Хакер утверждает, что превратил поиск и использование недостатков популярных ММО видеоигр в доходную полноценную работу

Персонаж Манфреда неподвижно стоит в виртуальном мире научно-фантастической многопользовательской игры 2014 года WildStar Online. Манфред, живой человек, управляющий персонажем, вводит команды в отладчик. За несколько секунд вроде бы простейшего хака количество виртуальной валюты Манфреда взлетает до более чем 18 000 000 000 000 000 000 единиц, или 18 квинтильонов.

Я наблюдаю за этим в демонстрационном видео, записанном Манфредом, стоя рядом с ним в баре Лас-Вегаса в четверг. Манфред, попросивший меня не называть его настоящего имени, говорит, что занимается взломом нескольких видеоигр уже 20 лет, и зарабатывает реальные деньги на взломах, подобных тому, что я сейчас видел. Его образ действий немного отличается от игры к игре, но, по сути, состоит из обманных действий, заставляющих игры выдавать ему предметы или валюту сверх положенного. Он продаёт эти предметы или валюту другим игрокам за реальные деньги или сбывает оптом на серых рынках онлайн-игр, к примеру, Internet Game Exchange, которые затем продают эти виртуальные вещи игрокам.

Всё началось, когда автор Ruby on Rails признался миру:

… или что такое на самом деле 'raid edition' для жёстких дисков

Немного теории

Существуют две стратегии поведения НЖМД при обнаружении ошибки:

• standalone/desktop — пытаться прочитать до последнего. Это ощущается как «тормозящий винт», который всё-таки работает, если это единичный сбой, то «затупило, но прошло», плюс характерный перестук перекалибрующихся головок.
• raid — отваливаться тут же. Это ощущается как «внезапно была ошибка диска но потом mhdd и т.д. НИЧЕГО НЕ НАШЁЛ ЧТО МНЕ ДЕЛАТЬ».

Статегии очевидным образом различаются по предназначению — десктоп лучше протупит, но ошибку не выдаст, в рейде есть запасной винт, и терпеть минутные тормоза на чтении никто не имеет никакой возможности. Не получилось прочитать? Читаем с запасных винтов, помечаем весь винт как сбойный, начинаем ресинк, а диск потом отправят в утилизатор. Возможно, незаслуженно, но нечего икать на ответственной должности.

Управление стратегиями поведения при ошибках — это фича дорогих винчестеров. В десктопных сериях её часто просто нет, или она есть, но без права включения — винчестер тупит над ошибкой столько, сколько сочтёт нужным. Второй важный момент — на рейдовых жёстких дисках эта опция включена по-умолчанию. Что может приводить к проблемам.

Расшифровка названия

Возможность управления поведением диска при ошибках называется очень и очень путанно: SCT ERC. Это расшифровывается как SCT Error Recovery Control. SCT в свою очередь название общего протокола SMART Command Transport. SMART в свою очередь расшифровывается как Self-Monitoring, Analysis and Reporting Technology, таким образом, полная расшифровка SCT ERC звучит так: Self-Monitoring, Analysis and Reporting Technology Command Transport Error Recovery Control (выдохнули).

Часть 1
Часть 2
Часть 3
Часть 4

DE0-Nano-SoC Development Kit / Atlas-SoC Kit

Компания/проект — Terasic; RocketBoards.org
Страница продукта
CPU — Intel (Altera) Cyclone V SE (Cyclone V FPGA + 2x Cortex-A9 @ 952MHz)
Память — 1GB DDR3 RAM
Цена — $99

Плата DE0-Nano-SoC Development Kit выгладит как коммерческая отладочная плата, но имеет открытые спецификации и стоит всего $99, что выглядит разумной ценой для платы на основе Cyclone V. Плата DE0-Nano-SoC использует более low-end разновидность SE, которая примерно эквивалентна Xilinx Zynq-7020. Эта SoC объединяет FPGA и два ядра Cortex-A9 под управлением Angstrom v2014.12 Yocto 1.7 с ядром Linux 4.0. На плате есть GbE, USB OTG, порты micro-USB, и слот microSD катрочкой на 4GB. Также есть акселерометр, разъем расширения, подсоединённый к ARM, и различные интерфейсы, подсоединённые к FPGA, включая 40-pin разъём, совместимый с шилдами Ардуино. Есть идентичная версия Atlas-SoC, имеющая программное обеспечения, рассчитанное больше на программистов, чем на разработчиков железа. Есть сообщество на RocketBoards.org.

