На днях случилось проводить вебинар на тему построения экосистем предприятия. Когда затронули тему облаков, больше всего вопросов посыпалось о том, что Microsoft нового сделал в области обеспечения безопасности данных в облаках.

Именно эти вопросы лишают сна и становится головной болью ИТ-менеджеров компаний, пользующихся публичными облачными сервисами. Ответы на этот вопрос на конференции Microsoft Ignite, состоявшейся с 4 по 8 мая 2015 года в Чикаго, озвучил Брайан Рейд из NBConsult. Вот что он рассказал о методах обеспечения информационной безопасности для организаций, использующих Office 365.

Все большее количество телекоммуникационных компаний переходят на альтернативные источники энергии. Кто-то делает это под влиянием общественности, еще кто-то для диверсификации основных источников энергоснабжения. Компания Equinix решила установить в своем дата-центре из Кремниевой Долины топливные элементы от Bloom Energy, которые работают на биогазе. Первоначальный проект предусматривает установку станции мощностью в 1 МВт в дата-центре SV5. Ожидается, что топливные элементы смогут обеспечить подачу 8,3 миллионов КВт*ч энергии в год.

Equinix сейчас собирается полностью переходить на возобновляемые источники энергии, и предпринимает значительные усилия для достижения этой цели. Сейчас ДЦ компании получают около 30% энергии из альтернативных источников, включая топливные элементы, солнечную энергию и т.п. Что касается топливных элементов, их преимуществом является работа на биогазе, который вырабатывается из органических остатков. Сейчас основная задача энергостанции от Bloom — поддерживать работу энергетической инфраструктуры ДЦ на постоянном уровне, например, во время проблем в основной сети.

Думаете, вы знаете CSS? Шесть месяцев назад я предложил бесплатный тест для всех, кто думает также. В течение этого времени его прошли более чем 3000 людей. Средний балл составил 55%.

Конечно, среднее значение не так уж интересно. Более интересны те вопросы, на которых «засыпалась» большая часть посетителей. В этой статье я расскажу о трех вопросах, в которых ошибались чаще всего.

Москва вайфайная

Многие знают, что ваши мобильные устройства распространяют информацию об их предыдущих соединениях. Большинство не имеет об этом представления.

Пробы WiFi

Чтобы соединиться с уже известными сетями, которые не сообщают о своём присутствии, все ваши мобильные устройства отправляют пробные пакеты, чтобы найти известные им сети. Эти пакеты можно перехватить, когда телефон включается, или когда он отсоединяется от сети. Для этого используются обычные инструменты — airodump / tcpdump. Пример:

# airodump-ng -w wifi-dump wlan0
# tcpdump -n -l -e -r wifi-dump.cap |
    grep 'Probe Request ([^)]'

Вывод содержит время, MAC-адрес устройства и имя сети. Пример:

16:32:26.628209 BSSID:ff:ff:ff:ff:ff:ff DA:ff:ff:ff:ff:ff:ff SA:50:ea:d6:aa:bb:cc
    Probe Request (SUBWAY) [1.0 2.0 5.5 11.0 Mbit]

То бишь, устройство 50:ea:d6:aa:bb:cc проверяло, есть ли сеть SUBWAY в пределах доступности.

Ну и что тут плохого?

Ну испускают они эти пакеты с именами сетей. Подумаешь.

Пользователи популярнейшего bittorrent-клиента uTorrent при обновлении до свежей версии 3.4.2 build 28913 (32-bit) столкнулись с пренеприятным эффектом: вместе с программой для скачивания файлов в систему была тихонько установлена другая программа под названием EpicScale.

Как выяснилось, это программа от компании EpicScale Inc., которая использует время простоя процессора вашего компьютера для своих нужд. Незанятые мощности, по заверениям компании, используются в благих целях – для решения различных математических задач, обсчётов физических симуляций, и даже майнинга криптовалют. Все эти подсчёты и полученная криптовалюта идут на благотворительность и используются «в целях улучшения мира, в котором мы живём».

