• Взлом Bitcoin по телевизору: обфускуй, не обфускуй, все равно получим QR

    • Translation

    История про то, как секретный ключ для Bitcoin’a в виде QR-кода восстановили из размазанной картинки


    image

    Мы могли бы просто назвать этот пост «Насколько хорош QR-код и как мы его восстановили практически из ничего». Но гораздо интереснее, когда QR-код является ключом к кошельку на сумму $1000 в битках.
    Читать дальше →
  • Bad Rabbit: новая волна атак с использованием вируса-шифровальщика

      image
      Несколько российских СМИ и украинских организаций подверглись атаке шифровальщика Bad Rabbit. В частности, хакеры атаковали три российских СМИ, среди которых «Интерфакс» и «Фонтанка».

      24 октября началась новая масштабная кибер-атака с использованием вируса-шифровальщика Bad Rabbit. Зловред поразил компьютерные сети Киевского метрополитена, Министерства инфраструктуры, Международного аэропорта “Одесса”. Несколько жертв оказались и в России — в результате атаки пострадали редакции федеральных СМИ, таких как «Интерфакс» и «Фонтанка».

      Kill Switch: необходимо создать файл C:\windows\infpub.dat и выставить ему права «только для чтения». В этом случае даже при заражении файлы не будут зашифрованы.
      Читать дальше →
    • Google доплатит за взлом 13 приложений в Play Store

        Google запустила на платформе HackerOne новую программу оплаты за найденные уязвимости Google Play Security Reward. Компания давно платит крупные суммы за уязвимости, найденные в её продуктах. Но впервые она решила заплатить за баги, найденные в чужих приложениях. Правда, сумма не слишком большая: всего $1000, но зато и уязвимости найти гораздо проще, чем в программах самой Google.

        Оплачиваются баги в 13 популярных Android-приложениях, в том числе в пяти приложениях от российской компании Mail.Ru:

        • Alibaba (com.alibaba.aliexpresshd)
        • Dropbox (com.dropbox.android, com.dropbox.paper)
        • Duolingo (com.duolingo)
        • Headspace (com.getsomeheadspace.android)
        • Line (jp.naver.line.android)
        • Mail.Ru (ru.mail.cloud, ru.mail.auth.totp, ru.mail.mailapp, com.my.mail, ru.mail.calendar)
        • Snapchat (com.snapchat.android)
        • Tinder (com.tinder)

        Со временем список может пополниться, сообщает Google, так что проверяйте его периодически.
        Читать дальше →
        • +16
        • 13.1k
        • 7
      • В Даркнете можно купить ПО для неограниченного снятия налички из банкоматов

          Нет, это вовсе не кулинарное ПО. Здесь говорится о «котлете денег», а не блюде

          Банкоматы (ATM) — специализированные аппараты, которые предназначены для проведения разного рода финансовых операций, включая выдачу наличных денег. Как правило, блок управления у них — это модифицированный ПК под управлением ОС Windows. Соответственно, эти компьютеры подвержены воздействию ПО, написанного злоумышленниками для операционной системы от Microsoft.

          До поры до времени киберпреступники писали такое ПО для личных нужд или для продажи избранным за огромные деньги. Но теперь ситуация изменилась: программное обеспечение такого рода появилось и в открытом доступе. Вернее, не совсем открытом. «Лаборатория Касперского» обнаружила, что в Даркнете свободно продается malware с названием Cutlet Maker, которое предназначено лишь для одного — заставить банкоматы определенных моделей выдавать наличку в неограниченном количестве.
          Читать дальше →
        • Про безопасность банкоматов и разработку охранного извещателя (продолжение)

            В своей предыдущей статье я рассказал в целом про проблему безопасности банкоматов и немного про свой опыт разработки устройства обеспечения этой самой безопасности.