Часть 1
Часть 2
Часть 3
Часть 4

NanoPC-T3

Компания/проект — FriendlyElec (FriendlyARM)
Обзор LinuxGizmos
Страница продукта
CPU — Samsung S5P6818 (8x Cortex-A53 @ 400MHz to 1.4GHz); Mali-400 MP GPU
Память — 1GB или 2GB DDR3 RAM; 8GB eMMC
Цена — $60

Компания FriendlyElec (также известная как FriendlyARM) предлагает сейчас как минимум дюжину одноплатников, что превышает наш порог в 10 устройств на компанию, и это заставило нас исключить некоторые из них из нашего первого списка. Несколько сходных продуктов мы объединили в один пункт, модель NanoPi. Размер платы NanoPC-T3 100 x 60mm. Это одна из наиболее развитых плат от FriendlyElec. Она оснащена восьмиядерным Samsung S5P6818. Плата NanoPC-T3 SBC практически идентична более ранним, четырёхядерным NanoPC-T2. В дополнение к более быстрому процессору, плата T3 добавляет опцию 2GB RAM. Также обе платы NanoPC имеют слот SD, GbE, WiFi, и Bluetooth 4.0. На платах установлены четыре USB host, micro-USB client, и медиапорты, включая HDMI, LVDS, LCD, MIPI-DSI, MIPI-CSI, и аудио. Вместо обычного разъёма 40-pin RPi, NanoPC-T3 имеет 30-pin разъём GPIO.
 

Даже если просто просматривать заголовки новостей, то этого достаточно, чтобы понимать: в сфере информационной безопасности постоянно появляются новые угрозы и уязвимости. А потому предприятиям крайне важно иметь возможность осуществлять подготовку своих профессионалов в области безопасности в таком объеме, как того требует их стратегия ИТ-управления.

Это означает, что существует только один вопрос: как лучше всего, с одной стороны, специалистам получить адекватное обучение (что сделает их более востребованными на рынке труда), а с другой стороны, предприятиям улучшить свои протоколы и процедуры безопасности (и продемонстрировать своим клиентам чувство безопасности)?
Правильные решения – это сертификаты безопасности, которые допускают сочетания минимальных требований, стандартизированного языка и профессионального кодекса этики.

Если мы, как специалисты и руководители предприятий решили взять курс в управлении ИТ-безопасностью, то рекомендуется выбирать сертификаты ведущих международных и независимых организаций. С учетом этого, в данной статье мы приводим некоторые из доступных наиболее серьезных сертификационных программ:

CISA / CISM
CISA и CISM– это две основные аккредитации, выдаваемые ассоциацией

Предлагаем вашему вниманию продолжение статьи о книгах посвященным ИБ, на этот раз список литературы, который привлек внимание экспертов на конференции RSA 2014, часть книг можно найти на 8files.

Первый источник информации, из которого я многое узнал о CISSP, это публикация на Хабре. В своем описании постараюсь не дублировать информацию из этого поста.

Я начинал готовиться еще в 2014 году и переход от 10 доменов к 8 еще не состоялся. Мне пришлось готовиться сначала по старым учебникам, а потом переходить на новые. Приведу ниже описание моего собственного опыта, и некоторых выводов, которые могут быть полезны для тех, кто планирует получить сертификат.

Для подготовки я избрал тактику медленного освоения материала — учебник читал по дороге из дома в офис и обратно. Получалось около часа в день. Лучше готовиться по английским учебникам, ибо в переведенных на русский учебниках осталось мало английских терминов, и будет трудно ориентироваться в вопросах на английском.

Привет, Хабравчане!

Недавно я сдал одну из топовых сертификаций в области информационной безопасности: Certified Information Systems Security Professional или кратко CISSP. В процессе подготовки я по крупицам собирал от коллег, а также по разным форумам и сайтам полезную информацию о сертификации и экзамене. «А ведь это может кому-то пригодиться!» подумал я, разбираясь на рабочем столе, и убрал палец с кнопки Delete.
Под катом я расскажу о своем опыте подготовки и поделюсь советами и приемами, которые проверил на себе. Надеюсь, этот материал поможет вам лучше понять, что такое CISSP и стоит ли его сдавать, а также сэкономить драгоценное время в процессе подготовки.

abstract: В статье описаны продвинутые функций OpenSSH, которые позволяют сильно упростить жизнь системным администраторам и программистам, которые не боятся шелла. В отличие от большинства руководств, которые кроме ключей и -L/D/R опций ничего не описывают, я попытался собрать все интересные фичи и удобства, которые с собой несёт ssh.

Предупреждение: пост очень объёмный, но для удобства использования я решил не резать его на части.

Оглавление:

• управление ключами
• копирование файлов через ssh
• Проброс потоков ввода/вывода
• Монтирование удалённой FS через ssh
• Удалённое исполнение кода
• Алиасы и опции для подключений в .ssh/config
• Опции по-умолчанию
• Проброс X-сервера
• ssh в качестве socks-proxy
• Проброс портов — прямой и обратный
• Реверс-сокс-прокси
• туннелирование L2/L3 трафика
• Проброс агента авторизации
• Туннелирование ssh через ssh сквозь недоверенный сервер (с большой вероятностью вы этого не знаете)

С SSH многие знакомы давно, но, как и я, не все подозревают о том, какие возможности таятся за этими магическими тремя буквами. Хотел бы поделиться своим небольшим опытом использования SSH для решения различных административных задач.

