Pull to refresh
8
Karma
0
Rating
Павел @TheSteelRat

Разработчик

Реверс инжиниринг протокола активации Яндекс.Станции

Information Security *Programming *Reverse engineering *Gadgets


«Яндекс.Станция» — умная колонка с голосовым помощником Алиса. Чтобы её активировать, нужно поднести телефон и проиграть звук из приложения «Яндекс». Под катом я расскажу, как устроен этот сигнал, про пароль от WiFi в открытом виде и попробую развить идею передачи данных через звук.
Читать дальше →
Total votes 175: ↑171 and ↓4 +167
Views 55K
Comments 84

Cбор логов с rsyslog, именами файлов в тегах, многострочными сообщениями и отказоустойчивостью

Configuring Linux *System administration **nix *

image


Изображение с сайта oxygen-icons.org


Задача


Передавать лог-файлы на центральный сервер:


  • При недоступности сервера не терять сообщения, а накапливать и передавать при его появлении в сети.
  • Корректно передавать многострочные сообщения.
  • При появлении новых лог-файлов, достаточно перенастройки клиента, не требуется изменение конфигурации сервера
  • Можно передавать содержимое всех лог-файлов с соответствующим шаблону именем, причём на сервере их содержимое будет сохраняться раздельно в файлы с таким же именем.

Условия: в инфраструктуре используются только Linux-сервера.

Читать дальше →
Total votes 27: ↑27 and ↓0 +27
Views 133K
Comments 12

Как сделать мощную лестницу Иакова из трансформатора от микроволновки своими руками

Popular science Energy and batteries Physics DIY Electronics for beginners
Желание написать данный пост побудила вот это фотография со студенческой конференции технического ВУЗа.



— Видел, что студенты показывали на конференции? — спросил товарищ, показывая фотографию.
— Ничего себе! Это же полный *****! И ты там был?
— Да, я к ним подходил, разговаривал, но они не стали меня слушать. Что я мог сделать???

И действительно, а что можно поделать. Поговорив с друзьями было решено написать этот пост, в котором расскажем немного про “Лестницу Иакова”, собственный опыт изготовлении этих установок, и поясним, почему эта фотография вызвала столько эмоций.
Total votes 55: ↑52 and ↓3 +49
Views 61K
Comments 238

Как украсть деньги с бесконтактной карты и Apple Pay

Payment systems *
Как украсть деньги с бесконтактной карты из кармана? Насколько безопасен PayPass и Apple Pay?

В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.

Рассматриваемые темы:

  • Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
  • В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
  • Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
  • Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
  • Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.

Внимание!

В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.

Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.
Total votes 329: ↑323 and ↓6 +317
Views 263K
Comments 394

Mikrotik, DHCP Classless Route

System administration *Network technologies *
Tutorial
DHCP Classless Route, зачем он нужен?

У нас в компании для VPN используется решение на tincd. Из-за того, что на Mikrotik я не нашёл простого способа запустить tinc, было решено запускать VPN на отдельном сервере и использовать его как шлюз. Первая попытка — прописать маршрут на маршрутизаторе. По пингам было видно, что маршрутизатор присылает сообщение о редиректе, при этом наблюдались сетевые лаги. При работе создавалось ощущение, что соединение, установленные таким образом, подтормаживает.

В качестве эксперимента решил попробовать на своём рабочем месте прописать маршрут руками. Это оказалось правильным решением — лаги пропали, но данную операцию нужно было проделать на всех машинах офиса, а руками вбивать как то не хотелось. В связи с этим понадобился способ, без особого напряжения, настраивать статический маршрут, на всех клиентах, получающих адрес по DHCP протоколу.

Процесс гугления привёл меня на страницу документации Mikrotika. Всё ясно — нам поможет DHCP Classless Route. Настройка относительно легка, но вот из-за этой относительности убил на настройку пол дня. При этом возникали проблемы с сетевым доступом у хостов сети — у Windows машин пропадал маршрут по умолчанию.
Ещё одна сложность настройки Mikrotik заключается в том, что нужно вводить маршрут в шестнадцатеричном (либо в двоичном) виде, что меня слегка сбило с толку. Да и в документации некоторые нюансы не указаны. Данная опция рассмотрена в базовом варианте. А дальше как хотите )). Пришлось немного углубиться в подробности настройки.
Подробности под катом
Total votes 15: ↑15 and ↓0 +15
Views 47K
Comments 30

DevConf: переход Uber с PostgreSQL на MySQL

DevConf corporate blog MySQL *PostgreSQL *
18 мая 2018 года в Digital October состоится DevConf 2018. И мы решили пересказать некоторые интересные доклады с прошлогодней конференции. Там был доклад с несколько холиварным заголовком: "О чём молчит политрук: к дискуссии о переходе Uber с PostgreSQL на MySQL". В нем разработчик MySQL Алексей Копытов рассмотрел различия InnoDb и PostgreSQL на самом низком уровне, включая организацию данных, памяти и репликаций. Предлагаем вашему вниманию краткий пересказ доклада.


