Надежные и постоянно меняющиеся пароли - это здорово. Особенно когда они меняются и на Wi-Fi роутере и WPS на нем вообще отключен. В этом посте: сколько занимает перебор WPS pin и есть ли у этого практическое применение? А еще напишем программу для брутфорса на C#
Пользователь
Отношения с IT. Часть первая
Все персонажи являются вымышленными. Любое совпадение с реально живущими или когда-либо жившими людьми случайно.
- Понимаешь, наши заказчики жалуются на нас. Платят нам ежегодно миллионы и мечтают уйти, потому что мы задерживаем сроки и не успеваем сделать все, что обещали. На растущем рынке…
- Сашуля, не учи меня делать бизнес. Это я, не ты заработал миллионы и сделал эту компанию. Писюн у меня, а не у тебя. – говорит мой сюзерен/СЕО перспективной it-компании. Этого непростого человека я люблю дважды в месяц со звуком пуш-уведомления от Альфа-банка, в остальное время просто не понимаю.
Выйдя из кабинета, я смотрю в экран ноутбука и думаю, что с одной стороны прав он, чертяка, когда меряется со мной писюном счетом в банке и тычет в лицо прошлыми достижениями, как доказательством своей правоты и высшей степени экспертности. Только забывает к своим миллионам и успеху признать проблемы, которые тоже его: плохой сервис, неслаженная работа команды, пассивность, инфантильный топ-менеджмент, замалчивание проблем, выгорание у сотрудников, высокая текучка, низкая рентабельность бизнеса, непрофессионализм директоров-друзей-приятелей.
Удача и успех в бизнесе окрыляет. Воодушевляет. Если к этому добавить бабки, то ощущение похоже на множественный оргазм, но своими могучими руками.
В последнее десятилетие одним из самых быстрорастущих и емких рынков в РФ стал рынок it. Огромный спрос, высокие входные барьеры и отсутствие сильной конкуренции дают собственникам почти безграничное ощущение власти. Такой рынок прощает управленцам отсутствие опыта и ошибки: стратегические, управленческие, тактические. Бизнес в этом случае все равно растет (при прочих равных условиях), но не благодаря менеджерским навыкам, а ввиду сложившихся уникальных факторов.
Как обмануть HR по-американски
История о том, как одна программистка забавно обвела вокруг пальца кучу IT-контор, показав несостоятельность их HR-специалистов, которых и специалистами, в общем-то, назвать сложно. Боты какие-то.
В общем, что она такого сделала? Она провела социологический эксперимент, заставив компании выстроиться за ней в длинную очередь. Как так? Если вдаваться в перипетии её жизненной истории, то долгое время она, как и многие, не могла устроиться на работу. Резюме её было банальным, сухим, как у всех, без изюминки и креатива. Плюнув, соискательница решила кое-что поменять в этом алгоритме.
«А вот все эти зубы — к чёртовой матери» — случай пациента
Затем проснулся, на часах — плюс четыре часа, во рту все зубы новые (импланты и временная конструкция).
Расскажу просто эпический случай мужика, который пострадал от российской медицины далеко не один раз. Итак, на момент приёма у нас пациенту 75 лет. Он несколько десятков лет наблюдался у своего постоянного стоматолога, но его привело в некоторое сомнение то, что последнее, что он ему сделал, отвалилось через неделю. И мужчина решил получить второе мнение. Мы и были вторым мнением. На диагностике мы увидели, что каналы корней вылечены плохо и давно, перелечивать их смысла уже нет, потому что ткани над десной тоже почти нигде нет. И из этих фрагментов зубов показываются штифты, то есть культевые вкладки потеряли герметичность. Вторичный кариес дополняет картину постапокалипсиса.
Как можно довести зубы до такого состояния? С трудом. Как оказалось, нужно просто наблюдаться у своего единственного врача. У меня есть много гипотез, что же пошло не так, но мы не узнавали эту часть, поэтому давайте остановимся на объективных данных, то есть полученных инструментальными способами.
Хочу поиск как у MDN
Привет, друзья!
Недавно (где-то в конце августа) у MDN появился новый (крутой, по заявлению разработчиков) поиск.
Речь идет об этом виджете на главной странице:
Основной код виджета находится здесь, а все остальное, кроме данных для поиска, можно найти здесь.
Данные для поиска также найти не сложно — для этого достаточно добавить к https://developer.mozilla.org
локаль, например, /ru
и /search-index.json
:
Код поиска написан на React
и TypeScript
. Что это означает? Это означает, что мы с вами можем провести его обратную разработку.
Если вам это интересно, прошу следовать за мной.
Как энтузиасты возвращают «старый» интернет
На этой неделе сценарист фильма «Дюна» Дени Вильнёв рассказал, что писал сценарий в программе Movie Master на MS-DOS — так как не любит перемен. И пока такие энтузиасты используют старое программное обеспечение в силу привычки, другие идут гораздо дальше в своих начинаниях и возвращают интернет во времена, когда страницы были минималистичны, а протоколы — проще сегодняшних.
