[Перевод] Y Combinator: Как закрыть компанию Вполне обосновано то, что основатели и инвесторы тратят так много времени на разговоры о вещах, которые идут хорошо. Если бы мы тратили всё свое время, вникая в суть компаний, которые потерпели неудачу, у нас бы не хватало его на многое другое. Когда люди говорят о провал...

[Перевод] Простые квантовые игры раскрывают окончательную сложность Вселенной Игра для двоих может сказать, есть ли во Вселенной бесконечное количество сложности Сколько независимых свойств есть у Вселенной? Простая игра может дать ответ на этот вопрос Один из величайших и самых базовых вопросов в физике качается количества способов настройки матери...

Tic Tac Toe, часть 5: Бэкенд на С++ Boost.Beast, HTTP В этой статье рассмотрим реализацию бэкенда с применением C++ Boost.Beast библиотеки на примере синхронного сервера. Та же функциональность, что и в прошлой статье — получаем от бэкенда случайное число от 0 до 8 включительно. Оказалось, что поднимать контейнер для Beast ничу...

Стартап дня: SplitMetrics — сервис для A/B-тестирования страниц приложений в App Store Загрузив на сайт скриншоты и описание приложения, пользователь получает копию-страницу магазина, которую можно встроить в рекламу.

Спасти содержимое vCenter Content Library Начиная с шестой версии, в VMware vSphere есть удобная фича, позволяющая следить за актуальностью виртуальной инфраструктуры на удалённых площадках и филиалах, насаждая огнём и мечом стандарты виртуальной инфраструктуры главного офиса. Называется она Content Library и занима...

Вышли февральские патчи для продуктов SAP На этой неделе компания SAP выпустила набор заплаток, закрывающий 14 брешей в разных ERP-продуктах. Разработчик также внес коррективы в три ранее выпущенных патча. Из новых уязвимостей одна признана критической, три — очень опасными. Февральский список самых серьезных пробле...

Увеличение видео 1080P до 4К, или Как я научился не волноваться и полюбил апскейл с помощью нейросетей Читая недавно очередную статью про апскейл (Upscale — масштабирование изображения до более высокого разрешения), на этот раз про коммерческий продукт Topaz AI Gigapixel, я оставил комментарий следующий содержания: Жаль, что пост — простой перевод, хотелось бы сравнения с чем...

Это читерство! Учимся взламывать игры и писать читы на простом примере Для подписчиковКомпьютерные игры хороши тем, что вознаграждение за успех приносит реальное удовольствие, а цена провала невелика. Но иногда, чтобы открыть новые способности или просто ускорить игровой процесс, ты прибегаешь к не самым честным способам. И если изменить правил...

Файлы по рельсам. Как читать любые файлы с сервера через Ruby on Rails Для подписчиковТы наверняка в курсе, что такое Ruby on Rails, если когда-нибудь сталкивался с веб-девом. Этот фреймворк в свое время захватил умы разработчиков и успешно применяется до сих пор. Любая уязвимость в нем означает огромное количество потенциальных целей. В этот р...

Никогда такого не было, и вот опять. Во всех компьютерах Apple MacBook, выпущенных за последние два года, есть уязвимость Thunderclap Исследователями, работающими в сфере компьютерной безопасности, обнаружена уязвимость, которой они дали название Thunderclap. Эта уязвимость серьезно подрывает безопасность компьютеров с портами Thunderbolt, выведенными на разъемы USB-C, то есть на компьютеры с интерфей...

[Перевод] Как мы подняли производительность Tensorflow Serving на 70% Tensorflow стал стандартной платформой для машинного обучения (ML), популярной как в индустрии, так и в научных исследованиях. Создано множество свободных библиотек, инструментов и фреймворков для обучения и обслуживания моделей ML. Проект Tensorflow Serving помогает обслужи...

Техподдержка 3CX отвечает: захват SIP-трафика на сервере АТС В этой статье мы поговорим об основах захвата и анализа SIP-трафика, генерируемого АТС 3CX. Статья адресована начинающим системным администраторам или обычным пользователям, в обязанности которых входит обслуживание телефонии. Для углубленного изучения темы рекомендуем пройт...

Цемент марки Интеграция Вчера поднял тему «Бизнес, не горюй» о том, каковы реальные целей ИТ-проектов. Не все поверили, что я говорю серьезно, но я не шучу. Я уверен, что нам (кто мы и сколько нас?) нужны кейсы по достижению реальных целей. Подсадить, зацементировать, выжать и поучиться. Разумеет...

4G-роутер в роли универсального сервера для IoT Роутеры серии ICR-3200 призваны заменить классическую связку: одноплатный компьютер + модем + роутер. Теперь можно запускать всю необходимую логику прямо на роутере. Благодаря мощному ARM-процессору, 512 МБ оперативной памяти и ~2ГБ встроенной флеш-памяти, на роутере можно ...

В Win32k закрыты еще две уязвимости, замеченные в атаках В рамках апрельского «вторника патчей» Microsoft устранила две уязвимости в Win32k, уже используемые в реальных атаках. Схожие проблемы, связанные с этим системным компонентом, разработчик уже решал, притом всего месяц назад. Текст бюллетеней, посвященных брешам CV...

Использование базы данных лога Mikrotik для пресечения брутфорса Добрый день. В предыдущей публикации я рассказывал как, легко и непринужденно, можно настроить сбор метаданных сетевого трафика на маршрутизаторах Микротик в базу данных. Теперь настало время научить наш сервер делать элементарный анализ получаемых данных и отправлять кома...

В каких приложениях ждать неизвестный вредоносный код? Сегодня просматривал статистику Wildfire и стало интересно по каким приложениям ходит неизвестный вредоносный код (zero-day) и как часто. На картинке приведена статистика по приложениям и частоте атак через это приложение. В первом столбце имя приложения. Во втором столбце у...

[Перевод] Приключения неуловимой малвари, часть V: еще больше DDE и COM-скриплетов Эта статья является частью серии «Fileless Malware». Все остальные части серии: Приключения неуловимой малвари, часть I Приключения неуловимой малвари, часть II: скрытные VBA-скрипты Приключения неуловимой малвари, часть III: запутанные VBA-скрипты для смеха и прибыли ...

Утро админа: добавляем место на десятках серверов за кофе Каждый день мне приходится добавлять место на одном, двух, трех, пяти, а бывает – и десяти database серверах. Почему? Потому что для них характерен естественный рост баз. Серверов сотни, все они виртуалки с дисками на thin provisioning. Если им заранее выдать много места, то...