История вопроса


Uber перешел с MySQL на Postgres в 2013 году и причины, которые они перечисляют, были во-первых: PostGIS — это геоинформационное расширение для PostgreSQL и хайп. То есть, у PostgreSQL есть некий ореол серьезный, солидная СУБД, совершенный, без недостатков. По крайней мере, если сравнивать с MySQL. Они мало что знали о PostgreSQL, но повелись на весь этот хайп и перешли, а через 3 года пришлось переезжать обратно. И основные причины, если просуммировать их доклад — это плохие эксплуатационные характеристики при эксплуатации в production.
Читать дальше →
Total votes 103: ↑100 and ↓3 +97
Views 53K
Comments 124

Исправляем ошибки своими руками, или баг, который «никого не колышет»

Debugging *
Недавно я уже поднимал волну о баге TCP стриминга камер, но тогда я её катил исключительно на китай. А проблема куда как шире. Для себя я проблему решил, страждущим выкладываю прошивки с фиксом.

А теперь садитесь поудобнее, я поведаю вам об этом баге подробно.
Читать дальше →
Total votes 78: ↑73 and ↓5 +68
Views 51K
Comments 13

Как мы научились подключать китайские камеры за 1000р к облаку. Без регистраторов и SMS (и сэкономили миллионы долларов)

Configuring Linux *Information Security *Working with video *Development for IOT *IOT

Всем привет!


Наверное, ни для кого не секрет, что в последнее время облачные сервисы видеонаблюдения набирают популярность. И понятно почему так происходит, видео — это "тяжелый" контент, для хранения которого необходима инфраструктура и большие объемы дискового хранилища. Использование локальной системы видеонаблюдения требует средств на эксплуатацию и поддержку, как в случае организации, использующей сотни камер наблюдения, так и в случае индивидуального пользователя с несколькими камерами.



Облачные системы видеонаблюдения решают эту задачу — предоставляя клиентам уже существующую инфраструктуру хранения и обработки видео. Клиенту облачного видеонаблюдения достаточно просто подключить камеру к интернету и привязать к своему аккаунту в облаке.


Есть несколько технологических способов подключения камер к облаку. Бесспорно, наиболее удобный и дешевый способ — камера напрямую подключается и работает с облаком, без участия дополнительного оборудования типа сервера или регистратора.


Для этого необходимо, чтобы на камере был установлен модуль ПО работающий с облаком. Однако, если говорить про дешевые камеры, то у них очень ограничены аппаратные ресурсы, которые почти на 100% занимает родная прошивка вендора камеры, а ресурсов необходимых для облачного плагина — нет. Этой проблеме разработчики из ivideon посвятили статью, в которой говорится почему они не могут установить плагин на дешевые камеры. Как итог, минимальная цена камеры — 5000р ($80 долларов) и миллионы потраченных денег на оборудование.


Мы эту проблему успешно решили. Если интересно как — велком под кат

Читать дальше →
Total votes 103: ↑100 and ↓3 +97
Views 228K
Comments 149

Грамотность — не в упадке

Studying in IT
Никто не забыт, ничто не забыто
С момента прихода в нашу школу Интернета, грамотность детей становится хуже и хуже. На форумах они часто пишут с нарочитыми ошибками (чтобы было “прикольно”), однако в результате забывают правила русского языка. Ситуация на сегодняшний день катастрофическая.

(публикация НГС.Новости от 2006 года)

Подобные жалобы, наверное, появились не вчера, и их можно найти, наверное и в древних письмах. Но сегодня ситуация с языком сложилась совсем новая: грамотность на форумах низкая, ошибки «ться-тся», «с перва» не прекращаются. (Оставим даже за скобками заимствования — для которых нет строгих формальных правил.) Ведь, если подумать — кошмар, люди не в состоянии запомнить простые школьные правила или хотя бы ставить знаки препинания. Язык ждёт катастрофа! Неужели?