У нас в InVision, GIF анимации используются не для баловства —  они играют важную роль с точки зрения маркетинга и обучения. Поэтому мы даже пытались использовать их на нашей главной странице вместо анимаций, сделанных с помощью кода.

В конце концов люди начали спрашивать нас: «Как вы создаете GIF анимации?». Пришло время раскрыть секрет.

Все начиналось с того, что я приобрел участок земли в деревне, мимо которого не проходили электрические провода. «Ничего страшного, — подумал я. — Ведь по закону меня должны подключить к электросетям за 6 месяцев с момента заключения договора». Если бы я тогда знал, что мне придется освоить автономное энергоснабжение и окунуться в мир солнечной энергетики…

Утилита mimikatz, позволяющая извлекать учётные данные Windows из LSA в открытом виде, существует с 2012 года, однако помимо хорошо освещённого функционала восстановления паролей из памяти работающей ОС у неё есть ещё одна довольно интересная возможность. Далее я приведу пошаговую инструкцию, как при помощи нехитрых действий извлечь учётные данные из файла hiberfil.sys.

Подготовка

Для осуществления задуманного нам понадобятся следующие утилиты:

• Debugging Tools for Windows;
• Windows Memory toolkit free edition;
• И, собственно, сам mimikatz.

Всем привет.

Хочу поделиться опытом создания системы контроля и предупреждения.

На одном из строительных объектов делали строение с бассейном, сауной, тренажёрным залом и комнатой отдыха. Все это было в приличных размерах как для одного хозяина. Чисто технически понадобилось 2 подвала: 1-й для обслуживания насосов бассейна — маленький, 2-й для обслуживания систем обогрева и накопления тепла

Закуплены были 2 напольных евро-люка разных размеров для двух подвалов. Люки зарывались 4-мя винтами и имели очень плотные резиновые уплотнения. Чтобы открыть подвал, необходимо было 4 человека (и немного здоровья). При работе всей техники в подвале поднималась температура и влажность, при этом контролировать что там происходит практически неудобно.

В итоге было принято решение о создании устройства, которое бы показывало, а также управляло вентилятором, звуковым сигнализатором, электро-клапаном (воды), и контролировать его можно было с любого смарт устройства.

За основу взял Arduino Pro Mini плюс Ethernet ENC28J60. Для замера влажности и температуры датчик DHT11 и FC-28 (датчик влажности почвы – в роли датчика затопления).

На днях была выпущена уже вторая бета-версия Криты 2.9. Этой статьей я хотел бы начать рассказ о том новом функционале, который ждет пользователей в предстоящем релизе.

Одной из самых интересных функций этого релиза является преобразование клеткой. Оно позволяет изменять форму объектов без внесения искажений в изображение. О нем и пойдет сегодня речь…

Технология Intel Active Management Technology (Intel AMT) — один из компонентов технологии Intel vPro2. Платформы, оснащенные Intel AMT, поддерживают удаленное управление, даже если операционная система недоступна или компьютер выключен.
Независимые поставщики ПО получили возможность создавать приложения, эффективно использующие функции Intel AMT, с помощью пакета средств для разработки ПО на основе Intel AMT. В данный пакет входит высокоуровневый API-интерфейс Intel AMT (Intel AMT HLAPI) — очень простой, единообразный API-интерфейс для всех версий AMT и ассортиментных позиций Intel.
Теперь рассмотрим возможности и процедуру настройки Intel AMT более подробно, а в заключении добавим еще несколько слов об AMT SDK.

В свете событий, связанных с ограничением доступа в интернет, цензурой и блокировками сайтов, считаю нужным представить вам перевод сравнительной статьи о VPN-сервисах с ресурса LifeHacker.

Private Internet Access

Это наш любимый сервис, а судя по количеству наград, которые они собрали – и ваш тоже. PIA обеспечивает не только шифрование трафика, но и анонимизацию вкупе с отвязкой от регионального расположения. Вы можете выбрать выходной сервер из списка почти в 1000 штук (в 10 разных странах). PIA не хранит логи, не запрещает никакие протоколы и IP-адреса, и не хранит у себя информации о действиях пользователей. Также они поддерживают несколько методов авторизации, практически все операционки (мобильные и десктопные), а стоимость услуг начинается от $7 в месяц. Возможно подключение до пяти различных устройств.