«Это тоже анализ данных». Разговор о биоинформатике с Михаилом Гельфандом Биоинформатика — чрезвычайно любопытная область научного знания, так как в ней соединяются задачи, формулируемые в биологических терминах, и методы, привычные для специалистов по алгоритмам, обработке больших данных и машинному обучению. Таким образом, биоинформатика — это о...

[Перевод] Мой первый взлом: сайт, позволяющий задавать любой пользовательский пароль Недавно я нашёл интересную уязвимость, позволяющую установить любому пользователю конкретного сайта любой пароль. Круто, да? Это было забавно, и я подумал, что можно написать интересную статью. На неё вы и наткнулись. Примечание: автор переведённой статьи не специалист ...

В сеть утекла документация по Windows 10X — новой версии ОС для устройств с двумя экранами Код операционной системы Windows 10X планируется дописать в начале 2020 года, а коммерческий запуск состоится осенью Microsoft продолжает хранить в секрете подробности о Windows 10X — версии Windows 10, адаптированной для ноутбуков и планшетов с двумя экранами. Но теперь ...

Microsoft закрыла две уязвимости, используемые в атаках Длинный список проблем, устраняемых сентябрьским набором патчей для продуктов Microsoft, содержит две уязвимости нулевого дня, уже взятые на вооружение злоумышленниками. Им присвоены идентификаторы CVE-2019-1214 и CVE-2019-1215; первая найдена в Windows-драйвере Common Log F...

Как протестировать производительность серверов: подборка из нескольких open source бенчмарков Продолжаем нашу серию материалов, посвященную тестированию производительности серверов. Сегодня поговорим о паре проверенных временем бенчмарках, которые до сих пор поддерживают и обновляют — NetPerf, HardInfo и ApacheBench. Читать дальше →

[Перевод] Рукопожатие SSH простыми словами Secure Shell (SSH) — широко используемый протокол транспортного уровня для защиты соединений между клиентами и серверами. Это базовый протокол в нашей программе Teleport для защищённого доступа к инфраструктуре. Ниже относительно краткое описание рукопожатия, которое происхо...

Аудит безопасности облачной платформы MCS SkyShip Dusk by SeerLight Построение любого сервиса обязательно включает в себя постоянную работу над безопасностью. Безопасность — это непрерывный процесс, который включает в себя постоянный анализ и улучшение защищенности продукта, мониторинг новостей про уязвимости и мн...

«Маленькая книга о черных дырах» Несмотря на сложность рассматриваемой темы, профессор Принстонского университета Стивен Габсер предлагает емкое, доступное и занимательное введение в эту одну из наиболее обсуждаемых сегодня областей физики. Черные дыры — это реальные объекты, а не просто мысленный эксперим...

[Перевод] Распаковка: загрузчик Dridex Доброй ночи, друзья! Менее чем через месяц у нас стартует курс «Реверс-инжиниринг», в связи с этим традиционно делимся полезным материалом по теме. У некоторых читателей были проблемы с распаковкой начального загрузчика для Dridex (того, что был сброшен макросом), поэтому с...

ФРИИ: на своих персональных данных россияне могут зарабатывать до 5000 рублей в месяц 28 января отмечается Международный день защиты персональных данных: людям рассказывают, как защитить приватную информацию в интернете, избавиться от трекинга и избежать фишинговых сайтов. По иронии, именно сегодня Фонд развития интернет-инициатив (ФРИИ) предложил внести в ро...

[Из песочницы] Настройка reverse proxy для Nextcloud и ONLYOFFICE Привет, Хабр! Я занимаюсь тестированием редакторов документов ONLYOFFICE, а также тестированием интеграции редакторов в сторонние сервисы. К нам часто обращаются пользователи с различными проблемами при настройке, решения которых просто так не найти. Одна из самых популярных...

Security Week 25: уязвимость в Evernote и сотни взломанных интернет-магазинов Специалисты компании Guardio обнаружили (новость, исследование) интересную уязвимость в Evernote. Точнее, не в самом приложении для хранения заметок, а в расширении для браузера Google Chrome. Evernote Web Clipper позволяет сохранять веб-страницы, причем как целиком, так и ч...

Верификация пользователей в Китае и социальный кредит Согласно законодательству КНР, регистрация на любом интернет-портале или сервисе требует идентифицировать пользователя как реальное лицо. О том, как это сделать, что для этого требуется и какие последствия несет мы и поговорим в этой статье. Читать дальше →

Univention Corporate Server (UCS) — установка простого и удобного LDAP сервера с web-панелью и его связка с Nextcloud Рано или поздно на любом маленьком или среднем предприятии возникает задача по созданию единого центра авторизации пользователей в многочисленных сервисах и порталах компании. Среди кандидатов на такой центр авторизации сразу приходит в голову Microsoft Active Directory ил...

Как мы делали свой движок Workflow Мы в компании DIRECTUM занимаемся разработкой ECM-системы DirectumRX. Основным элементом модуля Workflow для ECM-системы является движок. Он отвечает за изменение состояния экземпляра процесса (инстанса) по ходу жизненного цикла. Перед тем, как начать разрабатывать модуль Wo...

В Oracle WebLogic обнаружена RCE-уязвимость Разработчики Oracle выпустили экстренный патч для серверов WebLogic, чтобы закрыть обнаруженную уязвимость нулевого дня. Эксперты призывают администраторов срочно установить обновление, поскольку баг уже получил применение в кибератаках. Первыми об угрозе сообщили специалист...

Как стать успешным в жизни и популярным среди женщин? Каждый мужчина желает стать популярным среди представительниц противоположного пола. Можно читать книги по стилю и имиджу, чтобы стать успешным и привлекательным. Но без успеха в жизни завоевать сердце женщины не выйдет. Есть несколько советов, которые вам помогут. Занимайте...

Уязвимость в Instagram позволяет делиться приватными постами пользователей Издание BuzzFeed сообщило об уязвимости безопасности в Instagram, которая позволяет публично делиться приватными постами пользователей. В своём материале BuzzFeed показал, как с помощью нескольких кликов в любом браузере можно узнать URL закрытых записей и историй, которые х...

Показана уязвимость, позволяющая жёстким дискам тайно записывать разговоры Скоро на всех рабочих местах с компьютером будут висеть таблички «Не болтай! Идёт запись!». Если серьёзно, то исследователи начинают обращать пристальное внимание на уязвимость разного рода датчиков в любой электронике, а не только в компьютерах. Этих датчиков сегодня пруд ...