Оглавление:

1) Local TCP forwarding
2) Remote TCP forwarding
3) TCP forwarding chain через несколько узлов
4) TCP forwarding ssh-соединения
5) SSH VPN Tunnel
6) Коротко о беспарольном доступе
7) Спасибо (ссылки)

Хорошо зафиксированный пациент в анестезии не нуждается

По многочисленным просьбам трудящихся сегодня мы будем заниматься очень важными вопросами:

• Как правильно мазать зубы пальцем?
• Хорошо ли растворяются пломбы в кислоте?
• Почему больно, когда сверлят зубы дрелью без анестезии?
• Зачем мазать зубы зеленкой?
• Лечение кариеса на дому
• Глубокое микрофторирование эмали

Немного пробежимся по скучной теме строения зуба и сразу погрузимся в волнующий мир бесчисленных тварей, которые жрут вас заживо, и разнообразных полезных стоматологических пузырьков и тюбиков.

Представляем вашему вниманию очередную порцию лекций Технотрека. В рамках курса будут рассмотрены основы системного администрирования интернет-сервисов, обеспечения их отказоустойчивости, производительности и безопасности, а также особенности устройства ОС Linux, наиболее широко применяемой в подобных проектах. В качестве примера будут использоваться дистрибутивы семейства RHEL 7 (CentOS 7), веб-сервер nginx, СУБД MySQL, системы резервного копирования bacula, системы мониторинга Zabbix, системы виртуализации oVirt, балансировщика нагрузки на базе ipvs+keepalived. Курс ведёт Сергей Клочков, системный администратор в компании Variti.

Мы не знаем, как появляется звезда, но хотим узнать, как появляются 10 миллиардов звёзд
— Карлос Френк

Заглядывая в удалённые части Вселенной, мы смотрим в её прошлое. Чем дальше объект, тем дольше его свет шёл до наших глаз. И каждый раз, когда нам удаётся заглянуть дальше, чем получалось раньше, мы заглядываем в более глубокое прошлое – всё ближе к Большому взрыву.



Самое раннее из увиденного нами – это, конечно, реликтовое излучение, остаточное свечение от Большого взрыва. Когда мы наблюдаем это фоновое излучение, испущенное в то время, когда Вселенная окончательно остыла до температур, позволяющих формироваться атомам, мы получаем снимок Вселенной в возрасте 380 000 лет!

Каждый, кто пользуется командной строкой Linux, встречался со списками полезных советов. Каждый знает, что повседневные дела вполне можно выполнять эффективнее, да только вот одно лишь это знание, не подкреплённое практикой, никому не приносит пользы.

Как выглядят типичные трудовые будни системного администратора, который сидит на Linux? Если абстрагироваться от всего, кроме набираемых на клавиатуре команд, то окажется, что команды эти постоянно повторяются. Всё выходит на уровень автоматизма. И, если даже в работе есть что улучшать, привычка противится новому. Как результат, немало времени уходит на то, чтобы делать так, как привычнее, а не так, как быстрее, и, после небольшого периода привыкания – удобнее. Помнить об этом, сознательно вводить в собственную практику новые полезные мелочи – значит профессионально расти и развиваться, значит – экономить время, которое можно много на что потратить.

Перед вами – небольшой список полезных приёмов работы с командной строкой Linux. С некоторыми из них вы, возможно, уже знакомы, но успели их позабыть. А кое-что вполне может оказаться приятной находкой даже для знатоков. Хочется надеяться, что некоторые из них будут вам полезны и превратятся из «списка» в живые команды, которыми вы будете пользоваться каждый день.

О почти личном опыте выбора и настройки проектора в условиях однушки на отшибе и ограниченности бюджета или что делать, если на $$ захотелось экран 3+ метра.

Осторожно, трафик.

Сейчас в поле зрения общественного внимания попадает всё больше исследований tDCS – транскраниальной стимуляции постоянным током. Довольно большое количество научных работ последних лет демонстрируют, что tDCS может улучшать когнитивные способности не только при лечении болезней, но и у совершенно здоровых людей. Среди них – реакция, внимание, память и обучение иностранным языкам. Успехи научных исследований привлекли внимание DIY сообщества, которое взяло технологию на вооружение и стало активно применять tDCS на себе.

Однако ключевой момент для проведения электростимуляции – это правильный выбор мест прикрепления электродов к голове. Ведь стимуляция различных зон мозга приводит к принципиально разным когнитивным эффектам – в зависимости от функций этих областей. Поэтому я решил разобраться в научных статьях и выяснить, стимуляция каких зон действительно приводит к ощутимым когнитивным улучшениям и какие подводные камни здесь могут быть.