Заметное многим «засорение» языка — не катастрофа и даже не проблема, а симптом процессов, с которыми язык вполне справится.
Читать дальше →
Total votes 133: ↑96 and ↓37 +59
Views 94K
Comments 241

Могучий малыш — TrueRMS мультиметр Aneng AN8001

LampTest corporate blog Gadgets Computer hardware
Несколько лет назад невозможно было себе представить, что TrueRMS-мультиметр с автоматическим переключением диапазонов, способный измерять постоянное и переменное напряжение, постоянный и переменный ток, сопротивление, ёмкость и частоту с 6000 отсчётами и 0.5-процентной точностью может стоить меньше 15 долларов. Сегодня этот прибор у меня в руке.

Читать дальше →
Total votes 37: ↑33 and ↓4 +29
Views 53K
Comments 50

Китайские камеры Jovision и их OEM клоны. Мистификация безопасности

API *Reverse engineering *

Так получилось, что для одного из проектов понадобилась управляемая система пространственного позиционирования целеуказателя. Сервоприводы различных производителей оказались довольно дорогими и было решено купить управляемую камеру и использовать встроенный сервопривод камеры для позиционирования. С PTZ камерами я дела никогда не имел, поэтому на пробу была приобретена камера J2000IP-CmPTZ-111v2.0, якобы российского производителя "3С-Групп".


Внимание! Публикация не является обзором камеры и скорее всего описывает разбор механизмов управления камерой предлагаемый производителем оборудования, а также оценку безопасности её использования.

Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Views 15K
Comments 5

Как я взломал свою ip-камеру и нашел там бекдор

Information Security *Reverse engineering *Development for IOT *
Translation
Время пришло. Я купил себе второе IoT устройство в виде дешевой ip-камеры. Мои ожидания относящиеся к безопасности этой камеры были не высоки, это была самая дешевая камера из всех. Но она смогла меня удивить.

Читать дальше →
Total votes 132: ↑125 and ↓7 +118
Views 127K
Comments 58

Искусственный рассвет

DIY
Sandbox
Началось всё год назад. Перед Новым 2014 годом несколько пришел в упадок жизненный тонус. Процесс самокопания привел к следующей мысли:



— А, что ж так темно-то, Господи? © День радио.

Впрочем, для человека, живущего зимой по летнему времени — мысль вполне естественная.
Что же делать?
Total votes 187: ↑185 and ↓2 +183
Views 231K
Comments 87

Как развернуть для своей команды архив slack сообщений c синхронизацией и поиском

Website development *Python *API *
Tutorial
Я сам сторонник идеи что если нравится продукт то нужно покупать его и своими деньгами поддержать программистов.
Но иногда бывает что компания на этот софт денег тратить не может или не хочет. Особенно сложно платить от 100$ в месяц когда есть бесплатные аналоги или если чаты используются в некоммерческих целях.

Я опишу как можно развернуть сервис для хранения истории всех публичных сообщений вашей команды в slack и избавиться от основного, неприятного, иногда выбешивающего ограничения — up to 10k of your team’s most recent messages (можно смотреть и искать только среди 10 000 последних сообщений)
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 17K
Comments 28

Простые опыты с ребенком дома

Popular science Physics DIY Astronomy

Пример очень неудачного опыта, пояснение в разделе “о технике безопасности”

К моему предыдущему посту было множество комментариев по части экспериментов с детьми. Тогда я пообещал написать отдельный пост о простых увлекательных опытах. Сейчас я это обещание выполняю. Данная статья будет вводной, в ней я расскажу только о самых популярных и известных экспериментах которые легко выполнить дома с ребенком.
Читать дальше →
Total votes 69: ↑66 and ↓3 +63
Views 79K
Comments 164

Грандиозное тестирование аккумуляторов AA/AAA

LampTest corporate blog Gadgets Energy and batteries
После моего грандиозного тестирования батареек многие просили провести такие же основательные тесты NiMh-аккумуляторов. За четыре месяца я протестировал 198 аккумуляторов (44 модели AA и 35 моделей AAA).



Читать дальше →
Total votes 217: ↑215 and ↓2 +213
Views 267K
Comments 71

«Хорошо сидим» или Сказка, которую нужно рассказать не только детям

Health
Recovery mode
Sandbox


— Засыпай, а я тебе сказочку…

Жили-были великие китайские императоры. И всё-то у них было: и Великая китайская стена, и бумага, и иероглифы, и учёные, и компас и порох, и, даже, ракеты. И самих их, буквально, на руках носили – в паланкинах — никаких тебе поездок на конях или в колесницах, как у египетских фараонов. Никаких единоборств. Чтобы самим меч поднять или нунчаку какую – это ни-ни! Более того, их даже одевали слуги. Опахалами обмахивали – от мух и бабочек – тоже слуги.

