• Эксперт обнаружил критическую уязвимость в Windows 10. Однострочная команда повреждает NTFS на диске



      По информации Bleeping Computer, эксперт Джонас Л. предупредил о серьезной уязвимости в драйвере Windows NTFS во всех версиях Windows 10, начиная с 1803 и выше, включая 20H2.

      Уязвимость можно активировать однострочной командой. Она мгновенно производит повреждение файловой системы NTFS на жестком диске. Сразу после ее отработки Windows 10 предлагает пользователю перезагрузить ПК, чтобы восстановить поврежденные записи и исправить индексацию на диске.

      Данная уязвимость доступна не только из под администратора, ее может использовать любой пользователь Windows 10 с низкими привилегиями в системе. Уязвимость можно активировать удаленно, а также встраивать в HTML. В некоторых системах после ее отработки повреждается MFT.
      Читать дальше →
    • Что лучше выбрать: Wireguard или OpenVPN? Любимый VPN Линуса Торвальдса



        Технологии VPN редко становятся объектами пристального внимания: есть и есть. Создатель Wireguard Jason A. Donenfeld оказался везунчиком после нетипичной для Линуса Торвальдса резко хвалебной оценки качества кода.

        Can I just once again state my love for it and hope it gets merged soon? Maybe the code isn’t perfect, but I’ve skimmed it, and compared to the horrors that are OpenVPN and IPSec, it’s a work of art.

        Вскоре после этого Wireguard оказался в основной ветке стабильного ядра Linux. Чем же Wireguard так замечателен и отличается от остальных VPN?
        Читать дальше →
      • Пора избавляться от мышки или Hand Pose Estimation на базе LiDAR за 30 минут

        • Tutorial
        image

        Всем привет! Пока киберпанк еще не настолько вошел в нашу жизнь, и нейроинтерфейсы далеки от идеала, первым этапом на пути к будущему манипуляторов могут стать LiDAR. Поэтому, чтобы не скучать на праздниках, я решил немного пофантазировать на тему средств управления компьютером и, предположительно, любым устройством, вплоть до экскаватора, космического корабля, дрона или кухонной плиты.
        Читать дальше →
      • Безопасный downgrade macOS Big Sur (без 1008F)

        • Tutorial

        Недавно, я писал о том, как решить проблему с вечной ошибкой 1008F при попытке откатить macOS Big Sur до macOS Catalina через Internet Recovery. Как показал опрос, есть необходимость рассказать о том, как откатить macOS Big Sur без ошибки 1008F. Причин для отката может быть масса, и если вы обладатель одной из них то этот пост для вас. Главное помнить о том, что описанный ниже способ приведет к полному стиранию данных с вашего компьютера Mac. В моем случае для проведения downgrade использовался MacBook pro 2019 с чипом безопасности T2 и внешний USB - HDD.

        Читать далее
        • +16
        • 4.6k
        • 5
      • Radxa sata hat для raspberry pi 4: домашний сервер с НАС, облаком и торрентокачалкой через впн в докере

          Подходил к концу календарный год, к праздникам правительство ужесточило локдаун и ввело комендантский час. Впереди было дней 10 выходных, и я решил, что наступает самое то время, чтобы занять себя настройкой домашнего сервера, идею которого я вынашивал уже некоторое время.

          Часть 1. Выбор ЭВМ и компонентов


          Основные требования к домашнему серверу были компактность и низкое энергопотребление. В качестве ЭВМ я рассматривал разные одноплатники, даже раздумывал насчёт одноплатников на х64 архитектуре. Основными критериями поиска были избыточное ОЗУ от 8 Гб, современные порты: усб3.0 и гигабитный лан. Идея была заколхозить всё это на болтах в какой-нибудь коробке типа миниАТХ, используя усб-сата интерфейсы для жёстких дисков. Мне такая реализация совершенно не импонировала эстетически, и я не торопился её воплощать. Как вдруг я наткнулся на НАС кит для 4ой малины от китайцев из Радха.
          Читать дальше →
        • Мониторинг с высокой доступностью. Опыт компании СберСервис

            СберСервис – крупнейшая сервисная компания федерального значения, оказывающая услуги по комплексному техническому обслуживанию широкого спектра информационно-телекоммуникационного оборудования, рабочих мест, офисной техники, серверов и телефонии. Компания является единственным на территории СНГ премиум-партнером компании Zabbix, в ней работает самая крупная команда в России в сфере ИТ-мониторинга, разрабатывая уникальные технические решения в области комплексного внедрения систем мониторинга для организаций с высоконагруженной ИТ-инфраструктурой. Данный факт объясняет, почему в качестве основной платформы для мониторинга СберСервис выбирает Zabbix.

