Ребята, я не выдержал. Речь сейчас пойдет о банкоматном вирусе, обнаруженном больше года назад в банкоматах Diebold, и основном принципе его работы. Тема эта древняя, пик истерии давно уже прошел, но общественность так и не узнала, что же произошло на самом деле, из-за чего даже ИТ-шники строят массу догадок и рассказывают мифы. Про этот вирус было написано много статей, от технических описаний до политпросвещения домохозяек, но самый главный трюк нам так и не раскрыли. Объяснять я постараюсь попроще, ибо нам важно понять суть, а не вникать в детали конкретной реализации чего-либо.

Картинка для привлечения внимания:

Китайские бизнесмены пустили в продажу дешёвую альтернативу WiFi Box. Сначала на крупнейших интернет-аукционах, а потом и на улице в продаже появился «комплект для халявного интернета» местного производства: это USB WiFi-модем с 15-сантиметровой антенной (на фото 58-сантиметровая), CD-ROM с операционной системой BackTrack Linux и хакерским софтом, драйвер для модема, а также подробная инструкция действий.



Инструкция нехитрая: из-под BackTrack запускаются программы Spoonwep и Spoonwpa, которые расшифровывают ключи от всех WiFi-сетей в радиусе приёма, и потом можно запускать Windows с этими ключами — и наслаждаться халявным интернетом. Для WEP эксплуатируется давно известная уязвимость, а ключи WPA подбираются брутфорсом.

На китайским рынках такой комплект можно купить за 165 юаней (окло $24). Это гораздо дешевле вышеупомянутого западного аналога WiFi Box.

Цель Поставил себе цель: сделать небольшую андроид аппликачку за малое количество времени от начала до конца. Благодаря вулкану застрял на чужбине на несколько дней, были свободные вечера в отеле, чем я и воспользовался. Результат 2 вечера и 3 часа в самолете, 25 долларов гуглу, 30 долларов амазону, «Аппликачка» Bullshit! (market://search?q=pname:com.acxe12.bullshit) и промо-сайт http://bullshit.acxe12.net

Как и что получилось?

В данной статье я проведу краткий экскурс в наиболее распространенные средства, связанные с безопасностью Linux. Информация предоставлена в сжатом виде, и если какое-то средство вас заинтересует, можно пройтись по ссылкам и прочитать более подробно. По заявкам пользователей некоторые механизмы можно будет рассмотреть более подробно в последующих статьях.

Будут рассмотрены следующие средства: POSIX ACL, sudo, chroot, PAM, SELinux, AppArmor, PolicyKit. Виртуализация, хотя и относится в какой-то мере к средствам безопасности, рассматриваться не будет, тем более что это отдельная обширная тема.

Хочу предложить вашему вниманию автоматически генерируемый, по вашему вкусу настраиваемый, куда угодно импортируемый календарь событий TopCoder:
topcoder-calendar.appspot.com



Просто выберите категории соревнований, которые интересны лично вам, и добавьте получившийся календарь в формате iCal в ваш гугл-календарь, Яндекс.Календарь или любую программу-органайзер.

В данной статье речь пойдет о приложениях с открытым кодом, которые размещены в App Store. Мы будем рассматривать только приложения которые одобрены компанией Apple и опубликованы. Начинающие разработчики могут изучать их код для повышения своих навыков.

Вероятно, в этой статье нет ни одной новой или свежей мысли, мало того, я уверен, что вы уже не раз читали нечто подобное. Статья не претендует и на то, чтобы быть истиной. Ее содержание – плод собственного опыта, проб, ошибок и одновременно выжимка из тех знаний, которые удалось перенять от коллег, прочитать на Хабре и в других местах. Наверное, для каждого конкретного индивидуума то, что сказано в этом тексте, будет сильно отличатся от действительности, но, я уверен, многие смогут узнать в описании себя. Первая стадия, наверное, не очень характерна для программистов, которые не занимались олимпиадным программированием в бытность студентами или учениками, а вот следующие уже практически никак не зависят от этого фактора.