Почему любой Android снимает видео хуже iPhone?
Привет, камрады, киноделы и просто читатели!
Некоторые из вас меня знают как разработчика Андроид-приложения mcpro24fps, предназначенного для профессиональной видеосъёмки на телефон. И сегодня я бы хотел обсудить такую тему: «Почему iPhone остается лидером в видеосъёмке?»
Здоровый сон взрослого человека — это засыпать за 15 минут и не вставать ночью попить и пописать
Послушала на днях 2х-часовое выступление «Здоровый сон» врача-невролога, сомнолога Елены Царевой. Выдернула самые важные для себя пункты:
- Спать регулярно, ложиться и вставать в одно и то же время — самое важное.
- Биоритмы — частично наследуются, частично регулируются стилем жизни. На них можно влиять самому.
- Нормальное время отхода ко сну около 22:00. Сова и жаворонок — это отклонение на ±1-2 часа. Больше — это нарушение и сдвиг фазы сна, чаще из-за внешних раздражителей.
- Самая частая причина плохого сна и тяжелого засыпания — неправильный свет.
- Для сдвига режима на 1 час организму нужен 1 день на адаптацию.
- Невозможно «доспать» бессонную ночь. Досыпание устраняет только 30% последствий недосыпа.
- Прежде, чем искать причины плохого сна, исключите психологические проблемы (тревожность, депрессию), нарушения щитовидки, дефицит железа, диабеты, сердечно-сосудистые заболевания и патологию почек и мочеполовой системы.
- Водителям и пассажирам: 17 часов без сна равны 0,5 промилле, 21 час без сна — 0,8 промилле.
- В постели без сна больше 15 минут не находиться — совет при бессоннице.
- Самые физиологичные будильники — те, что светятся.
Под катом конспект 2х-часового выступления про сон на 15 минут чтения. Еще один поинт в копилку полезных материалов про сон — Sleep Hackers.
Запрет на интернет
Интернет задумывался свободным. Прошло время, он обогнал по посещаемости традиционные СМИ и наткнулся на регулирование властей. Покрутим глобус, рассмотрим, какие интернет-запреты существуют в мире и в России.
Что же не так с ДЭГ в Москве?
Что же не так с ДЭГ в Москве
Последние три дня я занимался тем, что анализировал результаты ДЭГ в Москве по одномандатным округам в Госдуму. У меня есть некоторые результаты, которыми я бы хотел поделиться с общественностью. Однако основная цель этого поста — поделиться накопленными знаниями, чтобы кто-то ещё мог взглянуть на те данные, что лежат в блокчейне и перепроверить результаты.
Где лежат результаты и как их проверять
Часть исходного кода системы лежит в репозитории github.com/moscow-technologies/blockchain-voting_2021. Там лежит исходный код той части, которая про блокчейн, транзакции и тд, а также какой-то код фронтенда, написанный на JS. Отдельно отмечу некоторый забавный факт, что вместо общего репозитория со всем кодом там лежит несколько .tar.gz архивов, внутри которых уже есть код. В репозитории всего 4 коммита, сам код публиковали только 2 раза: 22 августа и 6 сентября. Никакой истории разработки у нас нет. Чтобы не приходилось распаковывать эти архивы — я залил распакованный репозиторий к себе на Github, можете читать код из браузера, если кому лень загружать и распаковывать самостоятельно: github.com/PeterZhizhin/blockchain-voting_2021_extracted
На сайте observer.mos.ru/all можно скачать дампы системы электронного голосования по одномандатным выборам, внутри которого будет лежать база с транзакциями, результаты расшифровки голосов и блоки в блокчейне. По кнопке “Скачать SQL дамп” загружается gz архив, внутри которого лежит один .sql файл.
Чтобы загрузить этот файл вам необходимо поднять у себя PostgreSQL базу. Я сделал это как-то вот так:
Данные выборов получили, теперь деобфусцируем и очищаем
В 2021 году Центризбирком РФ обфусцировал статистические данные выборов на своем сайте. Несколько дней назад я сделал и выложил в комментариях к новости на хабре деобфускатор, чтобы помочь исследователям обнаружить статистические аномалии в результатах. Сегодня взял день отпуска, написать этот пост и поделиться очищенными данными в формате sqlite по федеральному избирательному округу, которыми поделился @illusionofchaos в посте Получаем данные результатов выборов с сайта Центризбиркома РФ
Под катом я предлагаю еще раз посмотреть, какими техническими методами затрудняли анализ программисты сайта ЦИК-а. Новых идей там нет, решения примитивные , даже обидно что кто-то за них квартиру получил[*]. Вся работа по написанию деобфускатора заняла меньше рабочего дня (точнее вечера + полночи). Основная цель этой статьи не в описании методов, а дополнительный анонс деобфускатора для исследователей. Обсуждать решение применить методики запутывания на государственном сайте куда интереснее, но этим бессмысленно заниматься в интернете.
Итак, они реализовали четыре метода:
Как спарсить любой сайт?