            Читать далее
          • Поиск замены депозита в облигациях с учетом того, что с 1 января 2021 года все выплаты облагаются налогами

              Полгода назад, летом 2020 года я написал скрипт поиска ликвидных облигаций на Мосбирже (статья в закладках у 194 человек, рейтинг +45). Скрипт нужен для поиска облигаций, которые можно купить прямо сейчас с доходностью гораздо выше банковского вклада.

              Сейчас, в начале 2021 года модифицировал прошлогодний скрипт, потому что проценты по вкладам так и остаются на очень низких уровнях, а с началом 2021 года ещё и изменения в налоговом кодексе РФ подоспели. 

              Переписал код, убрав неактуальные данные о налоговых льготах, которые сейчас уже не работают и добавил возможность создавать облигационные лесенки. Под лесенкой имеется ввиду получение дохода как можно в большом числе месяцев, за счёт подбора облигаций с разными месяцами выплат.

              Облигации как замена вклада в 2021 году
            • Автоматизация для самых маленьких. Часть нулевая. Планирование

              • Tutorial
              СДСМ закончился, а бесконтрольное желание писать — осталось.



              Долгие годы наш брат страдал от выполнения рутинной работы, скрещивал пальцы перед коммитом и недосыпал из-за ночных ролбэков.
              Но тёмным временам приходит конец.

              Этой статьёй я начну серию о том, как мне видится автоматизация.
              По ходу дела разберёмся с этапами автоматизации, хранением переменных, формализацией дизайна, с RestAPI, NETCONF, YANG, YDK и будем очень много программировать.
              Мне означает, что а) это не объективная истина, б) не безоговорочно лучший подход в) мой взгляд даже в ходе движения от первой к последней статье может поменяться — честно говоря, от стадии черновика до публикации я переписывал всё полностью дважды.

              Читать дальше →
            • Прочитай и сделай: проводим сканирование сети самостоятельно

                В свете последних событий в мире много компаний перешли на удаленный режим работы. При этом для сохранения эффективности бизнес-процессов на сетевые периметры были вынесены приложения, которые не предназначены для прямого размещения на периметре, например внутрикорпоративные веб-приложения, на эту тему недавно было наше исследование. Если между службами ИТ и ИБ нет тесной связи, возникают ситуации, когда на сетевом периметре появилось бизнес-приложение, о котором у службы ИБ нет информации.

                Решением подобных проблем может быть периодическое исследование периметра организации. Для решения задачи подходят сетевые сканеры, поисковики по интернету вещей, сканеры уязвимостей и услуги по анализу защищенности. Далее в статье рассмотрим виды и параметры сканирования, их преимущества и недостатки, инструменты, которые часто используются, и методы обработки результатов.
                Читать дальше →
              • Установка и настройка терминального сервера на Windows Server + Оптимизация настроек для 1С ч.1

                Полная настройка терминального сервера, для работы пользователей с 1с и многими другими программами, особенности лицензирования 1с , HASP, настройка RDG, SSL сертификаты

                Читать далее
              • Наркоз и седация в стоматологии: это безопасно? А детям?

                  image
                  Аппарат со всем необходимым для проведения наркоза у детей.

                  Есть такая замечательная фобия у людей, столкнувшихся в детстве с советской карательной стоматологией, — стоматофобия. Тогда считалось, что местная анестезия придумана для слабых духом, а терпеть запах жженого дентина и жуткую боль в течение часа — это нормально. Несмотря на то, что сейчас ни один здравомыслящий стоматолог не будет лечить без анестезии, среди нас всё ещё ходят грустные печальные люди, травмированные этими воспоминаниями. Иногда такие пациенты пересиливают себя и приходят на приём с панорамным снимком зубов. Точнее, с десятком полуразрушенных корней и множеством инфицированных гнойных очагов в костной структуре челюсти.

