Pull to refresh
-20
0.6
Евгения @decomeron

Студентка

Send message

Hashicorp Vault — собираем непрямую репликацию через ведро

Level of difficultyHard
Reading time15 min
Views5.7K

Hashicorp Vault - прекрасный продукт для централизованного хранения всех паролей и других секретов компании. При этом, многие знают, что удобная ключница - это идеальный способ потерять все ключи одновременно. Когда я работал в крупном телекоме, то DRP-протоколы с восстановлением данных учитывали даже запрет на сбор более двух Хранителей Ключей в одном месте. Чисто на случай очень неудачного корпоратива с совместным полетом на воздушном шаре, дегустацией домашних грибов или другими подобными факторами. Короче, если вы внедряете подобную систему, то вам надо очень внимательно подходить не только к вопросам эксплуатации, но и резервного копирования и восстановления.

Сегодня я не буду глубоко касаться темы организации правильного хранения фрагментов ключей Шамира. Вместо этого, я попробую рассказать о том, как развернуть с нуля отказоустойчивый кластер Hashicorp Vault в community edition. Для этого поднимем основной и тестовый кластер Vault в нескольких регионах и датацентрах. Тестовый кластер у нас одновременно будет служить и резервным в рамках процедуры DRP.

Чтобы было совсем интересно, настроим процесс таким образом, чтобы тестовый кластер был односторонней репликой продуктивного с отставанием в несколько суток. Разумеется, все развертывание мы будем проводить в парадигме Infrastructure-as-a-code с Terraform и Ansible в качестве основных инструментов.

Сейчас расскажу, когда это может пригодиться и какими ansible-модулями можно для этого воспользоваться. Сразу предупреждаю - это будет лонгрид, так как я не люблю разбивать на кучу мелких постов единый туториал.

Читать далее
Total votes 22: ↑22 and ↓0+22
Comments16

Парадокс вращения монеты — иллюзионист от мира математики

Level of difficultyEasy
Reading time2 min
Views24K

Дэвид Копперфильд мог заставить исчезнуть самолет или статую Свободы. Наш герой тоже мастер исчезновений. Ему удалось обмануть 300 тысяч американских студентов во время вступительного теста. Хотите поучаствовать в его представлении?

Тогда прошу под кат!
Total votes 39: ↑38 and ↓1+51
Comments53

Проверяем контакты: OSINT и иные методы

Reading time14 min
Views19K

Всем привет! Сегодня у нас большая обзорная статья о различных способах проверки контактов. Кратко пройдемся по всевозможным методам для сбора информации, составим список полезных в каждом случае сервисов и затронем ограничения того или иного способа. Начнем с самых азов для начинающих любителей OSINT и дойдем до неочевидных вариантов проверки потенциальных контактов. За подробностями добро пожаловать под кат!

Читать далее
Total votes 7: ↑3 and ↓40
Comments2

NFT всё? На аукционе по продаже первого твита Джека Дорси за $2,9 млн самая высокая ставка — $1850

Reading time4 min
Views9.6K


Лучшая инвестиция десятилетия!


Наглядная иллюстрация того, насколько сильно за последние два года упал рынок NFT. Знаменитый невзаимозаменяемый токен, показывающий первый в истории твит от тогдашнего гендиректора Twitter Джека Дорси, который в 2021 году стоил 2,9 миллиона долларов, выставлен на аукцион. Текущая самая высокая ставка составляет 1850 долларов.

Читать дальше →
Total votes 30: ↑28 and ↓2+31
Comments29

Название имеет значение: как получить оптимизацию, переименовав браузер

Reading time4 min
Views37K

Всем привет! Меня зовут Максим Смирнов, я руковожу командой, которая работает над производительностью Яндекс Браузера и отвечает за его графическую подсистему. В этой статье я расскажу об одном неочевидном улучшении, которое наша команда внедрила в Браузер для Windows. Если описать его в двух словах, то нам удалось улучшить стабильность и производительность браузера, убедив драйверы видеокарт, что наше приложение — это Google Chrome.

Читать далее
Total votes 137: ↑136 and ↓1+172
Comments78

Программисты проверили, насколько тяжело жить девушкам с длинными ногтями

Reading time2 min
Views7.9K

Команда парней KTS нарастила ногти и посоревновалась с девушками в скоростной печати, открывании жестяных банок и других повседневных задачах.

