Отвечаем на вопросы читателей

Хакерские секреты простых вещей

Про SDLC, как и про пентесты, не писал разве что ленивый, а так как я не ленивый (врет он. — Прим. совести), то напишу и я. Особенно хочется поговорить про элементы и парадигмы SDLC в рамках гибких методологий разработки, в частности Agile, а также вообще про организацию безопасной разработки в современных софтверных компаниях.

Что такое «блоки кода»? Блоки кода — это типичные объекты Objective-C. Исторически официально они появились в Mac OS X 10.6 и одновременно в iOS 4, но неофициально были доступны немногим ранее. Это не функции, не методы, это просто несколько операторов, которые объединены, как нам подсказывает Капитан Очевидность, в блок. Блоки кода очень похожи на анонимные функции или лямбда-выражения. Вместе с тем они имеют некоторое сходство с указателями на функции, при этом, когда используешь первые, код получается более элегантным. Они очень удобны при создании анимации или любой другой асинхронной работе. Между тем первоначальное их предназначение — сократить объем необходимого для написания кода, совместив логически связанные куски, например код регистрации оповещения и реализации обрабатывающего метода. Давай посмотрим на несколько программистских трюков, которые покажут все прелести блоков кода.

Сегодня многие задачи, для которых традиционно отводилось несколько физических серверов, переносятся в виртуальные среды. Технологии виртуализации востребованы и разработчиками софта, поскольку позволяют всесторонне тестировать приложения в различных ОС. Вместе с тем, упрощая многие вопросы, системы виртуализации сами нуждаются в управлении, и без специальных решений здесь не обойтись.

В последнее время информация постепенно становится «новой нефтью» с точки зрения ценности. Проблема только в том, что объемы данных, которые приходится обрабатывать, растут не по дням, а по часам. Не все уже влезает даже на винчестер, не говоря уже об оперативной памяти, а на собеседованиях все чаще пугают задачками в духе «сравни на лету два петабайтных файла». Но к счастью программистов, необязательно заставлять машину давиться такими объемами, когда для поточной обработки можно использовать итераторы и генераторы, а еще язык программирования Python, который отлично их поддерживает. Хочешь, расскажу?

В этой статье мы познакомимся с Rosetta Flash (CVE-2014-4671, CVE-2014-5333) — утилитой, которая создает специальные SWF-файлы, состоящие из ограниченного набора символов, чтобы использовать их против конечных точек JSONP. Это позволяет проводить CSRF-атаки на домены, хостящие конечные точки JSONP, и обходить ограничение Same Origin Policy.

Ежемесячная подборка утилит для Взлома и Безопасности

Способов развертывания Linux-систем существует достаточно много — начиная от простого клонирования и заканчивая установкой по сети. Для каждого семейства дистрибутивов также существуют свои способы, которые заметно облегчают установку на множество машин.

Современные бизнес-реалии предъявляют жесткие требования к надежности шлюза, обеспечивающего доступ в интернет. При использовании отказоустойчивой конфигурации с применением протокола CARP и механизма pfsync выход из строя интернет-шлюза не приведет к потере доступа к внешним ресурсам, более того, пользователь это абсолютно не заметит.

SmartOS — одна из ветвей дерева, растущего из корней легендарной ОС Solaris. Несмотря на экзотичную «родословную», эта платформа активно развивается и уже сегодня позволяет добиваться высокой скорости работы и внедрять некоторые фишки, недоступные в более привычном Linux. Эта статья рассказывает о нашем опыте работы со SmartOS

Настройку большого количества серверов упрощают системы управления конфигурациями Chef, Puppet, CFEngine, позволяющие быстро привести сервер в нужное состояние. Но задачи автоматизации часто выходят за рамки возможностей инструментов, а в сложных средах число различных параметров и флажков к рецептам начинает превышать число рецептов. В итоге инструменты сами становятся источником проблем. Использование Rundeck позволяет объединить и контролировать все, что есть. Возможности Rundeck …

При управлении компанией любого размера без совещаний не обойтись. Но одно дело, когда сотрудники находятся в одном здании, другое — когда их приходится собирать из разных городов и даже стран. Именно поэтому сегодня все более популярными становятся видеоконференции, позволяющие повысить эффективность общения и сэкономить на командировках.

