До выхода этого фильма зрители не видели ничего, подобного этому научно-фантастическому творению Вачовски, и не знали, насколько сильное потрясение их ждёт

Фильму «Матрица» в этом году исполнилось 20 лет

Однажды в 1992 году Лоуренс Мэттис, раскрывая свою почту, обнаружил непрошеное письмо со сценарием от двух неизвестных авторов. Это была тёмная, отвратительная, вызывающе некоммерческая история классовой борьбы и каннибализма – как раз такая история, которую в Голливуде захотело бы рассказать крайне малое количество директоров студий. Однако Мэттис искал именно такое кино.

Всего за несколько лет до этого Мэттис, которому тогда было немногим менее 30, бросил многообещающую юридическую карьеру, и основал компанию по поиску талантов Circle of Confusion, чтобы раскрывать новых авторов и представлять их интересы. Он открыл офис в Нью-Йорке, несмотря на то, что ему постоянно твердили, что больше всего шансов отыскать таланты было в Лос-Анджелесе. И до того, как у него появился этот странный сценарий, Мэттис уже начал сомневаться, не следовало ли ему прислушаться к тем советам. «Я к тому времени продал немножко опционов по $500 каждый, — говорит Мэттис. – Я уже начал задумываться о том, чтобы вернуться в юриспруденцию. А потом я получил письмо от двух этих ребят, с подписью ’Не могли бы вы, пожалуйста, прочесть наше письмо?’»

После сравнительно недавнего анонса компанией Mozilla запуска поддержки DNS-over-HTTPS (DoH) в продакшн в сети не утихают споры, зло это или благо. По моим ощущениям, позиция "зло" базируется в основном на том, что при этом манипуляция вашими DNS-запросами даже в полезных для вас целях будет затруднена, поэтому я пока что остаюсь на позиции "благо".

В Российской Федерации операторы связи, поставленные в очень жесткие условия нашим законодательством, вынуждены строить изощренные многоуровневые системы блокировок доступа к запрещенному Роскомнадзором на территории РФ контенту, на одном из уровней которых более-менее успешно работает перехват DNS-запросов. Использование DoH позволит обойти этот уровень, что в совокупности с использованием VPN может несколько облегчить вам жизнь. Обратите внимание, само по себе решение не может избавить вас от блокировок, потому что вряд ли в России есть провайдер, полагающийся только на фильтрацию через DNS. Вам нужен еще какой-то вариант обойти блокировки, например VPN, один из описанных в моих предыдущих статьях.

Парадоксально, но в текущем паноптикуме оператору связи ничем не грозит ваш обход его блокировок (с использованием специальных средств для этого), поэтому если вы опасаетесь навредить ему таким образом — эти опасения напрасны.

Но переходить на специальный браузер, чтобы обойти перехват DNS — не наш путь. Наш путь — перевести все устройства домашней сети на DoH, быстро, эффективно и без лишних трудозатрат.

Провести техническое интервью — задача сама по себе непростая. А если вам нужно сделать это впервые, она усложняется вдвойне. Как готовиться к собеседованию? Какие вопросы задавать кандидату во время интервью? Как вести себя в нестандартных ситуациях? Как оценивать уровень соискателей и принимать решение?

Все эти вопросы мы задали техническому интервьюеру из EPAM Ахрору Рустамову. Он собеседует JavaScript-разработчиков в компанию. Несмотря на то, что за спиной Ахрора больше сотни интервью, он до сих пор очень тщательно готовится к каждому собеседованию.

Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять лет широко обсуждаются уязвимости в протоколе SS7, используемом для взаимодействия между операторами связи и построенном на принципе доверия участников друг к другу. Уязвимости в SS7 позволяют, например, отслеживать местоположение абонента или перехватывать SMS с одноразовыми кодами авторизации.