Стадия первая. Рождение

«Я программист. Я олимпиадник. Я знаю что такое «о»-маленькое. Я знаю, что такое «О»-большое. Я понимаю, чем отличается «эн-квадрат» от «эн-факториала» и почему они оба стыдливо прячутся при виде «эн-логарифм-эн». Сейчас я приду на проект и перепишу эту тормозную кашу из кода так, что она будет работать в много раз быстрее! Смотрите, я знаю алгоритм Кнута-Морриса-Пратта! А здесь можно сэкономить одно сравнение строчек на равность! А если эту рекурсию развернуть в цикл, то за счет экономии вызовов методов и выделения памяти в стэке… Что, программа тормозит? Сейчас я посмотрю код… Вот! Смотрите, здесь вместо двух вложенных циклов можно написать один и использовать бинарный поиск вместо внутреннего!»

Знакомтесь, это первая стадия. Она, в отличие от следущих, особенно характерна именно для олимпиадников. Пациент думает о том, как написать быстрый код. Он одержим быстрым кодом. К сожалению, наличие быстрого кода не всегда делает быстрым программный продукт в целом.

Всем доброго дня,

Сегодня мы хотим презентовать вам наш стартап TalkPad, который позволяет осуществлять звонки на городские и мобильные телефоны по всему миру прямо из браузера.



Предыстория
Активная тенденция переноса программных продуктов в web, которая наблюдается в последние годы, задала нам один вопрос: А есть хоть один нормальный сервис, позволяющий звонить из браузера?
Все полученные на этот вопрос ответы разделились на две группы:

Изучение цифровой схемотехники нужно начинать с теории автоматов. В этой статье можно найти некоторые элементарные вещи, которые помогут не потеряться в дальнейших статьях. Я постарался сделать статью легкочитабельной и уверен, что неподготовленный читатель сможет в ней легко разобраться.

Продолжаю эпопею самодельных велосипедов.

Чуть-чуть истории. На работе срочно понадобился скрипт для мониторинга SSL-сертификатов наших веб-серверов. Мнения разделились, я предлагал вжиться в роль злоумышленника и просканировать все подсети компании, оппоненты — составить список и мониторить его.

Так как админчики зачастую ленивые и, бывает, не документируют свою работу, а так же любят что-то сделать и забыть(про существование сервера), я решил что мой способ лучше(и универсальней) и приступил к написанию скрипта.

Итак, что понадобится:

• OpenSSL
• Nmap
• Bash
• bc
• awk

Скрипт сканирует заданные подсети на наличие открытого 443-го порта и, с помощью openssl, проверяет сертификат. Потом выводит сертификаты, которые истекают в ближайший месяц. Так же проверяет в днсе обратные зоны и, если не находит (запись в обратной зоне), радостно об этом сообщает. Результаты складываются в отдельные файлы(«хорошие сертификаты», истекающие/просроченные, ошибка соединения, айпи-адреса без обратной зоны) и в один общий файл.

Скрипт под катом.

В свете последних событий с torrents.ru и активизации государственных группировокорганов по борьбе с пиратством, думаю многие задумались как же обезопасить себя или свой сервер на случай если придут нежданные «гости». Вот и мне подвернулась задача защитить локальный медиасервер от посягательств, проведя пару дней за гугленнием и чтением мануалов/howto — мне удалось это реализовать. Скажу сразу, статей по шифрованию очень много, но в основном они рассчитаны на шифрование только определенных разделов, либо устарели/содержат много ошибок.

ЦЕЛИ:

1. Весь винт(винты) должны быть надежно зашифрованы
2. На винтах не должно быть абсолютно никакой разбивки, так как будто это новый(или стертый) винт
3. ОС должна стоять на зашифрованных разделах
4. Должна быть возможность увеличения дискового пространства, путем добавления новых винтов
5. Загрузка системы без ввода ключа от шифрованных данных

Дональд Кнут (известный тем, что его книги никто не читает) пишет, что хотя первый двоичный поиск был опубликован в 1946 году, первый двоичный поиск без багов был опубликован только в 1962.

Алгоритм двоичного поиска похож на то, как мы ищем слово в словаре. Открываем словарь посередине, смотрим в какой из половин будет нужное нам слово. Допустим, в первой. Открываем первую часть посередине, продолжаем половинить, пока не найдем нужное слово.