Новый фаворит в гонке процессорных вооружений — фирма не из Кремниевой долины, а из английского научного городка Кембридж. Однако ее успех — вещь вовсе не внезапная, и за ним стоит история длиной в тридцать лет. Бок о бок с Intel мы живем еще с восьмидесятых годов — имя этой компании встречается в новостях так часто, что название нынешнего поколения ее …

Практически все знают, что желательно использовать уникальные пароли для каждого отдельного сервиса/сайта/компьютера, но почему-то многие на это забивают. И если рядовой пользователь, заводя всюду одинаковые пароли, рискует подарить свою учетку в соцсети нехорошим личностям, то администраторы ресурсов несут на своих плечах бремя ответственности не только за себя, но и за всех своих юзеров. Насколько хорошо они справляются с этими обязанностями? Пока не проверишь — не узнаешь. Вот как раз об этом и будет мой сегодняшний рассказ.

Netflix, Hulu, Pandora, Spotify… Ты наверняка не раз натыкался на эти названия. Магические сервисы, дающие за 8–10 долларов столько контента, сколько в тебя влезет. Давай посмотрим, как получить доступ к ним с любого устройства. Как можно догадаться из объема этой статьи, использование таких сервисов в России — не самое простое занятие. Поэтому перед тем, как обречь себя на весь этот …

После закрытия разработки TrueCrypt армия любителей шифрования и секретности (в которой, как мы не раз говорили, уже давно должен состоять каждый айтишник) начала бороздить просторы интернета в поисках достойной альтернативы. В рамках этой статьи мы рассмотрим интересный и даже местами опенсорсный проект от отечественного производителя — CyberSafe Top Secret.

Если ты не заметил, мы тут постоянно говорим о том, как писать безопасный код и защищать платформу. Все это полезно и важно, но безопасность — это не какой-то чеклист из действий и правил, это целый процесс. И самое главное тут — люди, которые этот процесс поддерживают. Это профессионалы своего дела, а не жадные интеграторы или хитрые консультанты со стороны.

Никто из нас не хочет, чтобы личная информация попала в чужие руки. Но как защитить систему от атак и хищений данных? Неужели придется читать километровые мануалы по настройке и алгоритмам шифрования? Совсем не обязательно. В этой статье я расскажу, как сделать Linux-систему безопасной буквально за 30 минут.

Правильно ведь говорят: «Все новое — хорошо забытое старое». Вот я помню, как много лет назад в блокноте создавал свой первый index.html и заливал на тогда популярный хостинг GeoCities.com. Позже стало ясно, что из статических страничек можно слепить разве что домашнюю страничку, — для чего-то более серьезного нужны Perl и CGI. Теперь, когда есть миллион способов создавать динамические страницы, разработчики, наоборот, стали часто стремиться к «статике», особенно в высоконагруженных местах. Оно и понятно: нет никаких оверхедов на генерацию контента (страница уже готова), при этом все страницы разом легко кешируются (помещаются в память для моментальной отдачи клиенту). Но это история не только про высоконагруженные системы, но и про обычные сайты. Популярный сейчас тренд — движки для генерации статического контента.

Встроенные средства администрирования ОС не всегда удобны или зачастую не обладают достаточным функционалом, поэтому арсенал сисадмина со временем пополняется полезными утилитами, надстройками и скриптами, которые существенно упрощают повседневные задачи. Вдвойне отрадно, когда найденное решение не только помогает справиться с определенной проблемой, но и распространяется на безвозмездной основе.