Мошенники атакуют: в Mozilla критическая уязвимость, а приложения Android похищают данные Coinbase Security и исследователь в сфере безопасности Google Сэмюэл Гросс обнаружили в браузере Mozilla Firefox уязвимость, позволявшую манипулировать объектами Javascript. Она уже использовалась для атак на пользователей криптовалют. Об этом сообщается на Medium. Уязвимост...

[Перевод] Истории лунного компьютера. Часть 2 Оборудование Hybrid Simulation Lab. На фото показана панель управления SDS 9300, который, совместно с несколькими аналоговыми компьютерами, отрабатывал симуляции командного модуля и лунного модуля. За годы до появления Apollo 11, когда разрабатывалась система управления, ...

5 лучших способов надежно обезопасить свой Android-смартфон в 2019 году Самая популярная операционная система в мире – Android. Более 86% когда-либо проданных устройств работают под управлением «зеленого робота». Конечно же, в связи с тем, что комьюнити Android-пользователей гораздо больше, чем у Apple или любой другой мобильной платф...

Финтех-дайджест: бесплатные переводы в системе СБП, уязвимость банков к атакам и другие новости Сегодня в дайджесте: Бесплатные переводы средств между банками, которые входят в систему СБП; Степень уязвимости банков к атакам злоумышленников; Финансовая грамотность населения растет; Криптовалюты остаются непопулярным средством платежа. Переводы без комиссии Почт...

Liveprof покажет, когда и почему менялась производительность вашего PHP-приложения Привет, Хабр! Меня зовут Тимур Шагиахметов, я PHP-разработчик в Badoo. Производительность приложения — один из важнейших критериев качества работы программиста. В вопросах оптимизации PHP-приложений помощником является профайлер. Недавно мы рассказывали о том, какими и...

Множественные эксперименты: теория и практика В современном мире сложно представить развитие продукта без A/B-тестирования. Чтобы успешно запустить продукт или новую функциональность — надо грамотно спроектировать A/B, рассчитать и интерпретировать его результаты. Иногда нам требуется тестирование более чем для двух гру...

Security Week 48: гигантская утечка данных и уязвимость в Whatsapp 22 ноября эксперты компании DataViper Винни Тройя и Боб Дьяченко сообщили об обнаружении крупной (мягко говоря) базы данных, содержащей персональные данные о более чем миллиарде человек (новость, оригинальный отчет). Сервер Elasticsearch был доступен без авторизации, всего т...

Что такое «цифровая трансформация» и «цифровые активы»? Сегодня я хочу поговорить о том, что такое «цифра». Цифровая трансформация, цифровые активы, цифровой продукт… Эти слова звучат сегодня отовсюду. В России нацпрограммы запускают и даже министерство переименовывают, но читая статьи и доклады натыкаешься сплошь на округлые фра...

В Google Play нашли приложения, ворующие банковские данные пользователей Компания Trend Micro была основана в 1988 году, она занимается разработкой антивирусного ПО и решений в области безопасности гибридного облака, сетевой защиты, малого бизнеса и защиты конечных точек. Компании удалось найти в Google Play два небезопасных приложения, которые ...

DDoS-бот Godlua использует DoH для сокрытия трафика Новый Linux-зловред проникает на серверы Confluence с помощью эксплойта, открывает бэкдор и ждет команд на проведение DDoS-атаки. Отличительная черта Godlua, как его называют в Qihoo 360, — использование протокола DoH (DNS поверх HTTPS) для получения URL центра управления из...

Еще 7 функций Android, которые вы будете использовать Совсем недавно мы сообщали вам о некоторых функциях, которые сделают работу на операционной системе Android проще и приятнее. Сегодня мы подготовили для вас еще часть советов, благодаря которым вы сможете еще более комфортно пользоваться всеми преимуществами мобильной ОС от...

TypeScript. Мощь never Когда я впервые увидел слово never, то подумал, насколько бесполезный тип появился в TypeScript. Со временем, все глубже погружаясь в ts, стал понимать, какой мощью обладает это слово. А эта мощь рождается из реальных примеров использования, которыми я намерен поделиться с ч...

Новости Android #198: новое шифрование Google и камера в стилусе Представляем вашему вниманию 198-й выпуск нашего еженедельного проекта «Новости Android»! Сегодня мы поговорим о новом шифровании от Google, скрытой камере в стилусе нового Galaxy Note и многом другом. Шифрования много не бывает Компания Google разработала новый стандарт ш...

В плагине WP Live Chat Support обнаружили уязвимость Аналитики компании Sucuri нашли в WordPress-плагине WP Live Chat Support опасный баг. Уязвимость позволяет неавторизованному злоумышленнику провести XSS-атаку и внедрить вредоносный код на все страницы сайта, которые используют расширение. После получения информации о недост...

[Перевод] «Тетрис» в роли принтера Поворачивая, переставляя и опуская вниз заранее заданную последовательность фигур, Tetris Printer Algorithm использует механику «Тетриса» для генерации произвольных битовых изображений. Описание алгоритма Алгоритм построчно преобразует пиксели исходного изображения в квадр...

Adobe залатала Flash Player и Application Manager В рамках сентябрьского «вторника патчей» компания Adobe устранила три уязвимости в двух продуктах: Flash Player и Application Manager. Согласно бюллетеням, все выявленные проблемы грозят исполнением вредоносного кода; в реальных атаках ни одна из них не замечена. У...

Google хотят наказать за высокую популярность Android Google грозит антимонопольное разбирательство из-за популярности Android Человеческая психология – странная штука. Если кто-то добился успеха, обязательно найдутся те, кто будет думать, что это произошло нечестно. Но одно дело, когда речь идёт о банальной зависти, и совершен...

Зачем ходить на собеседования Недавно общался со своим знакомым. Парнишка учится Android разработке и обладает довольно крепким багажом знаний. Я ему задал вопрос: «Почему ты до сих пор не ходишь на собеседования? Ты бы уже давно нашел работу.» И получил ответ что-то типа собеседования это стресс, что ...

[Из песочницы] Функциональные компоненты с React Hooks. Чем они лучше? Относительно недавно вышла версия React.js 16.8, с которой нам стали доступны хуки. Концепция хуков позволяет писать полноценные функциональные компоненты, используя все возможности React, и позволяет делать это во многом более удобно, чем мы это делали с помощью классов. М...