Но SS7 требует специализированного оборудования или компрометации оператора связи. Специалисты компании AdaptiveMobile Security обнаружили (новость, подробное описание) активную атаку на мобильные телефоны и IoT-устройства, для которой требуется только GSM-модем. Атака эксплуатирует уязвимость в SIM Toolkit — наборе расширений функциональности обычной SIM-карты. С помощью одного из компонентов SIM Toolkit, известной как S@T Browser, можно получать координаты абонента и IMEI устройства, зная только его телефонный номер.

Тот момент в самом начале сборки, когда кое-какие железки уже добыты, но еще ничего не работает, и единственное, чем можно заняться, это их рассматривать. И хорошо, это полезно. Персональные компьютеры развиваются настолько быстро, что даже устройства пятнадцатилетней давности воспринимаются, как нечто древнее, из разряда музейных ценностей. Материнской плате моего нового-старого компьютера на базе 386-го процессора 27 лет. Это уже не средневековые фолианты, скорее артефакты каменного века. Информации про железо эпохи «до веба» довольно мало, часто требуется реставрация разной степени сложности. В общем до того, как вы услышите приветственный писк, нужна подготовительная работа.


Начало девяностых в IT — время большого разнообразия, непрерывного прогресса и регулярной работы над ошибками. Современные компьютеры значительно больше ограничены различными промышленными стандартами, а тогда разработка в стиле «кто во что горазд» была нормой. Спустя три десятилетия на это накладывается проблема ограниченного выбора и высоких цен. Сегодня я расскажу об основном железе старого компьютера на 386-м процессоре (без которого не заработает), буднях коллекционера древностей, покажу первый запуск и погоняю винтажный бенчмарк.

Что происходит в мире часового искусства, что умеют делать современные часы и на что нужно обращать внимание при выборе своих первых часов, ответы на эти вопросы вы найдете в данной статье. Если в какой-то момент времени вы решили купить себе часы, но ужаснулись от их разнообразия и не знаете что выбрать, то добро пожаловать под кат.

Современные часы имеют невероятные дополнительные функции

У меня вызывает лютое отторжение все, что связано с «саморазвитием» — лайф-коучи, гуру, болтуны-мотиваторы. Мне хочется демонстративно жечь «сэлф-хэлп» литературу на большом костре. Меня без капли иронии бесят Дейл Карнеги и Тони Роббинс — сильнее чем экстрасенсы и гомеопаты. Мне физически больно видеть как какое-нибудь «Тонкое искусство пофигизма» становится супер-бестселлером, и чертов Марк Мэнсон пишет уже вторую книгу ниочем. Я необъяснимо ее ненавижу, хотя не открывал и не собираюсь.

Когда я готовился к интервью с героем этой статьи, долго боролся со своим раздражением — потому что сходу записал его во враждебный лагерь. Крис Дэнси — человек, которого журналисты уже пять лет называют «The most connected man on earth», делает свою жизнь лучше с помощью сбора данных и учит этому других.

На деле, конечно, все всегда оказывается иначе. Крис, бывший программист, уже почти десять лет фиксирует абсолютно все, что делает, все, что его окружает, анализирует и находит совершенно неочевидные и по-настоящему любопытные связи, которые позволяют разглядеть жизнь со стороны. Инженерный подход даже «саморазвитие» превращает из наивной болтовни в нечто дельное.

Мы поговорили в рамках подготовки Криса к выступлению на Rocket Science Fest 14 сентября в Москве. После нашего разговора я все еще хочу показать средний палец Марку Мэнсону и Тони Роббинсу, но вот на Google Calendar поглядываю с любопытством.

Время от времени нам нужно найти тестировщика. Рамки поиска могут быть разными: срочно или нет, несколько или один, с определенными скиллами или просто адекватный джуниор. Вопросы сводятся к одному — как понять, что перед нами нужный человек?

Здесь поможет очерк из психологии.

Личность человека — это сложная многослойная структура. Её самый глубокий уровень состоит из личностных качеств. Это стабильные внутренние особенности человека, как, например, искренность. Извлечь их достаточно сложно, немногие проявляют их на каждом шагу. Они открываются только спустя несколько лет работы бок о бок.