С массивами так: есть упорядоченный массив, берем число из середины массива, сравниваем с искомым. Если оно оказалось больше, значит искомое число в первой половине массива, если меньше — во второй. Продолжаем делить оставшуюся половину, когда находим нужное число возвращаем его индекс, если не находим возвращаем null.

Наверняка все, кто читает этот пост не раз использовали, или хотя бы слышали о решете Эратосфена — методе отыскания простых чисел. Сама проблема получения простых чисел занимает ключевое место в математике, на ней основаны некоторые криптографические алгоритмы, например RSA. Есть довольно много подходов к данной задаче, но в этой статье я остановлюсь на некоторых модификациях самого простого из них — решета Эратосфена.

Дорогие коллеги!

Рад представить вам новую версию программы DriverPack Solution 10. Это универсальный менеджер установки драйверов для всех версий Windows, который можно совершенно бесплатно скачать с официального сайта: http://drp.su/

В отличие от встроенной в Windows Update функции обновления драйверов этой программой можно пользоваться без наличия Интернета и для установки драйверов не только на устройства популярных вендеров (как в случае с Windows Update).

Уже давным давно по интернетам ходят ссылки на мифические тонкие клиенты по 50-60-70 баксов. Мол, если есть такие, зачем по $200-$500? Более того, несколько компаний у нас в стране их пытаются продавать, и даже двигают на рынок с привлечением тяжёлой артиллерии в форме презентаций, бесплатных фуршетов и роадшоу.

Итак, сначала рыночно-историческая часть, а потом подробно техническая.

История

Была фирма, ncomputing. И изобрела она свой путь изготовления терминальных решений. Подчёркиваю, решений, а не тонких клиентов. Про него подробнее во второй части. Это изобретение было не такое уж дешёвое — под $150. Состояло оно из железа и софта. Софт шёл «как бы бесплатно» (точнее, с железками шла лицензия для них в софт). Но ушлые китайцы… произвели творческое осмысление и сделали своё. Главное, что своего сервера они не написали, а вместо этого банальным образом хакнули старую версию софта. То, что продаётся по $50-70 — это оно. Без техсаппорта, без обновлений (а они ой как там нужны), с ломанной версией критически важной для работы программы. Другими словами, типичные музыкальные центры panafonic и sonny, спортивная одежда от pyma и riibook. Та самая «китайская подделка», от имиджа которой стремятся уйти китайцы.

Впрочем, куда интереснее посмотреть на сам ncomputing, потому что это действительно НЕ RDP, это НЕ цитрикс, и у них ВСЁ своё.

Техническая часть

Когда-то, на заре Интернета, переводом английских текстов и слов занимались все кому не лень, в основном технари. В результате в русский язык вошел целый корпус переводных полуфабрикатов, плохо приспособленных к русской грамматике, синтаксису и стилистике. Та же проблема, кстати, относится к сфере бизнеса. Бедные, бедные Карамзин и Белинский, которые в свое время из кожи вон вылезали, создавая добротные русские аналоги иностранных терминов…

Доброго времени суток!
Сегодня я хотел бы рассказать о методе разрешения некоторых рекуррентностей и разобрать классический пример на эту тему.

Доброго времени суток!
Данная статья будет полезна для прикладных программистов или людей, увлекающихся спортивным программированием. Она расскажет о быстром вводе данных на языке Java.

Неделю назад я запустил публичную бету своего проекта и теперь хочу рассказать о нем на Хабре.

Сначала о том, что побудило меня на создание сего творения. Не так давно социальные сети были предназначены лишь для общения отдельных групп граждан. Очень быстро они превратились в универсальный инструмент общения и охватили все слои населения. Т.к. потребности (ну и возможности) этих слоев весьма различны, вряд ли их можно удовлетворить единым набором функционала, интерфейсов и прочего. Таким образом, социальные сети неизбежно должны совершить следующую метаморфозу: превратиться в платформы. Приложения должны переселиться с окраин социальных сетей, годных лишь для фермерской деятельности периферийного функционала, в самый центр. Они должны взять на себя большую часть взаимодействия с пользователем.

Akshell и является подобной платформой.

Трафик проходящий по витой паре может быть прослушан абсолютно незаметно для участников соединения.
В этом посте будет показано как изготовить автономный сниффер с возможностью сохранения дампа на диск и управляемый по Wi-Fi.