Astra Linux 1.6 (Смоленск). Готова ли система к работе с простыми пользователями? Примеры костылей Нейтрализация пользователя и процесс установки новой ОС Привет, Хабр. Сегодня хотим поделиться опытом миграции одной организации (далее – Заказчик) на отечественную ОС в рамках выполнения требований по импортозамещению. Сразу нужно обозначить, что Заказчик выбрал и закупил...

Мошенники и ЭЦП — всё очень плохо Недавно общественность облетела новость о первом случае продажи квартиры мошенниками с помощью ЭЦП и подделки документов. Когда я раньше читал подобные новости, всегда воспринимал отстранённо, как будто со мной этого не может произойти, но я ошибался. И теперь могу заявить,...

Биткоины владельцев ASIC-майнеров от Bitmain оказались под угрозой из-за уязвимости Разработчик Bitcoin Core Джеймс Гиллард обнаружил уязвимость в ПО для устройств Antminer S15, которая в теории позволяет злоумышленникам полностью взять под контроль ASIC. Одновременно с этим разработчик убежден, что это не единственная версия ПО от Bitmain, подверженная уяз...

[recovery mode] Первая волна пострадавших от уязвимости Exim. Скрипт для лечения Уязвимость с RCE в Exim уже довольно сильно нашумела, и довольно сильно потрепала нервы системным администраторам по всему миру. На волне массовых заражений (очень многие наши клиенты используют Exim в качестве почтового сервера) быстренько накидал скрипт для автоматизации...

В Instagram обнаружена уязвимость, позволяющая взламывать чужие аккаунты Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) обнаружил уязвимость в сервисе Instagram, позволяющую перехватить контроль над чужой учетной записью. Мутия выяснил, что один и тот же идентификатор устройства (уникальный идентификатор, применяемый сервера...

Google Chrome на Android подменяет адрес сайта в адресной строке. Вот как этого избежать Все мы уже привыкли к тому, что взглянув только на адресную строку нашего браузера можно сразу понять является ли сайт, на котором мы находимся, безопасным или нет. Да и сам браузер тут же норовит предупредить пользователя о небеяопасности ресурса, если тот попытается на не...

Разработка новой ветки продукта: как избавиться от непрактичного и сохранить полезное Привет, Хабр! Меня зовут Дмитрий, я разработчик в ISPsystem. Недавно мы выпустили в бета-тестирование новую версию панели управления виртуальными машинами. Сегодня я расскажу, как мы решали, что взять из старого продукта, а от чего лучше отказаться. Пройдусь по самым важны...

История дизайна уровней Duke Nukem (с эскизами Левелорда) В преддверии 22-летия Duke Nukem вчера мы писали об истории игры. Сегодня поговорим о дизайне уровней официальных релизов основной серии игр Duke Nukem, не спин-офф и тем более не сторонних модификаций. По тексту тут и там разбросаны цитаты из нашего интервью с легендарным...

[Перевод] Пишем на Go простой балансировщик Балансировщики нагрузки играют в веб-архитектуре ключевую роль. Они позволяют распределять нагрузку по нескольким бэкендам, тем самым улучшая масштабируемость. А поскольку у нас сконфигурировано несколько бэкендов, сервис становится высокодоступным, потому что в случае сбоя...

Как проследить за кем угодно через камеру его смартфона Параноикам дальше лучше не читать. Специалисты по кибербезопасности из компании Checkmarx опубликовали отчет о найденной ими уязвимости в операционной системе Android. Они обнаружили, что путем достаточно простых действий, существует возможность получать фотографии, видео, з...

Информационная безопасность ЦОД О том, какие меры принимаются для обеспечения информационной безопасности (ИБ), вы читали не один раз. Любой уважающий себя айтишник с лёгкостью назовёт 5-10 правил ИБ. Cloud4Y же предлагает поговорить про информационную безопасность дата-центров. Читать дальше →

Беседы о C++: РГ 21, Boost, конференции Всем привет! Недавно в Новосибирске прошла очередная C++ Siberia 2019. На конференции была уютная атмосфера и много хороших докладов. Видеозаписи докладов сейчас готовятся к публикации. Пользуясь случаем, я побеседовал с двумя нашими частыми докладчиками, которые редко пропу...

Исследователь опубликовал код эксплойта для Chrome 73 Компания Exodus Intelligence опубликовала код эксплойта для уязвимости в стабильной версии Google Chrome. Рабочий прототип использует проблему безопасности в движке v8, которую разработчики браузера устранили 18 марта, но пока что не исправили в актуальной версии 73. ИБ-иссл...

Docker: вредные советы Когда я учился водить машину, на первом же занятии инструктор выехал на перекресток задним ходом, а потом сказал, что делать так нельзя — вообще никогда. Это правило я запомнил сразу и на всю жизнь. Читаешь детям «Вредные советы» Григория Остера, и видишь, как легко и непри...

Атаки и безопасность современных Windows систем В данной статье будут представлены видеозаписи методов атак и защиты современных Windows систем: различные вектора и способы перехвата учетных записей, атаки контроллера домена, использование IPv6 и многое другое. Читать дальше →

Приехали: Android можно взломать картинкой из интернета Фотографии и картинки, загруженные из Интернета, могут стать причиной взлома даже самых современных смартфонов под управлением Android, снабженных наиболее продвинутыми средствами защиты. Это следует из материалов блога разработчиков Google. В публикации говорится о том, чт...

Способ обойти экран блокировки Windows на сеансах RDP На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP). Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола. Читать даль...

[Из песочницы] Сергей Голубев: «Самое лучшее, что можно сделать для OSM сейчас — взять дамп планеты, удалить его и начать всё заново» Сергей Голубев — натуралист, опытный осмер и автор блога «Город Шахты». Его размышления об OpenStreetMap всегда неожиданны, а потому вдвойне интересны. Он умеет найти необычный ракурс и на привычное посмотреть под другим углом. Зачем OSM нужны катастрофы, почему у него не су...

Использование DiagnosticSource в .NET Core: практика В предыдущей статье я рассказал про механизм DiagnosticSource и на простом примере показал, как с его помощью можно перехватывать запросы в базу данных через классы SqlConnection и SqlCommand и измерять время их выполнения. В настоящее время DiagnosticSource уже используется...