Следующий слой — ценности и убеждения. Это те характеристики, которые отвечают на вопрос “почему?” и “зачем?”. Это чувство прекрасного или желание общаться с хорошими людьми. Это важно знать, но вам об этом не расскажут. За час собеседования это не удастся раскрыть, ведь надо ещё поговорить о компании и о позиции.

Следующий слой — поступки. То, как человек обычно поступает, как он решает свою проблему. Вероятно, если он действовал подобным образом раньше, то и на работе будет себя вести также. Мы часто путаем поступки со свойствами личности. У человека может быть масса причин тянуть с закрытием задачи, но мы видим только его поступок.

На работе иногда всё равно почему человек поступает именно так, главное, чтобы сделал свою работу. Изменить чьё-то неприятное поведение, такое как опоздания или обман, можно. Но на это уйдут годы.

Следующий слой: знания и навыки. Это то, чему человек научился, что он умеет. Если мы ищем junior QA, то знаний и навыков у него нет. Но это и не страшно, ведь их можно нарастить.

Следующий слой: область иллюзий. Это то, что человек о себе думает. Это самый легко изменяемый слой личности. Лишиться иллюзий по поводу собственных способностей гораздо легче, чем изменить убеждение пользоваться одним смартфоном вместо другого.

Что известно про Павла Дурова? По данным Forbes за 2018 год, этот человек располагал состоянием в 1,7 млрд. долларов. Он приложил руку к созданию соцсети VK и мессенджера Telegram, запустил криптовалюту Telegram Inc. и летом 2019 года провел ICO. А еще Дуров в 2014 году покинул РФ, заявив, что не собирается возвращаться.



Но знаете ли вы, что годом ранее Дуров благоразумно подготовил «запасной аэродром», получив гражданство за деньги на Карибах – если точнее в стране Сент-Китс и Невис, потратив на это четверть миллиона долларов? По ряду причин (главным образом из-за ценовой конкуренции) сейчас аналогичная услуга стоит намного дешевле. Чем не повод, сделать себе подарок и подготовить план «Б» как у Дурова? Тем более что карибский паспорт дает уйму преимуществ, хотя и минусов хватает.

Этот пост о том, как обычный взлом обернулся муками совести и душевными терзаниями. Исходников будет не много, больше фоток и анализа. Итак, некто Вася работает «плохим парнем». Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был скомпрометирован вследствие неграмотного обслуживания, безалаберности или экономии на обслуживающем персонале.

Эта статья является частью серии «Fileless Malware». Все остальные части серии:

• Приключения неуловимой малвари, часть I
• Приключения неуловимой малвари, часть II: скрытные VBA-скрипты
• Приключения неуловимой малвари, часть III: запутанные VBA-скрипты для смеха и прибыли
• Приключения неуловимой малвари, часть IV: DDE и поля документа Word
• Приключения неуловимой малвари, часть V: еще больше DDE и COM-скриплетов
• Приключения неуловимой малвари: многосторонняя оборона (заключительные
  мысли) — мы тут

Думаю, все мы можем согласиться с тем, что у хакеров есть много трюков и методов, чтобы скрытно войти в вашу ИТ-инфраструктуру и остаться там незамеченными, пока они крадут ваши цифровые активы. Ключевой вывод этой серии заключается в том, что обнаружение вредоносных программ на основе сигнатур легко обходится даже несложными подходами, некоторые из которых я представил в этой серии.

Введение

Обо мне

Всем привет, я обычный учащийся по специальности "техник-программист". С детства увлекаюсь компьютерами, с класса 7-го начал познавать само программирование. Являюсь владельцем подписки на Яндексу Музыку уже больше года и в целом доволен сервисом (правда сейчас в плейлисте дня сплошные повторы).

Предыстория

Уж не помню точно, из-за чего я решил поискать официальную документацию API данного сервиса, вроде бота хотел для Telegram написать, но столкнулся с тем, что её нет… Спустя некоторое время наткнулся на issue в репозитории yandex/audio-js. Там ребятки задают точно такой же вопрос, как и я: "А где API?". Не многие горят желанием слушать музыку через браузер, они хотят приложение, но приложения под Linux тоже нет! Интегрировать к своему любимому плееру невозможно!