            Сегодня расскажу про понятие нижнего концентрационного предела распространения пламени, попытку сделать датчик вибрации на акселерометре, покажу фотографии с испытаний, ну и чуть-чуть по мелочам… В конце статьи будет видеоролик по теме, с демонстрацией работы прибора стороннего производителя и даже небольшим взрывом банкомата. Прибор-то в итоге получился, но слишком поздно: конкуренты, профессионально работающие в этой области, оказались проворнее и дешевле, да и тенденция взрывов, кажется, идет на спад.
            Читать дальше →
          • Необразованная молодёжь: попытка подытожить и немного личного

              Итак, по следам трех публикаций от 30.09, 03.10 и 04.10 я решил рискнуть и попытаться подвести итог. Конечно, не хватает комментариев от крупных компаний с их частными школами, программами стажировок и прочего, комментариев администрации ВУЗов (хотя часть я попробую осветить) и некоторых других. Из тех, которые я учитывал (самое сложное было просмотреть эту кучу комментариев) — 1, 2, 3, 4. Поэтому всех авторов призываю прокомментировать, верно ли я передал их позицию: aleshqqa1337, PavelMSTU, Axelus, MooNDeaR, Varim, ternaus, san-smith.

              Итак, вначале будет простенькая сравнительная таблица, а затем немного размышлений и предложений что делать.
              Читать дальше →
            • Сага о Гольфстриме и уровне ИБ в крупной охранной фирме

              Данная публикация носит исключительно информационный характер и призвана обратить внимание руководства крупного российского оператора систем охранной сигнализации "ГОЛЬФСТРИМ Охранные Системы" (далее — ГОЛЬФСТРИМ) на наличие уязвимости информационной системы, ставящей под удар защиту и безопасность граждан, а также федеральных органов исполнительной власти, доверивших защиту своего имущества данной компании.

              Читать дальше →
            • 5 правил работы с суммами

                В современном программном обеспечении очень часто возникает необходимость выполнять различные операции с всевозможными суммами денег. Однако до сих пор мне нигде не попадалось документации, в которой были бы сведены воедино основные правила представления сумм и реализации финансовых вычислений. В этой статье я попробую сформулировать те правила, которые составил сам на основании личного опыта.


                Читать дальше →
              • Начальник, хочу работать из дома

                Несколько лет назад примерно с такой фразой ко мне пришел один из ведущих программистов. Давайте назовем его Иваном (все персонажи вымышленные, а любые совпадения случайны). Он собирался переехать жить за город и каждый день ездить в офис ему стало неудобно. У Ивана был приличный послужной список, несколько лет работы в компании и большой вагон доверия. Тогда мы договорились, что Иван будет работать удаленно понедельник и пятницу, а вторник-четверг он приезжает в офис с утренним графиком.
                Читать дальше →
              • Эксплойт BlueBorne на Android, iOS, Linux и Windows: более 8 миллиардов устройств критически уязвимы



                Вектор атаки BlueBorne может потенциально повлиять на все устройства с Bluetooth, количество которых сегодня оценивается более чем в 8,2 миллиарда. Bluetooth является ведущим и наиболее распространенным протоколом для ближней связи и используется всеми устройствами — от обычных компьютеров и мобильных до IoT-устройств, таких как телевизоры, часы, автомобили и медицинские приборы.

                Итак, в чём проблема? Bluetooth сложный. Эта чрезмерная сложность является прямым следствием огромной работы, которая была проведена при создании спецификации Bluetooth. Чтобы проиллюстрировать это отметим, что, в то время как спецификация WiFi (802.11) умещается на 450 страницах, объём спецификации Bluetooth достигает 2822 страниц. Результатом непрозрачности является большое количество уязвимостей, о части из которых мы расскажем в этой статье.

                Спецификация Bluetooth имеет не менее 4 разных уровней фрагментации, как показано на диаграмме, взятой из спецификации:



                Обзор BlueBorne

                Читать дальше →
              • О культуре разработки в группах программистов

                  «Почему ж всё так плохо?» — каждый раз я задаюсь этим вопросом, когда приходится иметь дело с очередным кодом, продуктом или API, созданными для внутренних нужд в непрофильной организации.