Битсквоттинг — регистрация доменных имен, которые отличаются на один бит от оригинальных. Битсквоттинг по форме похож на тайпосквоттинг, но придуман совершенно для других целей. Если вкратце, то тайпосквоттеры обманывают отдельных пользователей, в то время как битсквоттинг рассчитан на «ловлю ошибок» в миллиардах устройств, подключенных к Сети. Это как ловля сетью против рыбалки с удочкой. Тайпосквоттеры рассчитывают, что пользователь опечатается при …

Стоит засветить свой почтовый адрес в Сети, как сразу ты становишься просто потрясающе удачливым человеком. Почти каждый день начинают приходить письма о том, что ты претендуешь на какое-то огромное наследство или выиграл в лотерею. Добрые люди присылают PDF’ки со сверхсекретными данными, и очень часто даже антивирусы на них не ругаются. Поэтому, чтобы окончательно решить, стоит ли открывать очередной «секретный отчет по Сирии», придется провести собственное расследование.

В этой небольшой статье мы поговорим о том, как сделать вещи проще и быстрее. Например, как написать сценарий, позволяющий разложить по папкам загруженные файлы, или как создать скриншот и сразу опубликовать его в интернете.

Когда-то давно я рассказывал, как проходил курс по машинному обучению на Coursera. Курс ведет Andrew Ng, который объясняет все настолько простыми словами, что довольно сложный материал поймет даже не самый усердный студент. С тех пор тема машинного обучения мне стала близка, и я периодически смотрю проекты как в области Big Data (читай предыдущую колонку), так и в области машинного обучения .

Юбилейная 25-ая выставка Softool состоится 12-14 ноября в ЦВК «Экспоцентр» на Красной Пресне. Мероприятие организовано Ассоциацией разработчиков программных продуктов “Отечественный софт” и продемонстрирует последние достижения в области информационных и коммуникационных технологий. В этом году выставка проходит под слоганом «Глобальные рынки. Локальные компетенции», отвечая на текущие потребности российских и иностранных компаний в сложившейся конъюнктуре рынка.

О том, что стоящий в твоей комнате традиционный телефон с аккуратно лежащей на нем трубкой все равно может за тобой шпионить, известно чуть ли не со времен А. Г. Белла. Смартфоны продвинулись по этой скользкой дорожке значительно дальше. А как все это выглядит с программной точки зрения?

Любовь к цифрам Есть у меня большая тяга к анализу и визуализации различных метрик. Круто, когда есть много данных и можно проанализировать, как они менялись исходя из каких-то внешних событий. Возможно и обратное: изменения каких-то метрик могут свидетельствовать о возникновении некоторых событий, и этим нехитрым приемом многие активно пользуются. В том числе в информационной безопасности. YaC и Etsy Например, в …

Шутка про то, что скоро в интернет будет выходить каждая кофеварка, уже давно перестала быть шуткой. Радионяня, которая может следить за членами семьи, и телевизор, который сохраняет зрительские предпочтения, зараженные роутеры и хакеры, взламывающие автомобили, — все это проблемы настоящего или самого недалекого будущего. Мы попросили наших друзей из компании Symantec написать про угрозы, которые интернет несет не твоему крепкому и защищенному проверенным временем софтом компьютеру, а...скажем так, не компьютерным приборам, которые внезапно оказались способными выходить в сеть, но при этом совершенно к этому большому пути не готовыми.

За последние годы мобильный рынок изменился настолько сильно, что сегодня даже топовый смартфон пятилетней давности выглядит нелепо и смешно. Развитие мобильных ОС двигалось семимильными шагами, и от господствовавших когда-то Symbian и Windows Mobile не осталось ничего, кроме воспоминаний. В том, что произошло за последние пять лет и почему изменения оказались столь глобальными, мы попытаемся разобраться в этой статье. 2007: iPhone …

За последние 15 лет люди очень легко привыкли к вниманию Большого Брата и его маленьких помощников — к глазкам телекамер, которые следят за ними из каждой подворотни, к биометрической аутентификации, к открыванию сумок перед лицом охранника в кинотеатрах и прочих присутственных местах, к раздеванию в аэропортах и к компьютерным играм, которые не запускаются без постоянного доступа в интернет. Эти же люди, читая новости про Сноудена, искренне удивляются, они возмущаются, они не могут в это поверить!Странная амбивалентность! Может быть, это что-то новенькое? Когда появилась потребность в сохранении своей privacy, в криптографии, в анонимности, в защите своего права на свободное получение информации?