Одна беда: болели часто! Жили лет до 30-40 — это максимум! Некоторые, так и вовсе – чуть за двадцать перевалили. До сих пор в Интернете публикуют всякие тайно переписанные «лечебные книги» этих императоров. Кстати, именно при них, при императорах, и появились первые массажисты и сам массаж (его еще «ленивой гимнастикой» называют). Видно, умный лекарь не рискнул: не посоветовал императору заняться физкультурой. Тогда с этим строго было: если что – сразу на кол. Или одним мясом кормить начинали – казнь такая у них практиковалась…

Поэтому изобретать физкультуру пришлось не в те времена (2700 лет до нашей эры), а в конце 18 века. Выбор истории пал на изобретателя «шведской стенки» — Пера Генрика Линка. Случилось так, что Линк заболел (чем-то вроде ревматизма), но отлеживаться не стал, а занялся фехтованием. Более того, он еще и других стал учить фехтованию. Тут ему и полегчало. Линк сумел все правильно сопоставить и стал лечить движением и даже обучать медицинской гимнастике. В 1813г в Стокгольме даже создали Королевский Институт, в котором готовили инструкторов по гимнастике, а Линк руководил этим институтом.

— Такая вот сказочка. Вот и сказочке конец, а кто слушал …
— Маловато! Хошь, как хошь, а маловато! Еще рассказывай!

— Ну, ладно, ладно. Так о чем это я? Ах, да – в фильме «Осенний марафон» вкусно так актер Евгений Леонов сказал: «Хорошо сидим». Действительно, любим мы это занятие – хоть дома, хоть на работе…
Читать дальше →
Total votes 23: ↑21 and ↓2 +19
Views 19K
Comments 22

Как я делал веб-версию KeePass

Information Security *Website development *JavaScript *Programming *HTML *
Как-то мне надо было добавить в админку просмотр списка паролей. База хранилась на сервере в формате KeePass (kdbx v2), сервер был на ноде — недолго думая, я взял первый попавшийся пакет и сделал. А потом понадобилось то же самое, но прямо у пользователя в браузере, без сервера. Ничего не нашлось. Первым желанием было форкнуть либу и заменить использование node api, но от первого просмотра кода желание пропало, решил сделать сам.



Под катом расскажу о проблемах, с которыми я столкнулся, и способах их решения
Читать дальше →
Total votes 134: ↑133 and ↓1 +132
Views 77K
Comments 162

О сколько нам открытий чудных готовит Office Microsoft

Assembler *Reverse engineering *


По сообщениям в комментариях к статье про блокнот, во всех версиях Microsoft Excel, начиная по крайней мере с '97 и до самых новых, в имени листа не всегда можно ввести большую букву Ж. Данная проблема обсуждается в сети уже давно, например на этом форуме забавно наблюдать, как некоторые утверждают, что у них проблемы нет, а у других есть, но не всегда, и никто не понимает, почему так. На первый взгляд можно подумать, что это просто недоработка программистов: они хотели не дать пользователю ввести символ ':', и просто не подумали о том, что Ж находится на той же кнопке.

На деле оказалось всё гораздо хуже. Описать нормальными словами то, что происходит в excel, когда вы просто нажимаете кнопку 'Ж', практически невозможно. Поэтому я попытаюсь обрисовать в целом процесс исследования, сократив его где возможно, и не слишком перегружая статью ассемблерным кодом. В итоге мы узнаем, почему получается так, что не любые символы можно ввести, и как это можно исправить.
Читать дальше →
Total votes 235: ↑230 and ↓5 +225
Views 114K
Comments 89

Своё Certificate Authority — в 5 OpenSSL команд

Website development *Cryptography *
Sandbox

Зачем это нужно?


Представим, у нас есть два сервера, работают они себе, и переодически они хотят, что-то друг у друга спросить по протоколу HTTP/HTTPS.

Протокол HTTP не безопасен и логично использовать протокол HTTPS для общения меду серверами.

Для организации такого общения нам нужно 2 SSL сертификата.

Если сервера пренадлежат одной организации, то может быть проще и безопасней подписывать сертификаты самостоятельно, а не покупать.
Читать дальше →
Total votes 52: ↑48 and ↓4 +44
Views 204K
Comments 29

Information

Rating
Does not participate
Location
Украина
Registered
Activity