                  В профильных дела обстоят получше, но далеко не всегда: в коробочных тиражируемых решениях чаще лучше, чем в проектной разработке. В продуктах одного заказчика, обычно, хуже всего.

                  И деньги ничего не решают: ужасный код и ужасные продукты пишут как маленькие бедные ВУЗы, у которых денег хватает только на рабский труд аспирантов, так и крупные и богатые компании, включая IT-компании, включая зарубежные: несколько раз сталкивался с кодом, который писали зарубежные подрядчики и каждый раз от него хотелось рыдать и биться головой об стену.

                  Организация может декларировать строгие стандарты, нанимать дорогостоящих разработчиков, вводить регламенты и методологии, надувать щеки на совещаниях и громогласно обличать «неправильное решение» в чужом продукте. И продолжать делать ужасные продукты с ужасным кодом, вопреки высокой квалификации своих разработчиков и очень правильными и нужными регламентами и стандартами.

                  Я занимался разработкой ПО в нескольких организациях и по разным причинам несколько раз перенабирал команду с нуля. В итоге пришел к выводу, что качество продукта зависит только от культуры разработки. Всё остальное, включая методологии и стандарты — это инструменты: они необходимы, но одних их не достаточно.

                  Культуру разработки можно сравнить с экосистемой: как сад или аквариум. Крепкая, здоровая культура обладает запасом прочности, чтобы оздоравливать обитателей экосистемы, избавляться от вредителей, прощать небольшие ошибки ухода, сглаживать стрессы и на выходе все-равно получать отличный результат. А больная культура сводит на нет все усилия, заражает и губит даже самые здоровые и крепкие саженцы.

                  Читать дальше →
                • Что за чёрт, Python

                  • Translation


                  Недавно мы писали о забавных, хитрых и странных примерах на JavaScript. Теперь пришла очередь Python. У Python, высокоуровневого и интерпретируемого языка, много удобных свойств. Но иногда результат работы некоторых кусков кода на первый взгляд выглядит неочевидным.


                  Ниже — забавный проект, в котором собраны примеры неожиданного поведения в Python с обсуждением того, что происходит под капотом. Часть примеров не относятся к категории настоящих WTF?!, но зато они демонстрируют интересные особенности языка, которых вы можете захотеть избегать. Я думаю, это хороший способ изучить внутреннюю работу Python, и надеюсь, вам будет интересно.


                  Если вы уже опытный программист на Python, то многие примеры могут быть вам знакомы и даже вызовут ностальгию по тем случаям, когда вы ломали над ними голову :)

                  Читать дальше →
                • Умный замок Dooris


                    Два года назад, закончив капитальный ремонт в своей квартире, я решил установить на новую входную дверь умный замок. Довольно быстро выяснилось, что ни одна из доступных на тот момент моделей не подходит к моей вполне обычной металлической двери. Обсудив это “открытие” с одним моим товарищем, мы решили исправить этот фатальный недостаток и — как полагается в таких случаях — сделали ещё один умный замок.
                    Читать дальше →
                  • Программиста с «увековеченными гендерными стеореотипами» уволили из Google

                      Выпускник Гарварда и бывший чемпион по шахматам среди юниоров Джеймс Деймор (James Damore) работал в Google с 2013 года. Но все его положительные качества и интеллект не смогли перевесить негатив в виде гендерных стереотипов, из-за которых компании Google пришлось его уволить. Дело в том, что Джеймс попытался документально доказать, что женщины биологически менее приспособлены к программированию, чем мужчины, поэтому компании будет трудно добиться поставленной цели 50% женщин в штате.