Первые опыты использования потокового протокола на примере связи ЦП и процессора в ПЛИС комплекса REDD В предыдущих статьях мы уже познакомились с шиной Avalon-MM, где MM означает Memory Mapped, то есть проецируемая на память. Эта шина вполне себе универсальная. К ней может быть подключено несколько ведущих (Master) и несколько ведомых (Slave) устройств. Мы уже подключали с...

Заменить Object на var: что может пойти не так? Недавно я столкнулся с ситуацией, что замена Object на var в программе на Java 10 приводит к исключению в процессе выполнения. Мне стало интересно, много ли разных способов добиться такого эффекта, и я обратился с этим вопросом к сообществу: A puzzle: provide a Java code sam...

Взлом BMC-контроллера угрожает клиентам облачных сервисов Облачные сервисы, предоставляющие услугу IaaS (Infrastructure-as-a-Service), уязвимы перед атаками на прошивку контроллера удаленного доступа. К такому выводу пришли специалисты Eclypsium, смоделировавшие нападение на один из хостов службы IBM Cloud. По мнению исследователей...

Как оценить рентабельность внедрения дорогостоящей системы и обосновать бюджет перед руководством — Надо бы корову купить… — Надо бы, да где денег взять? «Трое из Простоквашино» Чтобы ваш разговор c руководством о необходимости проекта внедрения не свелся к этому короткому диалогу из мультфильма, нужно подготовить аргументацию заранее. Мы много лет занимаемся внедр...

Игра AirAttack! — наш первый опыт разработки в VR Продолжаем серию публикаций о лучших мобильных приложениях выпускников «IT ШКОЛЫ SAMSUNG». Сегодня – слово молодым разработчикам из Новосибирска, победителям конкурса VR-приложений «ШКОЛА VR 360» в 2018 году, когда они были студентами-первокурсниками. Этим конкурсом заверша...

[Из песочницы] Математическое обоснование нецелесообразности бежать вниз по эскалатору в метро Вопреки правилам пользования метрополитеном, желая сэкономить время, каждый из нас хотя бы раз в жизни бежал вниз по эскалатору. На первый взгляд кажется, что это абсолютно логично и правильно: хочешь быстрее уехать – постарайся оказаться на платформе как можно раньше. Однак...

[Из песочницы] Почему вам стоит выкинуть MVP из своих проектов Всем привет! Сегодня я бы хотел поговорить об архитектуре Android-приложений. На самом деле я не очень люблю доклады и статьи на данную тему, но недавно ко мне пришло осознание, с которым я бы хотел поделиться. Читать дальше →

Google Docs — любимый чат у школьников Как известно, текстовый редактор Google Docs допускает многопользовательскую работу, то есть несколько человек могут редактировать один документ. В том числе одновременно. Может быть кто-то не задумывался, но таким образом можно отправлять друг другу сообщения в реальном р...

Как правильно увольняться (инструкция) В понедельник обычно всё плохо и хочется уволиться. Вдруг вы сегодня поругались с боссом и вам предложили написать по собственному. Если всё так, смело читайте статью. Привет! У всех у нас был этот опыт. Вас вызывает начальник. Вызывает в тот самый момент, когда вызывать н...

Мобильная Opera обзавелась бесплатным VPN Всем привет! Неделю назад (7 февраля) Opera объявила о начале тестирования встроенного в Android браузер VPN сервиса. Пользователи, участвующие в бета-тестировании, уже получили возможность протестировать новую фичу. Зачем это надо? VPN обеспечит защиту личных данных от ...

Как работают крупнейшие в мире системы видеонаблюдения В предыдущих постах мы рассказывали о простых системах видеонаблюдения в бизнесе, сейчас же речь пойдет о проектах, в которых количество камер исчисляется тысячами. Часто разница между самыми дорогими системами видеонаблюдения и решениями, которые уже сейчас может применя...

Баг в mIRC позволяет выполнить в Windows сторонний код Специалисты в области информационной безопасности Батист Девинь (Baptiste Devigne) и Бенджамин Четиуи (Benjamin Chetioui) опубликовали описание и PoC-эксплойт уязвимости в mIRC — распространенном IRC-клиенте для Windows. Как выяснили исследователи, приложение допускает внедр...

Как мы со Стасом завод за 2 месяца автоматизировали Случалось ли вам видеть автоматизацию производственного предприятия, выполненную за 2 месяца? Или, может быть, доводилось делать такую автоматизацию? Я уверен, таких примеров много. У меня тоже есть – кидаю в копилку. Сразу скажу, чтобы у вас не было предвзятости при прочте...

Между креслом и монитором сидит главная уязвимость в системе: VAP-персона Источник: Proofpoint Наборы эксплоитов и известные уязвимости ПО применяются для кибератак очень редко. На самом деле, более 99% успешных атак производится с участием жертвы. Цель должна собственноручно открыть файл, запустить макрос, нажать на ссылку или выполнить какое-т...

IPO на Московской бирже: зачем это нужно, кто проводит и как купить акции Изображение: Unsplash В сети можно часто встретить истории о том, как компании вышли на биржу и провели IPO, по итогам которых основатели бизнеса стали миллиардерами. Почти всегда в этих рассказах фигурируют зарубежные биржи, в основном из США, однако провести IPO (а зате...

[Из песочницы] Снова про phpQuery Приветствую всех. Недавно я взял заказ, где нужно было автоматически подтягивать данные на сайт (проще говоря — написать парсер). Содержание статьи: Предисловие Про phpQuery Начало работы Практическая часть Заключение Читать дальше →

Около миллиона машин уязвимы к атакам BlueKeep Специалисты по информационной безопасности оценили количество доступных онлайн устройств с непропатченной уязвимостью BlueKeep (CVE-2019-0708). По мнению экспертов, под угрозой находится не менее 950 тыс. машин. Эксплойты для удаленного выполнения стороннего кода через этот ...

[Перевод] RabbitMQ: отказоустойчивость и высокая доступность в кластерах Отказоустойчивость и высокая доступность — большие темы, так что посвятим RabbitMQ и Kafka отдельные статьи. Данная статья о RabbitMQ, а следующая — о Kafka, в сравнении с RabbitMQ. Статья длинная, так что устраивайтесь поудобнее. Рассмотрим стратегии отказоустойчивости, ...

Операторы связи в 29 странах уязвимы для атак Simjacker Специалисты компании Adaptive Mobile опубликовали список стран, чьи мобильные пользователи уязвимы для атаки Simjacker, эксплуатирующей недостатки вшитых в SIM-карты программ. По мнению экспертов, большинство операторов, использующих ненадежные чипы, работает в Центральной и...