В среднем 247 рабочих дней в году мы в KTS проводим за разработкой цифровых продуктов в HRTech, EduTech, мобильной разработкой и DevOps. Месяц назад мы поспорили: правда ли, что с нарощенными длинными ногтями сложнее выполнять повседневные действия. Девушки согласились, парни — нет. Выяснить правду решили честным экспериментом.

Дисклеймер: цель нашей статьи — поздравить девушек с 8 марта и напомнить всем мужчинам, насколько прекрасны и изобретательны девушки.

Читать далее
Total votes 38: ↑22 and ↓16+8
Comments13

История краха банка Silvergate и как он повлияет на криптоиндустрию. Кто следующий?

Level of difficultyMedium
Reading time8 min
Views12K

2 марта крупнейший американский крипто банк Silvergate сообщил о задержке с публикацией годового финансового отчета, а затем и вовсе заявил о своей “возможной несостоятельности” по причине резкого снижения уровня капитализации. После этого, как и следовало ожидать, все партнеры стали поочередно отказываться от работы с банком, что сразу же создало дополнительное давление на капиталлизацию Silvergate. За сутки цена на акции банка упала на 57% на Нью-Йоркской фондовой бирже (NYSE), а на Лондонской фондовой бирже (LSE) — на 54%.

К моему удивлению, не так много криптанов вообще слышали название Silvergate. И как следствие, многие и бровью не повели после новостей о возможном банкротстве банка. И это зря. Silvergate был второй по величине банк в США, работающий с криптоактивами и один из основных мостов между криптовалютами и фиатом для институциональных и ритейл инвесторов в стране. В данном материале мы расскажем о Silvergate, подробно разберем историю его краха, проанализируем, как эта ситуация повлияет на криптовалютный рынок и порассуждаем, что дальше ждет криптоиндустрию. Поехали!

Читать далее
Total votes 10: ↑5 and ↓5+3
Comments21

Сыграем в ещё одну игру, дорогой друг?

Reading time12 min
Views16K

Не прошло и года, а у нас уже вовсю идёт новый хакерский квест. В этот раз мы не стали делать явного анонса и пошли по более интересному пути, с привлечением аудитории извне. Рояль, азот и котики показался нам слишком простым и было принято решение немного усложнить задачу :)

Вы думаете, что квест только начался, но нет, он вовсю уже идёт. Всё началось с неприметной раздачи визиток в разных городах России — 10 февраля. На визитках не было ничего, совсем ничего, только рисунок черепа и спектр на другой стороне.
Читать дальше →
Total votes 28: ↑27 and ↓1+42
Comments6

Детальная настройка браузера Firefox

Reading time15 min
Views136K

Вот уже пару лет, как я рекомендую всем моим знакомым использовать Firefox, как браузер для повседневного серфинга в интернете. Я люблю этот браузер за его гибкость в настройке, скорость и заботу о приватности. Много раз на форумах меня спрашивали про какие-то отдельные случаи по настройке, поэтому я решил написать статью с подробным описанием настроек, как шпаргалку для себя и чтобы делится ею, в случае новых вопросов.

Надеюсь она немножко поможет в популяризации этого чудесного браузера.

Читать далее
Total votes 43: ↑40 and ↓3+47
Comments96

Реверс-инжиниринг исходного кода коронавирусной вакцины от компаний BioNTech/Pfizer

Reading time11 min
Views105K
Добро пожаловать. В данном посте мы посимвольно разберём исходный код вакцины BioNTech/Pfizer SARS-CoV-2 мРНК.

Да, такое заявление может вас удивить. Вакцина – это ведь жидкость, которую вводят человеку в руку. При чём тут какой-то исходный код?

Хороший вопрос. Начнём мы с небольшой части того самого исходного кода вакцины BioNTech/Pfizer, также известной, как BNT162b2, также известной, как Tozinameran, также известной, как Comirnaty.


Первые 500 символов мРНК BNT162b2.

В сердце вакцины находится вот такой цифровой код. Его длина составляет 4284 символа, так что его вполне можно уместить в несколько твитов. В самом начале процесса производства вакцины кто-то закачал этот код в ДНК-принтер (ага), который, в свою очередь, превратил байты с накопителя в реальные молекулы ДНК.
Total votes 238: ↑232 and ↓6+304
Comments366

Долгосрочная безопасность вакцин от коронавируса. Вопросы

Reading time7 min
Views39K

В этой статье я хотел бы обсудить возможные долгосрочные последствия вакцинации. Судя по проведенным клиническим испытаниям, в целом вероятность каких-то долгосрочных побочных явлений очень низкая. Однако, несмотря на огромный интерес к данной теме, информации о том, какие именно побочные эффекты могут возникнуть, пусть даже теоретически, крайне мало. Единственное, что встречал - антителозависимое усиление инфекции (ADE эффект), а также некий антигенный импринтинг, но вроде бы в нашем случае с этим проблем нет. Векторная технология вакцины и аденовирусы, на основе которых она сделана, также хорошо изучены и не представляют опасность. В этой статье хотелось бы порассуждать о возможности долгосрочных аутоиммунных реакций на так называемый Spike-белок, выделяющийся после вакцинации.