Меня зовут Даниил Охлопков, и я расскажу про свой подход к написанию скриптов, извлекающих данные из интернета: с чего начать, куда смотреть и что использовать.
Написав тонну парсеров, я придумал алгоритм действий, который не только минимизирует затраченное время на разработку, но и увеличивает их живучесть, робастность и масштабируемость.
Пыль партийная
Считанные дни остались до очередных парламентских выборов. Снова россиянам предстоит (не более чем формально) определиться, кто в следующие пять лет будет бешеными темпами принимать не всегда полезные для страны законы.
И хотя россияне делают это почти на автомате и далеко уже не первый раз, оказывается, они совершенно не знают, кому они доверяют столь ответственную работу. По крайней мере об этом свидетельствуют результаты нашего очередного исследования, проведенного в рамках проекта «Россия в соцсетях. Соцсети в России».
Коты в мешке
Для оценки популярности (известности) российских политических партий у населения, имеющих право участвовать в выборах, мы использовали данные о количестве их подписчиков в социальных сетях (подробнее см. Методологию).
У 30 партий, претендующих на попадание в Госдуму (из них 14 с правом участия без сбора подписей), подписчиков набралось чуть менее 2 миллионов, что «по текущему курсу» составляет 1,35% населения России (рисунок 1).i
Синдром самозванца
«Как часто вы ощущаете синдром самозванца?
Ежедневно / Каждую неделю / Раз в месяц / Никогда»
В апреле 2016 года Джессика Баркер провела в Твиттере опрос на тему, часто ли специалисты по информационной безопасности сталкиваются с «синдромом самозванца». Результаты этого опроса легли в основу доклада Джессики на SteelCon 2016.
Вряд ли один этот твит можно квалифицировать как полноценное исследование, однако в качестве беглого анализа он сгодится. Так вот, опрос показал, что 84% безопасников ощущают данный синдром не реже раза в месяц. Одно это позволяет классифицировать его как одну из наиболее актуальных психологических проблем, с которыми можно столкнуться в IT.
Синдрому самозванца уже был посвящён небольшой обзор на GT, однако он носил, скорее, популярный характер. В то же время колоссальный масштаб данной проблемы заслуживает, безусловно, более пристального внимания.
Попробуем разобраться в проблематике под катом.
Теперь персональные данные должны удалять отовсюду по первому требованию, но есть побочка
Речь идет о поправках к закону о персональных данных, что вступили в силу в марте. Теперь любые персональные данные обязаны убрать откуда угодно по первому требованию их владельца. Причем владельцу не надо ничего никому доказывать и объяснять.
Ситуация одновременно и правильная, и проблемная. Причем проблемы появятся (по факту уже появились) у всех владельцев сайтов, интернет-площадок и СМИ, кто так или иначе взаимодействует с пользователями.
Что касается нововведений, я попытался разложить все по полочкам. А еще собрал в отдельный список то, что придется поменять и добавить владельцам сайтов.
Как изменить закон или как я бился за поправки в статью 128 ГПК РФ
В большинстве случаев скорее всего никак. Обратная связь у правозащитных организаций, оппозиционных депутатов и провластных депутатов работает очень плохо, и по-моему почти всем им от нас нужны только голоса на выборах, а их сервис перед отдельным гражданином очень низкого качества. Но под лежачий камень вода не течёт, а судебные приказы касаются всех, поэтому расскажу здесь свой опыт, может его заметят и во власти и в оппозиции и сделают какие-то выводы.
Парсинг общедоступных данных запрещен с 1 марта
С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц «общедоступных персональных данных».
Поправки введены законом N 519-ФЗ от 30.12.2020 и существенным образом меняют порядок использования персональных данных, находящихся в общем доступе, и в первую очередь, размещенных на сайтах в сети Интернет. В большей части поправки важны для сайтов по типу агрегаторов и социальных сетей. Однако и корпоративным сайтам с отзывами и контактными данными сотрудников тоже досталось.
Как всегда, смотрите подробности под катом.
Домашний DPI, или как бороться с провайдером его же методами
Долгое время я терпел ограничения РосКомНадзора и соответствующие действия провайдеров по различным ограничениям доступа к сайтам - но с определённого момента устал, и начал думать как бы сделать так, чтобы было и удобно, и быстро, и при этом с минимумом заморочек после настройки... Хочу оговориться, что цель анонимизации не ставилась.
Вообще, эта проблема имеет несколько решений... Но я решил бороться с провайдером их же методом.
Всё, о чём должен знать разработчик Телеграм-ботов
Вы вряд ли найдете в интернете что-то про разработку ботов, кроме документаций к библиотекам, историй "как я создал такого-то бота" и туториалов вроде "как создать бота, который будет говорить hello world". При этом многие неочевидные моменты просто нигде не описаны.
Как вообще устроены боты? Как они взаимодействуют с пользователями? Что с их помощью можно реализовать, а что нельзя?
Подробный гайд о том, как работать с ботами — под катом.
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Под катом мои комментарии на некоторые тезисы.
{/UPD}
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Information
- Rating
- Does not participate
- Registered
- Activity