Операция “Миграция”: как происходит переезд в облако DataLine Лет 7 назад самые первые проекты переезжали в наше облако просто и незатейливо. Образы виртуальных машин загружались на FTP-сервер, или их привозили на жестких дисках. Затем через специальный импорт-сервер ВМ загружали в облако. Если для клиента не проблема выключить виртуа...

[Из песочницы] Как самостоятельно имплементировать (Proof of Existence) за 2 шага Всем привет! Я работаю в компании, QuantNet, которая проводит конкурсы алгоритмических стратегий. В недавнем времени передо мной встала важная задача — обеспечить гарантии неприкосновенности даты юзеров (это чрезвычайно важно, так как для корректной проверки эффективностей с...

Компания Cisco опубликовала очередной пакет обновлений Разработчики Cisco выпустили серию обновлений к своим продуктам, устранив более 40 уязвимостей. Самые серьезные баги обнаружились в точках доступа Aironet, аналоговых телефонных адаптерах SPA100, системе управления беспроводным доступом и управляемых свитчах для малого бизне...

[Из песочницы] Инструменты веб-аналитики начинающего маркетолога, продуктолога и аналитика В сети много статей и обзоров различных систем веб-аналитики, но к сожалению, не смог найти сведенную таблицу с описанием на что обратить внимание начинающему маркетологу/продуктологу. Изучая тему, систематизировал информацию в виде таблицы. Возможно кому-то она будет полез...

Cборка динамических модулей для Nginx Недавно мы собирали динамический модуль для Nginx, а когда всё было уже готово, то выяснилось, что наш модуль оказался не совместимым с Nginx, который уже был установлен на сервере. Готового решения возникшей проблемы нам найти не удалось и мы начали бороться с ней самостоя...

[Из песочницы] Как с нуля написать приложение? С чего начать новичку? Flutter / Программирование Пол года назад я сама искала такую статью и теперь я очень хочу посоветовать себе в прошлом с чего можно начать. 1. Выбрать тему приложения Не нужно долгих мук выбора, просто начните делать то, что вам пригодилось бы. Лучше что-то простое. Нужно понимать, что мы пока не стр...

В Jira Service Desk нашли критические уязвимости и Jira Service Desk Data Center, устранив угрозу раскрытия информации. Злоумышленники могли воспользоваться двумя багами, чтобы получить важные данные о корпоративной инфраструктуре и выполнить сторонний код. Уязвимости CVE-2019-14994 и CVE-2019-15001 позволяли проводить ата...

В Windows 10 закрыты две опасные уязвимости Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений без...

1С в Elastic Compute Service Alibaba Cloud. Сокровища Алибабы Если ты умеешь что-то делать хорошо, всегда найдется азиат, который сможет лучше (один из самых популярных интернет мемов). Aliexpress уже стал именем нарицательным в всем мире. Но Alibaba Group это не только интернет-молл, но и сервис облачных вычислений №1 в Китае. Интере...

[Перевод] Почему меня нервируют отказы современных SSD Сегодня один из SSD на одном из наших новых файловых серверов под Linux умер. Это не первая и, вероятно, не последняя смерть SSD, с которой мы столкнёмся, но, как почти всегда в таких случаях, я почувствовал, как шалят мои нервы – а всё из-за сочетания характера отказов SS...

[Перевод] Отдельный уровень логирования для каждого запроса Читая Technology Radar от ThoughtWorks, я наткнулся на технику "Отдельный уровень логирования на каждый запрос (Log level per request)". Мы в Confirmit широко используем логирование, и мне стало интересно, как можно реализовать эту функциональность. Читать дальше →

Управляем Windows Server из Windows Admin Center В данной статье мы продолжаем рассказывать про работу с Windows Server Core 2019. В прошлых постах мы рассказали как готовим клиентские виртуальные машины на примере нашего нового тарифа VDS Ultralight с Server Core за 99 рублей. Затем показали как работать с Windows Server ...

[Перевод] Samsung SSD 860 QVO 1 ТB и 4 ТB: первый потребительский SATA QLC (2 часть) Часть 1 Часть 2 Произвольное чтение В первом тесте производительности произвольного чтения используются очень короткие пакеты операций, выполняемые по одному, без очереди. Накопители имеют такое время простоя между пакетами, чтобы рабочее время составило 20%, поэтому термич...

Мозг + VPS за 30 рублей =? Как приятно, когда все необходимые мелочи под рукой: хорошо пишущая ручка и блокнот, заточенный карандаш, удобная мышка, пара лишних проводов и т.д. Эти незаметные штуки не обращают на себя внимания, но добавляют жизни комфорта. Такая же история с различными мобильными и дес...

Разработка под WebAssembly: реальные грабли и примеры Анонс WebAssembly состоялся в 2015-м — но сейчас, спустя годы, всё ещё немногие могут похвастаться им в продакшне. Тем ценнее материалы о подобном опыте: информация из первых рук о том, каково с этим жить на практике, пока что в дефиците. На конференции HolyJS доклад об о...

10. Check Point Getting Started R80.20. Identity Awareness Добро пожаловать на юбилейный — 10-й урок. И сегодня мы поговорим о еще одном блейде Check Point — Identity Awareness. Еще в самом начале, при описании NGFW, мы определили, что для него обязательна возможность регулирования доступа на основе учетных записей, а не IP-адресо...

Как выбрать прокси-сеть для бизнеса: 3 практических совета Изображение: Unsplash Маскирование IP-адреса с помощью прокси нужно не только для того, чтобы обходить цензуру в интернете и смотреть сериалы. В последние годы прокси все чаще используют для решения корпоративных задач от тестирования приложений под нагрузкой, до конкурен...

[Перевод] Как Yahoo убила Flickr и потеряла интернет Веб-стартапы состоят из двух компонентов: людей и кода. Люди делают код, а код делает людей богатыми. Код – он как поэма: ему приходится удовлетворять определённым структурным требованиям, однако на основе этой структуры может появиться искусство. Однако код – это искусств...

WeakRef — предложение для добавления в стандарт ECMAScript Написал небольшой пост в своём телеграм-канале. Подумал, что она может быть интересна читателям Хабра. Недавно в блоге V8 появилась статья, посвящённая новому пропозалу WeakRef (Stage 3) — "Weak references and finalizers". Попробую объяснить своими словами его суть на пример...