Тут я загорелся идеей сделать это. Естественно, мне нужно как-то работать с сервисом, городить костыли вокруг веб-приложения не вариант. Я понимал, что имея такой сервис, имея мобильные приложения и приложения под Windows (из Microsoft Store) просто невозможно не иметь своё внутреннее API для взаимодействия. Я оказался прав!

Обязательно к прочтению перед основной частью

Я отдаю себе отчёт в том, что, изучая их непубличное API я роюсь в чужих грязных вещах. Ниже будут описаны различные спорные моменты, решения разработчиков и в целом то, как это написали, как они этим пользуются. Местами я был просто шокирован, но я уверен, что если они так сделали, то на это были свои причины! Не будем забывать, что это никто не должен был видеть. Так же хочу сказать, что всё написанное ниже моё мнение. Вы можете с ним согласить или нет.

«Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение». Что ещё за «проникновение» и зачем его нужно тестировать? В этой статье я постараюсь приоткрыть завесу тайны для непосвященных.

На носу 2020 год и сегодня мы имеем уже версию Android 9.0 Pie, где компания Google бьет себе в грудь и говорит что их продукт защищен. Но злодеи не дремлют и создают свои вредоносы для Android.

Случайным образом мне попался на руки обфусцированный apk файл, который является банковской малварью под названием «Cerberus», и появился он в 2019 году.

APK файл данного ботнета попал мне с недействительным адресом соединения с сервером, по этому часть логики работы и функционала осталась неизученной, так как данный ботнет использует «модульную» систему, и подгружает функционал напрямую со своего сервера.

2016 год. Жара. Нижний Новгород. На стоянке ретро-ралли «Пекин — Париж» толпился народ, около огромной La France стоял парень и что-то бормотал, наводя смартфон на каждую деталь. Я прислушалась, он заметил моё внимание и спросил удивлённо: «Неужели оно сюда само?!» Действительно, наш город был этапом ралли протяжённостью более 14 тысяч км, и на тот момент автомобили от 1907 до 1972 г.в. прошли почти две трети пути. Многие из них были не просто ретро автомобилями — они были моделями, на которых что-то появилось впервые, которые были основой всего автомобилестроения. Они были теми, без которых не было бы жарких споров на Хабре о Tesla или BMW. Они были первыми.


Цепной привод, деревянные спицы колеса, аутентичный интерьер — La France. Да, она смогла

Если бы меня попросили дать один универсальный совет всем, кто ищет работу в IT, я бы сказал: не стесняйтесь задавать побольше вопросов. Мало приятного в том, чтобы через месяц осознать, что новая компания/должность — совсем не то, что вы искали. А если это вакансия с релокацией, цена ошибки возрастает в разы.

Узнав как можно больше о компании и должности, вы уменьшаете риск оказаться «в неправильном месте». Вместе с командой экспертов по поиску работы за рубежом из Relocate.me, мы собрали 20 вопросов, которые стоит задать, прежде чем пойти на работу в новую компанию.

Вечная конкуренция

Для многих из нас уже давно не секрет, что найти заказчика на проект краткосрочный или долгосрочный на ресурсах интернета — это очень непростая задача. В основном, потому что очень большая конкуренция: от тебя хотят максимум работы за минимум денег. И когда ты откликаешься на ту или иную задачу — ты просто становишься в длинную очередь из кандидатов. На вкус они разумеется в большинстве своём не очень, что очевидно из постов многих работодателей/рекрутёров, которые пишут статьи здесь же, на Habr. Однако, я уверен, что каждый из нас оценивает себя более-менее объективно, и если не воображает из себя гуру всего и вся, то хотя бы как минимум заслуживает уважения, ведь уважения заслуживает каждый человек — без исключения. Но рынок фриланса перенасыщен донельзя. У каждого наёмщика на один проект по 10 кандидатов в день.

Интересно, а как именно думает рекрутёр?