Читать далее
Total votes 40: ↑29 and ↓11+35
Comments264

Какое шифрование лучше: Signal или Telegram?

Reading time3 min
Views56K
Пару дней назад Илон Маск в твиттере порекомендовал использовать мессенджер Signal, не без последствий.


Однако в декабре 2020 года по средствам массовой информации прошла новость, что известная хакерская компания Cellebrite взломала шифрование этого криптомессенджера.

А читатели Хабра для секретной переписки предпочитают вовсе не Signal, а секретные чаты Telegram (по крайней мере, из принявших участие в нашем опросе).
Total votes 34: ↑31 and ↓3+41
Comments84

HackTheBox endgame. Прохождение лаборатории Hades. Пентест Active Directory

Reading time15 min
Views8.7K


В данной статье разберем прохождение не просто машины, а целой мини-лаборатории с площадки HackTheBox.

Как сказано в описании, Hades предназначен для проверки навыков на всех стадиях атак в небольшой среде Active Directory. Цель состоит в том, чтобы скомпрометировать доступный хост, повысить привилегии и, в конечном итоге, скомпрометировать весь домен, собрав при этом 7 флагов.

Посмотреть разборы других лабораторий:

  1. Professional Offensive Operations.
  2. XEN.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ.

Организационная информация
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Читать дальше →
Total votes 7: ↑6 and ↓1+8
Comments2

Пентест вебсайта с помощью Owasp Zap

Reading time7 min
Views51K


Сегодня защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. О мощном фреймворке WPScan для пентеста WordPress мы уже писали, но сайты бывают и на других движках. Именно поэтому сегодня разберем более универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).


Что такое OWASP ZAP?


OWASP (Open Web Application Security Project) — всемирная некоммерческая организация, деятельность которой направлена на повышение безопасности ПО.


OWASP ZAP (Zed Attack Proxy) — один из самых популярных в мире инструментов безопасности. Это часть сообщества OWASP, а значит, что этот инструмент абсолютно бесплатный.


Почему многие выбирают OWASP ZAP?


Он предназначен для пользователей с широким спектром опыта в области безопасности, поэтому отлично подходит для разработчиков и функциональных тестировщиков, которые плохо знакомы с пентестами.


ZAP создает прокси-сервер между клиентом и вашим сайтом. Пока вы перемещаетесь по своему веб-сайту, он фиксирует все действия, а затем атакует сайт известными методами.


Открытый исходный код!


Проект был запущен в 2010 году, но до сих пор дорабатывается и регулярно обновляется.


Настройка среды ZAP


ZAP является кроссплатформенным и для своей работы требует только наличия JAVA 8+. Поэтому можно обойтись без Kali Linux или других ОС для белого хакинга.

Читать дальше →
Total votes 6: ↑6 and ↓0+6
Comments1

Проверяем безопасность приложений с помощью Drozer

Reading time4 min
Views3.5K


Drozer – обязательный инструмент в арсенале каждого пентестера. С его помощью можно быстро получить информацию о приложении и его слабых местах.


Drozer предустановлен в Kali Linux и других ОС для белого хакинга.


Возможности Drozer:


  1. Получение информации о пакете
  2. Определение поверхности атаки
  3. Запуск активностей
  4. Чтение от поставщиков содержимого
  5. Взаимодействие со службами
  6. Дополнительные опции

1. Получение информации о пакете


Мы можем получить пакеты, присутствующие на подключенных устройствах, а также информацию о любом установленном пакете.