Сегодня возможности NFS, SMB/CIFS, FTP уже не удовлетворяют требования пользователей, поэтому все более популярными становятся онлайновые сервисы вроде Dropbox. Они имеют простой интерфейс и удобны в работе, но вместе с тем не гарантируют приватность размещаемых данных. Чтобы обеспечить максимальную безопасность информации, мы рекомендуем использовать свой собственный облачный сервер. ownCloud Наверное, самый популярный проект, позволяющий организовать собственное хранилище файлов для обмена …

Переход к самой печальной части нашего рассказа. Хотя почти для каждого типа онлайн-коммуникаций есть защищенные решения, для их применения придется убедить твоего собеседника в том, что «так нужно». Как подсказывает опыт фанатов Jabber, сделать это без вмешательства крупных компаний невозможно. Поэтому данный обзор несет скорее футуристический характер — если все это найдет спрос, возможно, кто-нибудь когда-нибудь научится на этом зарабатывать. …

Так уж иногда случается, что фантастические и шпионские сюжеты оказываются не только плодом больной фантазии автора, а самой настоящей правдой. Еще совсем недавно какой-нибудь параноидальный фильм о тотальной слежке государства за человеком воспринимался как очередная сказка, игра воображения автора и сценаристов. До тех пор, пока Эдвард Сноуден не обнародовал информацию о PRISM — программе слежения за пользователями, принятой на вооружение …

Паранойей я, в общем-то, не страдаю. Когда нечего скрывать, не так уж сильно и запариваешься, что кто-то может читать твою почту или получить пароль к твоему ящику. Никакой папки top secret никто там не найдет — ее там просто нет. Однако недавно случилась забавная история, которая все же заставила заиграть нотки паранойи и у меня. Странная активность в ящике Все …

Изучить новый язык и среду разработки — это минимум, что от тебя потребуется, если ты захочешь написать свое первое мобильное приложение. Чтобы с пониманием набросать элементарный todo list для Android или iOS, не передирая пример из книжки, уйдет не меньше пары недель. Но можно не осваивать Objective-C или Java и при этом быстро разрабатывать приложения для смартфонов, если использовать такие …

Сегодня я расскажу о наиболее быстрых и легких способах получения максимальных привилегий в Active Directory и о том, как некоторые особенности групповых политик (GP) могут пошатнуть безопасность всей сети. Вообще, AD для пентестера, как и для администратора, очень удобная штука, позволяющая понять устройство всей информационной системы (ИС) на основании информации, представленной в каталоге.

В коллекции вредоносных Android-приложений некоторых антивирусных лабораторий содержится уже более 10 миллионов образцов. Эта цифра будоражит воображение, но примерно 9 миллионов 995 тысяч из них — переименованные копии оригинальных вирусов. Но если проанализировать исходный код оставшихся нескольких тысяч образцов малвари, то можно заметить, что все они комбинируются из небольшого количества уникальных функциональных блоков (несколько видоизмененных и по-разному скомбинированных).

Система мониторинга — один из ключевых компонентов сложных вычислительных систем, состоящих из множества серверов и сервисов. На протяжении многих лет стандартом де-факто в этой области был разработанный еще в прошлом веке Nagios, который прекрасно справляется со своей работой, но имеет явные проблемы с разрозненным API, медленным discovery и общей сложностью. Sean Porter решил исправить эти недочеты, написав новую систему мониторинга с нуля.

Виртуализация — это не только инструмент администрирования и поддержки хостинга. Все чаще она применяется и для решения обыденных задач. Но в то же время системы виртуализации становятся достаточно многогранными и сложными. Сегодня мы расскажем о четырех основных системах, каждая из которых нашла применение в какой-то области. Введение Аппаратная виртуализация в настоящее время перестала быть недостижимой роскошью, доступной только на мейнфреймах, …