Где-то недавно тут была статья, о том, что наёмщик считает адекватными только 2-3 человек из 100 кандидатов, прошедших интервью, и что хороший кандидат — это человек, который верит в ваш продукт, верит в вас, и в макаронного монстра, и в биткоин по 300к$. Иными словами, идеальный наёмный сотрудник — это просто бессознательное существо, которое должно почему то верить в чужое дело (а оно по факту чужое, т.к. это не его собственность, а работодателя, и он знает его всего 2 часа), верить в вас, и свято верить в «Наше» правое дело, великолепно кодить и строить архитектуру, а деньги тут играют далеко не главную роль.

Очень удобная позиция, не правда ли? Я хочу найти senior/team-lead разработчика, который будет с пеной у рта писать проект с рвением, отдавая всего себя, и не просить за это хороших денег. То, что вы только что прочитали — это демонстрация полного неуважения работодателя к будущему сотруднику. Хорошая качественная и компетентная работа должна оплачиваться сполна.

Личная приватность или общественная безопасность

В начале июля Ассоциация интернет-провайдеров Великобритании (ISPA-UK) подвела итоги ежегодной номинации «главный герой» и «главный злодей» интернета. В число «главных злодеев» попала организация Mozilla.

Это неожиданное решение. Широко известны Манифест и 10 принципов, в соответствии с которыми Mozilla обещает бороться за здоровье Интернета: «Открытый, глобальный Интернет — это самый мощный из известных нам ресурсов коммуникации и сотрудничества. Он воплощает наши самые глубокие надежды на прогресс человечества. Он предоставляет новые возможности для обучения, взаимопонимания и решения глобальных проблем».

Mozilla — одна из немногих организаций, которая ставит своей целью не получение прибыли, а именно развитие интернета и защиту пользователей. За что же ей присудили звание «главный злодей»? Оказывается, именно за это, то есть за «излишнюю» защиту пользователей. Яблоком раздора стал протокол DoH (DNS-over-HTTPS).

Что нынче с HTML во фронтенде? В последнее время я разговаривал со многими разработчиками. Похоже, что некоторые даже не разбираются в HTML. В смысле, кое-что они понимают. Они понимают, что такое div и что такое span, и когда всё выглядит хорошо и работает по щелчку, им этого хватает. До такой степени, что многие на вопрос о HTML отвечают: «О, да я сейчас всё делаю в React или Vue». Но на самом деле не имеет значения, что вы пишете только Javascript. Если вы разрабатываете веб-сайты, то HTML — это самое главное для вас. Это и есть веб.

Речь о том, что потребляется пользователем. Это UI и UX. Вот весь пакет. В порядке убывания важности: HTML, CSS и поведение (которое может быть обеспечено Javascript — а может и нет).

Я вижу проблему внизу этой технологической пирамиды. Наименьший общий знаменатель Сети. Основа. Ритм-группа. Савоярди всех десертов веба. Это HTML. И мне всё больше кажется, что целый пласт фронтенд-инженеров не знают или не понимают главной технологии фронтенда.

После того, как я изучил аудиокассеты и минидиски, вполне логично было бы продолжить тему эволюции персонального аудио, исследовав раритетные MP3-плееры. Музыкальные плееры сейчас доступны всем и везде, но их короткий золотой век уже закончился. Воспроизведение музыки стало стандартной функцией смартфонов, и отдельное устройство для звука мы покупаем только в том случае, если очень надо или очень хочется. С точки зрения коллекционера раритетной техники, плееры находятся в таком промежуточном состоянии, между старым ненужным хламом и дорогими музейными экземплярами.

А поэтому хочется определить, какие модели музыкальных плееров цифровой эпохи представляют коллекционную ценность, чем-то выделяются среди тысяч устройств, выпущенных в начале двадцать первого века. Этот выбор сложно сделать, так как претендентов слишком много, и потому сегодняшний пост довольно субъективный. Сложно даже выделить какие-то ярко выраженные категории MP3-плееров, так как в начале эпохи они были слишком разные, в конце — слишком одинаковые. Но я все же попробовал, и вот что получилось.