Хочу поделиться в одной заметке важной, на мой взгляд, информацией о версионности образов Windows 8.1, и о том, как любой желающий может совершенно легально загрузить ту языковую версию и издание, которые ему требуется. С учётом того, что после выхода Windows 8.1 образы пересобирались минимум пять раз, вопрос версионности становится интересным для администраторов и энтузиастов.

Недавно я писал о том, как можно совершенно легально загрузить самый последний Microsoft Office с сайта Microsoft — как корпоративную версию, так и коробочную Retail — любые языки и продукты, со всеми интегрированными обновлениями. Сегодня я расскажу, как сделать то же самое и с операционной системой — средствами предоставляемыми самой Microsoft.

Но для начала я хочу рассказать о версиях Windows 8.1. Не об изданиях — этого добра в сети много, а именно о публичных версиях сборок ОС. Ведь для любого администратора удобно загрузить образ со всеми интегрированными обновлениями, чем устанавливать сотню самостоятельно. Причём загрузить образ с сайта Microsoft, а не самодельную сборку с торрентов. Всё что я буду рассказывать о версиях ОС Windows 8.1 применимо и к Windows Server 2012 R2, за исключением канала для бесплатной загрузки образов для переустановки ОС. Но давайте всё по порядку.

За сайтом «Российские общественные инициативы» я наблюдаю давно, примерно с 29 мая 2013 года. Как и другие наблюдатели, я замечал аномалии в ходе голосований за различные инициативы. Но это мало кого беспокоило, пока аномалии приводили по нашим оценкам к росту числа голосов. Видимо, никто не считал чем-то плохим, если очередная инициатива наберет 100 000 голосов раньше срока. Всё изменилось, когда аномалии стали замедлять голосование.



Это началось 24 ноября в 13:35 по московскому времени. Счетчик голосов за принятие инициативы 9376 уменьшился на 2. Потом еще на 1 и еще на 2. Вечером уменьшение значения счетчика стало происходить всё чаще и чаще. Кто-то заметил это и сообщил автору инициативы. С этого момента начался тщательный мониторинг хода голосования.

Я расскажу про некоторые странности голосования, которые мы (наблюдатели) заметили за последнюю неделю. Также я попытаюсь сделать предположения о причинах некоторых из них. Выводов довольно мало, т.к. не всегда есть возможность получить нужные данные о ходе голосования.

Казалось бы, зачем сейчас вообще вспоминать про IPv6? Ведь несмотря на то, что последние блоки IPv4-адресов были розданы региональным регистраторам, интернет работает без каких-либо изменений. Дело в том, что IPv6 впервые появился в 1995 году, а полностью его заголовок описали в RFC в 1998 году. Почему это важно? Да по той причине, что разрабатывался он без учета угроз, с той же доверительной схемой, что и IPv4. И в процессе разработки стояли задачи сделать более быстрый протокол и с большим количеством адресов, а не более безопасный и защищенный.

Как было объявлено 5 сентября 2014 года, разработчики браузера Chromium уже не очень жалуют алгоритм хеширования SHA-1. Сам вид адресной строки браузера будет давать понять посетителям https-сайтов, «закрытых» такими сертификатами, что с сайтом что-то «не те». Вид строки будет меняться со временем, давая время для более-менее плавного перехода, а в конце сертификаты с SHA-1 перестанут считаться вообще сколько-нибудь безопасными:

Доброй ночи, Хабравчане!



UPD: Огромное спасибо Хабру за понимание и предложение отправить заявку на регистрацию неккомерческого стартапа. Действительно, проект наш некомеррческий, а больше к Вам, хабрасообщество и всем инженерам, которые читают Хабр. Мы вернулись!!! Ура! Теперь у нас свой блог, как от начинающей компании, спасибо еще раз Хабр! (очень порадовала быстрая реакция службы поддержки и помощь в переходе на корпоративный блог).