                  Если с идеей того, что детей надо обязательно лечить под местной анестезией, люди уже свыклись, то общая анестезия всё ещё пугает. Многие ещё помнят тяжёлый выход из наркоза с тошнотой и «вертолётами» во времена применения тяжёлых старых препаратов. И до сих пор у людей есть ощущение, что любая общая анестезия — это что-то предельно опасное и уж тем более неприемлемое для применения у детей, кроме экстренных показаний. На самом деле всё сильно поменялось.

                  Короче, будем говорить о наркозе у детей. А ещё — про современные варианты с закисью азота, пропофолом и севофлураном. Они очень хорошие, но помните, что самостоятельные эксперименты с ними могут закончиться встречей с Куртом Кобейном.
                  Читать дальше →
                • Взлом Wi-Fi-сетей, защищённых WPA и WPA2

                  • Translation
                  Автор статьи, перевод которой мы сегодня публикуем, хочет рассказать о том, как взломать Wi-Fi-сеть, для защиты которой используются протоколы WPA и WPA2.


                  Статья написана исключительно в ознакомительных целях

                  Читать дальше →
                • Как создать и у всех на виду хранить пароли, очень стойкие и очень длинные, не запоминая их

                  Приветствую читателей!

                  Меня зовут Андреас, давно веду видеоблог (SunAndreas), а сегодня решил в текстовом варианте поделиться с читателями полезными идеями, которые могут быть полезными даже для далёких от ИТ людей. Расскажите об этом старшему поколению, таки они смогут хранить пароли довольно безопасно, в том числе на работе, не используя дополнительные программы, менеджеры паролей.

                  Моим способом можно создавать очень сложные и труднозапоминаемые пароли, которые при этом не нужно будет вам хранить в своей голове. А кроме того, вы можете таким образом хранить сколько угодно паролей от скольки угодно сервисов, аккаунов. Предлагаемую мной форму хранения можно реализовывать как в цифровом виде, так и в реальном, например на бумаге, а лучше для надёжности комбинировать: хранить и виртуально, и на бумаге.

                  Читать далее
                • Почему бизнес хочет DevOps и что нужно знать инженеру, чтобы говорить с ним на одном языке

                    Последние несколько лет мы при каждом удобном случае снова и снова обсуждаем, что же такое DevOps. Это уже порядком надоело, но раз всё еще происходит, значит есть проблема — проблема взаимодействия бизнеса и инженеров.

                    Я часто вижу, как люди, пришедшие к применению DevOps из разных сфер, говорят на разных языках и понимают под словом DevOps совершенно разное. В итоге в какой-то момент времени оказывается, что участники проекта по трансформации абсолютно не понимают и друг друга, и зачем нужен весь этот DevOps тоже.



                    Я не хочу рассуждать о том, что такое DevOps и какое его понимание более правильное. Мне интересно проследить за эволюцией процессов в IT и разобраться, что бизнес хочет получить от внедрения DevOps, что это значит для инженеров и как нам быть на одной волне.
                    Читать дальше →
                    • +29
                    • 8.4k
                    • 1
                  • DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер

                      Привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Неформально наш отдел называют DevOps-отделом, мы занимаемся автоматизацией различных процессов и помогаем разработчикам и тестировщикам в нашей компании.

                      Я и мой коллега Дима Рагулин хотим рассказать, как инженеры нашего отдела внедряли сканер кода PT Application Inspector (PT AI) в сборочные процессы продуктовых команд внутри компании. Отмечу, что статья про архитектуру и интеграцию PT AI в CI, а не про работу с этим инструментом и не про поиск уязвимостей. Подробнее о функциональных возможностях PT AI вы можете узнать из вебинара.