Реальные деньги от казино Вулкан Вы когда-нибудь задумывались над тем, почему многие люди сегодня предпочитают проводить досуг в интернете? На самом деле, ответить на этот вопрос достаточно просто, ведь с помощью интернета мы можем максимально экономить собственное время, и при этом с комфортом и удобством ...

Будни дата-центра: неочевидные мелочи за 7 лет эксплуатации. И продолжение про крысу Сразу скажу: та крыса в привезённом сервере, которую мы пару лет назад отпоили чаем после удара током, скорее всего, сбежала. Потому что мы увидели как-то на обходе её подругу. И сразу решили поставить ультразвуковые отпугиватели. Теперь вокруг дата-центра проклятая земл...

[Из песочницы] Автоматизация конвертирования word файлов в другие форматы Некоторые гос. структуры формируют отчёты в doc файлах. Где-то это делается руками, а где-то автоматически. Представим, что вам поручено обработать тонну таких документов. Это может быть необходимо для вычленения какой-то конкретной информации или просто проверки содержимого...

Спорим, не знали? iOS позволяет увидеть замазанные данные на скриншоте Замазываете конфиденциальную информацию на скриншотах? Будьте осторожны, её можно раскрыть Вам когда-нибудь приходилось замазывать какую-то информацию на скриншотах на своём iPhone? Если да, то, скорее всего, вы делали это при помощи маркера. Это такой инструмент редактирова...

[Из песочницы] Использование примесей во Flutter приложениях Я работаю в компании, занимающейся разработкой игр, но как домашнее хобби мне последнее время стала интересна разработка мобильных приложений. Поэтому, когда друг пригласил меня съездить на митап, посвященный разработке мобильных приложений с помощью фреймворка Flutter, я ...

Что дешевле – печатать или лить в силикон? Попытка дать ответ…. Добрый день, коллеги!Тут недавно в дискуссии была высказана мысль, что дешевле отлить в силикон, чем печатать дорогим пластиком. Вообще мысль о том, что напечатать деталь из PLA/ABS, залить силиконом, отлить из полиуретана может быть дешевле печати пластиком стоимостью 4000 ...

Security Week 08: взлом VFEMail в прямом эфире Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон по...

Запускаем инструментальные тесты в Firebase Test Lab. Часть 1: iOS проект Меня зовут Дмитрий, я работаю тестировщиком в компании MEL Science. Совсем недавно я закончил разбираться со сравнительно свежей фичей от Firebase Test Lab — а именно, с инструментальным тестированием iOS приложений с использованием нативного фреймворка тестирования XCUITe...

89% мобильных приложений можно взломать Как сообщают «Известия» со ссылкой на исследование, способы хищения достаточно разнообразны — например, вирусное ПО может отслеживать манипуляции пользователя с клавиатурой или делать снимки экрана во время запуска банковского приложения. Полностью защитить смартфон от зараж...

Google готова платить до $1,5 млн за особые уязвимости на Android Когда в 2015 году Google впервые запустила программу поиска уязвимостей в Android, самое большое вознаграждение, которое можно было получить, составляло $38 тыс. Вместе с ростом популярности Android росла и сумма награды, поэтому всё больше исследователей в области безопасно...

[Перевод] Анализ атак на ханипот Cowrie Статистика за 24 часа после установки ханипота на узле Digital Ocean в Сингапуре Пиу-пиу! Начнём сразу с карты атак Наша суперклассная карта показывает уникальные ASN, которые подключались к нашему ханипоту Cowrie за 24 часа. Жёлтый соответствует SSH-соединениям, а красный...

Сколько стоит App построить Я фриланс, и потому «и швец, и жнец, и на дуде игрец». И значительная часть рабочего времени уходит на переговоры с потенциальными заказчиками. Вот то базовое непонимание, которое я наблюдаю у людей в 50% случаев: Проект по разработке приложения стоит столько, сколько он сто...

[Перевод] Оптимизация загрузки JavaScript-кода в Wikipedia Автор материала, перевод которого мы сегодня публикуем, говорит, что он, в середине сентября 2019, наконец-то завершил проект, которым занимался уже год. Целью этого проекта было сокращение размеров манифеста, необходимого для инициализации асинхронного JavaScript-конвейера ...

Security Week 22: статистика угроз, банковские трояны и популярные эксплойты На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплу...

Cisco залатала IOS и исправляет патчи для роутеров На этой неделе Cisco Systems устранила 24 уязвимости в сетевом программном обеспечении IOS и IOS XE; уровень опасности 18 из них признан высоким, остальных — умеренным. Разработчик также сообщил, что январские патчи для роутеров RV320 и RV325 будут обновлены, так как они не ...

Интернет для дачника. Добываем максимальную скорость в сетях 4G. Часть 2. Выбор внешней антенны Недавно я проводил сравнительное тестирование LTE роутеров и вполне ожидаемо оказалось, что производительность и чувствительность радиомодулей у них существенно отличается. Когда же я подключил к роутерам антенну, прирост скорости увеличился кратно. Это натолкнуло меня на мы...

Интерфейсы для мониторинга производительности популярных БД в Foglight for Databases В прошлых статьях мы рассказывали о мониторинге различных БД в Quest Foglight for Databases и о подходе к быстрой локализации проблем производительности SQL Server. В этой мы покажем какие ещё дашборды можно использовать на основе собираемых метрик. А метрик этих достаточн...

Пароли и логины можно похитить через функцию MySQL Недостатки в протоколе обмена данными СУБД MySQL могут стать причиной утечки конфиденциальной информации с использующих ее веб-ресурсов. К такому выводу пришли ИБ-специалисты, изучив документацию системы. Они выяснили, что сайт под управлением MySQL может отправить атакующем...

DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако тогда эксперты из области практической информационной безопасности не уделяли ей должного внимания в...

Злоумышленник скомпрометировал данные 106 млн клиентов банка Пресс-служба американского банковского холдинга Capital One призналась, что некий злоумышленник получил личные данные 106 млн клиентов компании. Из-за неправильной настройки облачного хранилища в руках преступника оказались истории транзакций, кредитные рейтинги и номера соц...

Уязвимость BearLPE в Windows получила микропатч Команда 0patch из компании ACROS Security выпустила свою заплатку для уязвимости в планировщике задач Windows 10, не дожидаясь выхода официального патча. Эксперты также раскрыли некоторые технические детали проблемы. Брешь нулевого дня, получившая название BearLPE, выявила и...