UPD_2: Итак! Этот пост был опубликован на несколько часов на Хабре. Он собрал приятный фидбэк. Много работы началось по созданию комфортной web-площадки на базе Moodle. Поэтому если у вас еще есть пожелания и предложения — прошу отписать их в комментариях к посту!

Несколько месяцев минуло с того дня, когда я выложил первый пост про попытку нескольких (уже) парней создать систему открытого технического образование в интернете. И вот первые результаты!
То, с чего все началось — описано тут. А что сейчас получается — читаем под катом.

Как вы, возможно, знаете, в SSLv3 обнаружена возможность Padding Oracle атаки, которая позволяет злоумышленнику, имеющему какую-либо возможность отправлять свои данные на сервер по SSLv3 от имени жертвы, расшифровывать по 1 байту за 256 запросов. Происходит это из-за того, что в SSLv3 padding не учитывается в MAC.

Теоретически, реализовать атаку можно на любой сервис, где есть возможность влиять на отправляемые данные со стороны атакуемого. Проще всего это реализовать, например, если злоумышленнику необходимо получить Cookie на HTTPS-странице, добавляя свой код на HTTP-страницы, который делает подконтрольные запросы на HTTPS-страницы, и подменяя шифрованные блоки.

В любом случае, атакующему необходимо:

• Иметь возможность прослушивать и подменять трафик атакуемого
• Иметь возможность совершать запросы от имени атакуемого с известным атакующему текстом

Уязвимость не зависит от конкретной реализации, она by design. Хоть уязвимость и затрагивает только CBC-режим, лучше отключить SSLv3 полностью. Время SSL прошло.

«МегаФон» в этом году перевел одну из своих базовых станций (БС) на Северном Кавказе (СКФО) на систему альтернативного питания — электричество для работы станции генерируется из солнечной энергии.

Немного о базовой станции
1. Построена в 2006 году на горе Таш-Баш (643 м над уровнем моря).
2. Зона покрытия: села Нижнее и Верхнее Казанище, совокупное население около 15 000 человек.
3. Питание — обычная линия электропередач плюс бензогенератор на случай внештатных ситуаций.
Почему решили переводить на альтернативные источники энергии? Причина проста: постоянные проблемы у поставщика электричества — до 20 аварий в месяц. Конечно, бензогенератор подстраховывал, но в таких условиях очень быстро выходили из строя аккумуляторы, их приходилось менять каждые шесть-восемь месяцев.
Не удивительно, что в «МегаФоне» решили эту проблему устранить раз и навсегда, установив альтернативный источник питания. Опыт уже был — в Таджикистане некоторые БС оператора «ТТ-Мобайл» (принадлежит «МегаФону») работают на солнечных батареях.

Купить билеты в кино через интернет можно уже давно. Но до сих пор у этого в России есть один существенный недостаток: электронный билет приходится обменивать на бумажный в кинотеатре. Зачастую для этого нужно даже отстоять очередь.

Мы верим, что так быть не должно. Бумажные билеты — это атавизм прошлого, электронный билет должен быть пропуском в зал кинотеатра.

Поэтому с сегодняшнего дня мы начинаем устанавливать в кинотеатрах специальные сканеры, благодаря которым вам больше не надо будет ходить в кассу, стоять в очереди к ней, называть кассиру номер своего заказа и получать бумажный билет.

Сегодня такие сканеры появились в кинотеатре «Формула Кино Горизонт», а до конца года будут установлены ещё в 20 кинотеатрах этой сети. Теперь можно будет проходить в зал, используя прямо тот QR-код, который вам всегда присылают продавцы билетов в интернете. Мы придумали решение, которое позволит сделать такую возможность массовой.

Технология называется Smartpass — фактически, это просто приложение, которое работает на базе iPad mini, распознает QR-коды и отправляет данные в систему кинотеатра. Его главное достоинство — то, что кинотеатру установить такой сканер у входа в каждый зал в десятки раз дешевле существующих промышленных решений. И Яндекс даже помогает кинотеатрам всё настроить.