                      Статья состоит из двух частей. В первой части расскажем, какое место PT AI занимает в наших технологических цепочках, дадим рекомендации по возможной архитектуре его внедрения в CI-конвейер. Это будет полезно DevOps-архитекторам и специалистам по внедрению решений в области безопасной разработки (DevSecOps). Вторая часть посвящена практическому внедрению PT AI в наш корпоративный CI-конвейер: в ней мы поделимся наработками своих шаблонов и скриптов, а также покажем, как можно подключить сканирование через PT AI в пару строчек кода. Это может быть интересно инженерам, перед которыми встали вопросы внедрения PT AI внутри уже сложившихся инфраструктуры и процессов разработки.

                      Читать далее
                    • Linux Experiments LAB

                        Цель этой статьи — показать, как можно настроить на обычном ноутбуке стенд, который может помочь в изучении различных подсистем любой операционной системы. Целью этой статьи станет операционная система Linux, но на этом же стенде могут быть развернуты любые операционные системы. В статье основной фокус будет сделан на использование Linux для работы с сетевыми интерфейсами для доступа в сети, где используется VLAN.

                        Начнём!
                      • Роутер Микротик управляет радиотрансляцией и озвучивает Умный дом

                          Недавно, я случайно познакомился с программой RadioBoss компании DJSoft.Net, одной из программ автоматизации радиовещания.



                          Возможности программы весьма обширны, меня же больше прельстило то, что она поддерживает API управление, что позволяет удаленно полностью управлять проигрыванием музыки на компьютере с установленным RadioBoss. У меня давно была мечта иметь возможность удаленного воспроизведения медиа без подключения к рабочему столу удаленного ПК и вообще без компьютера. Пусть за меня это делает, например, … мой роутер Микротик!

                          Как известно, Роутер ОС Микротик имеет встроенный мощнейший скриптовый язык, позволяющий писать любые сценарии и программы по автоматизации работы роутера. Но не только роутера! Скриптовая команда /tool fetch позволяет организовать внешние GET и POST запросы на указанный URL и таким образом, обращаться к любому оборудованию или программам с открытыми API. Например, реализованы скрипты и библиотеки команд по управлению из Микротик модулями интернет реле и мониторинга среды (можно посмотреть и скачать здесь), получения сведений о погоде, оповещениях о событиях в Телеграмм и управления роутером через Телеграмм, определения времени восхода/заката солнца c организацией астрономического реле и т.д…
                          Читать дальше →
                        • Теория инвестиций для начинающих, часть 3

                            Паулюс Поттер. Медвежья охота. 1649 г. Государственный музей, Амстердам.

                            В прошлый раз мы выяснили, как заработать на фондовом рынке. Нужно взять на себя систематический рыночный риск и заработать премию за риск. Теперь мы посмотрим, насколько успешно управляющие паевыми фондами справляются с этой задачей. В этой части вы узнаете:

                            • как оценить, насколько успешен портфельный управляющий (посчитать связь доходности портфеля с доходностью рынка);
                            • кто такая «альфа», и почему все её ищут (доход, превышающий обычную премию за систематический риск);
                            • какой из участвовавших в сравнении фондов российских акций показал лучший результат (личный портфель автора!);
                            • какой фокус позволил автору заработать «альфу» (ставка на конкретный систематический риск, который не видит наивная модель).
                            Читать дальше →
                          • Кунг-фу стиля Linux: организация работы программ после выхода из системы

                            • Translation
                            Если вы пользуетесь Linux с ранних дней появления этой ОС (или если, вроде меня, начинали с Unix), то вам не надо очень быстро и в больших количествах изучать то новое, что появляется в системе по мере её развития и усложнения. Вы можете разбираться с новым постепенно, в режиме обычной работы. Но если вы только начинаете знакомство с Linux, то вам будет непросто сразу в ней разобраться, сразу понять её особенности. Среди тех, кому приходится изучать Linux с нуля, те, кто пользуется Raspberry Pi, те, кого расстроило то, что Microsoft забросила Windows XP, те, кто развернул облачную среду для своего IoT-проекта, похожего на Skynet.

                            Недавно сын спросил меня о том, как сделать так, чтобы что-то работало бы на Linux-компьютере даже тогда, когда осуществлён выход из системы. Я подумал, что это — хороший вопрос, и что на него, в зависимости от того, о чём именно идёт речь, может и не быть простого ответа.


                            Читать дальше →