DDoS-атака в Иране велась через прокси-серверы Telegram Иранский облачный провайдер Arvan Cloud столкнулся с DDoS-атакой, построенной на базе прокси-серверов Telegram. Эксперты предупреждают, что новый метод можно использовать для затруднения работы любых сайтов и веб-сервисов. Проблемы начались утром 6 ноября и продолжались в те...

Custom refactoring tool: Swift Любой инженер стремится сделать процесс своей работы максимально оптимизированным. Нам, как мобильным разработчикам iOS, очень часто приходится работать с однообразными структурами языка. Компания Apple улучшает инструменты разработчиков, прилагая много усилий, чтобы нам был...

Как запустить java-проект на shell-раннере при пуше в репозиторий GitLab’а Меня зовут Иван Сидоренко, я инженер по тестированию в компании Digital Design. Передо мной стояла задача — внедрить запуск автотестов, написанных на Java Selenium. Я новичок в CI/CD, поэтому столкнулся со множеством проблем. Подробных инструкций в интернете по этой задаче ...

Могут ли автотесты заменить человека в поиске уязвимостей: интервью с Александрой Сватиковой Александра Сватикова работает экспертом по информационной безопасности в Одноклассниках. Более 8 лет назад она перешла от разработки на Java к тестированию безопасности приложений. Мы взяли у неё интервью, где обсудили: сложно ли перейти разработчику в аналитику приложений...

Все о правильном написании текстов В интернете есть огромное количество информации, которая может нам пригодиться в разных случаях жизни. Все люди, которые так или иначе связаны с созданием какого-то контента, обязательно используют интернет для поиска свежих идей, а также для поиска интересных статей и замет...

[Из песочницы] Сортировка: определяем лучший алгоритм Как нетрудно догадаться, я знаю ответ на этот вопрос, но, поскольку моя статья с описанием алгоритма сортировки «воронкой» была здесь встречена, мягко говоря, нервозно, я решил провести-таки тестирование «по образу и подобию» тех, которые обычно проводятся — в основном, коне...

Как сделать безопасным выход в интернет на Android-устройстве Безопасность в сети очень важна, и здесь может помочь VPN Сейчас, когда доступ к тому или иному популярному интернет-сервису ограничивают в зависимости от региона, VPN приобретает особую популярность. Однако далеко не все пользователи знают, что же это такое и как зашифроват...

«ТехноТекст», эпизод II. Рассказываем, как живут и работают над статьями авторы Хабра Приглашаем к участию в конкурсе хабраавторов. Самое главное в Хабре — это его читатели, которые одновременно и авторы. Без них Хабра бы не существовало. Поэтому нам всегда интересно, как у них дела. Накануне второго «ТехноТекста» мы решили поговорить с победителями прошлого...

Microsoft готовится к тестированию функции Console Streaming на Xbox One Компания Microsoft объявила о выпуске новых предварительных сборок операционной системы для Xbox One для участников программы Xbox Insider на каналах Alpha и Alpha Skip-Ahead (версии 1911 и 2004 соответственно). Обновление начнёт распространяться в полночь по московскому вр...

Zabbix + Voximplant: мониторинг со звонками, или как перестать беспокоиться и быстро это настроить Zabbix – умный, гибкий, кастомизируемый – умеет все. Или почти все. Было бы странно, если бы он не мог подружиться с облачной телефонией, особенно когда у последней есть удобное HTTP API – пользуйся на здоровье. Сегодня мы наглядно покажем, как настроить Zabbix для звонков-у...

Тестируем SQL Server код с tSQLt FYI: эта статья представляет собой дополненную версию моего доклада на SQA Days #25. Опираясь на свой опыт общения с коллегами, могу утверждать: тестирование кода в БД не является распространённой практикой. Это может нести в себе потенциальную опасность. Логику в БД пишут ...

Scala + MXNet = Микросервис с нейронкой в проде В интернете есть огромное количество руководств и примеров, на основе которых вы, дорогие читатели, сможете «без особого труда» и с «минимальными» временными затратами написать код, способный на фото отличать кошечек от собачек. И зачем тогда тратить время на эту статью? О...

Динамическая генерация DAG в Airflow Всем привет! Меня зовут Антон, в Ростелекоме я занимаюсь разработкой центрального хранилища данных. Наше хранилище состоит из модулей, в качестве оркестратора которых используются несколько инстансов Informatica, часть из которых мы хотим перевести на Airflow в рамках перехо...

Как писать хороший и понятный код: 3 простых способа для программиста От переводчика: сегодня публикуем для вас статью разработчика из Индии Рави Шанкара Рахана. Он рассказывает о том, что стоит делать, если вы хотите научиться писать простой и понятный код. Статья рекомендуется всем начинающим программистам. Написать простой код несложно...

90 уязвимостей класса Remote Code Execution в майском «вторнике обновлений» «Мир. Труд. Май» — это не только про приятную работу на даче, но и про установку обновлений, тем более что в этом месяце производители офисного программного обеспечения потрудились на славу и закрыли в сумме 162 уязвимости, из которых 90 позволяют выполнить произвольный код ...

Коллаборация и автоматизация во фронтенде. Чему мы научились за 13 школ Всем привет. Коллеги недавно писали в этом блоге, что открылась регистрация в следующую Школу разработки интерфейсов в Москве. Я очень рад новому набору, ведь я был одним из тех, кто придумал Школу в 2012 году, и с тех пор постоянно ей занимаюсь. Она эволюционировала. Из неё...

[Из песочницы] Как написать эффективный скрипт теста юзабилити приложения Получение отзывов пользователей всегда было центральным в том, как мы создаем привлекательные приложения, которые приносят бизнес-ценность для клиентов и передают восхитительный пользовательский опыт. Мы делаем это, чаще всего, путем тестирования пользователями приложения....

[recovery mode] Бинарные деревья поиска Прелюдия Эта статья посвящена бинарным деревьям поиска. Недавно делал статью про сжатие данных методом Хаффмана. Там я не очень обращал внимание на бинарные деревья, ибо методы поиска, вставки, удаления не были актуальны. Теперь решил написать статью именно про деревья. Пожа...

Все материалы на данном сайте взяты из открытых источников или присланы посетителями сайта и предоставляются исключительно в ознакомительных целях. Права на материалы принадлежат их владельцам. Администрация сайта ответственности за содержание материала не несет. (Правообладателям)