To get list of all packages present in the device.
dz> run app.package.list

To search for a package name from the above list
dz> run app.package.list -f <your_string>

To get basic info about any selected package
dz> run app.package.info -a <package_name>

2. Определение поверхности атаки


Это та часть, с которой мы начинаем исследовать уязвимости. В первую очередь проверим количество экспортированных:


  • Активностей
  • Поставщиков содержимого
  • Служб
Читать дальше →
Total votes 4: ↑3 and ↓1+6
Comments2

Как быстро прокачать свою беспроводную сеть

Reading time6 min
Views7.1K
Беспроводные технологии передачи данных плотно заняли своё место в нашей жизни. Ежедневно, зачастую не отдавая себе отчёт, мы пользуемся благами этого достижения цивилизации дома, в офисе, по дороге домой или отдыхая на пляжах солнечных тёплых стран. Наш голос, наши изображения, все кусочки цифрового мира, которые так дороги нам, почти всегда на том или ином этапе своего пути пролетают по беспроводному каналу, будь то магистральная радиорелейная линия передачи данных, сегмент «точка-многоточка» провайдера или банальный и немного смешной в своей наивности Wi-Fi.

Но часто ли мы задумываемся о том, какими силами молчаливые герои Интернета позволяют нам смотреть на котиков и женские (или мужские) ноги, не испытывая при этом неудобств и получая удовольствие от процесса?

image
Читать дальше →
Total votes 9: ↑6 and ↓3+3
Comments3

Разработка кода не глядя

Reading time5 min
Views28K

Я думаю, что большинство читателей не имеют проблемы со зрением, но задумываются, что случится, если зрение откажет. Здесь должна быть картинка, но я её не вижу, поэтому интересующихся, как кодить, не глядя на экран, прошу под кат.

Читать дальше →
Total votes 134: ↑132 and ↓2+130
Comments70

10 лет в IT с диагнозом шизофрения, советы по выживанию

Reading time8 min
Views168K
Мой диагноз параноидная шизофрения. Заболел я через год после окончания университета. Вот уже 10 лет я работаю в IT, сейчас моя должность — старший инженер-программист. Хочу рассказать, с какими проблемами может столкнуться человек с серьезным психическим заболеванием при построении карьеры.

Это практическая статья. В ней я почти не буду касаться моих симптомов и описывать свой опыт. Таких статей и без меня не мало, и на хабре они тоже есть. Есть целое издательство, которое специализируется на книгах о шизофреническом опыте.
Читать дальше →
Total votes 411: ↑403 and ↓8+395
Comments284

Нейросети и глубокое обучение, глава 2: как работает алгоритм обратного распространения

Reading time23 min
Views31K

В прошлой главе мы видели, как нейросети могут самостоятельно обучаться весам и смещениям с использованием алгоритма градиентного спуска. Однако в нашем объяснении имелся пробел: мы не обсуждали подсчёт градиента функции стоимости. А это приличный пробел! В этой главе я расскажу быстрый алгоритм для вычисления подобных градиентов, известный, как обратное распространение.

Впервые алгоритм обратного распространения придумали в 1970-х, но его важность не была до конца осознана вплоть до знаменитой работы 1986 года, которую написали Дэвид Румельхарт, Джоффри Хинтон и Рональд Уильямс. В работе описано несколько нейросетей, в которых обратное распространение работает гораздо быстрее, чем в более ранних подходах к обучению, из-за чего с тех пор можно было использовать нейросеть для решения ранее неразрешимых проблем. Сегодня алгоритм обратного распространения – рабочая лошадка обучения нейросети.
Читать дальше →
Total votes 18: ↑16 and ↓2+14
Comments9

Дуров не имеет никакого отношения к TON

Reading time10 min
Views99K


Недавно TechCrunch анонсировало начало продаж «грамов» 10 июля на японской бирже Liquid. Удивительно, но мир поверил в полностью выдуманную историю о финансовом инструменте Telegram.

Эпиграф


Крупные издания зачастую публикуют слухи (информацию от проверенных источников), но такого многосерийного сюжета, как с TON, построенного исключительно на сливах без какой-либо официальной информации, вы больше не найдете.

Да, могла промелькнуть новость про автомобиль Apple. Но никто не писал, что компания представит его весной, уже разработан шильдик для руля, релиз переносится на осень, в новый тип двигателя по секрету вложились немецкие и французские автоконцерны, предзаказы начнутся на выставке в Японии и прочее.

Эта история не для того, чтобы уберечь каждого от мошенников. Я оптимист, но не настолько. Поэтому эта история про постправду и журналистику, про маркетинг и манипуляцию, про РБК, «Коммерсантъ», «Ведомости», The Bell, TechCrunch и всех остальных.
Total votes 152: ↑107 and ↓45+62
Comments120
1

Information

Rating
1,923-rd
Registered
Activity