                      Он привёл ссылки на научные исследования, что женщин больше интересуют люди, а не вещи. Кроме того, Деймор прошёлся по тем другим пунктам, где женщины якобы отличаются от мужчин. Например, экстраверсия, более выраженная общительность и склонность соглашаться с собеседником (отсюда у них меньшие зарплаты), более выраженный невротизм (отсюда более высокий стресс) и другое. Что характерно, в своём манифесте Деймор привёл доказательства. Некоторые тезисы подкреплены ссылками на научные исследования или статьи. Среди источников — статьи Википедии, посты в блогах, научные работы, ссылки на внутренние форумы для сотрудников Google, статьи в The Wall Street Journal, The Atlantic, The New Yorker и многие другие, в том числе мелкие издания вроде либертарианского журнала Quillette.

                      В общем, программист проявил крайнюю неполиткорректность.
                      Читать дальше →
                    • Метод восстановления данных с диска, зашифрованного NotPetya с помощью алгоритма Salsa20



                        Атаки с использованием вирусов-шифровальщиков стали настоящим трендом 2017 года. Подобных атак было зафиксировано множество, однако самыми громкими из них оказались WannaCry и NotPetya (также известный под множеством других имен — Petya, Petya.A, ExPetr и другими). Освоив опыт предыдущей эпидемии, специалисты по всему миру оперативно среагировали на новый вызов и в считанные часы после заражения первых компьютеров принялись изучать экземпляры зашифрованных дисков. Уже 27 июня появились первые описания методов заражения и распространения NotPetya, более того — появилась вакцина от заражения.

                        Читать дальше →
                        • +27
                        • 29.5k
                        • 8
                      • Как пройти собеседование в компанию мечты? Советы от тимлидов IT-компаний

                          16-17 июля в 95 км от Москвы пройдёт конференция для python-разработчиков PYCON RUSSIA. Традиционно мы делаем серию интервью с докладчиками и организаторами.

                          В первом посте мы спросили тимлидов четырёх разных компаний, на что они обращают внимание во время собеседований, какие ошибки допускают кандидаты, как понять, что человек подходит в команду, и чего никогда нельзя делать во время интервью. На вопросы ответили: CTO в компании «Точка» Данила Штань, руководитель разработки в ЦИАН Михаил Юматов, руководитель группы Python-проектов в Rambler&Co Олег Чуркин и руководитель PyCharm Community в JetBrains Андрей Власовских.


                          Читать дальше →
                        • Postgres и Пустота

                            Только что натолкнулся на возможность Postgresql, показавшуюся мне забавной. Для кого "баян" — респект вам, я несколько лет работаю с Postgres и до сих пор не натыкался на такую штуку.


                            select; без указания полей, таблицы и условий возвращает одну строку. Но у этой строки нет полей:


                            => select;
                            --
                            (1 row)

                            Для сравнения:


                            => select null;
                             ?column? 
                            ----------
                            
                            (1 row)
                            => select null where 0=1;
                             ?column? 
                            ----------
                            (0 rows)

                            А сможем ли мы создать таблицу из такого "пустого" запроса? Таблицу без полей.

                            Читать дальше →
                          • О тонкостях обновления Windows 10 Creators Update и немного — особенностях поддержки Microsoft

                              Всем привет. На самом деле решил написать этот пост по двум причинам.

                              Первая — обсудить проблему обновления до последнего билда 1703 известной ОС. Это — основная причина в преддверии повального начала обновлений до этого билда.

                              Вторая — обсудить то, как нам в этом помогает поддержка. Не рассматривайте это как жалобу, а просто как ответ на комментарий «ну так обратись в поддержку!»

                              Итак…
                              Читать дальше →
                            • Баг в NTFS, или как подвесить всю систему

                                Не так давно при разработке фильтра файловых систем возникла проблема, которая приводила к подвисанию всей системы. Казалось бы, фильтр выполнял очень простые действия и сам был очень примитивным. Чтобы выяснить причину, пришлось спуститься до отладки и реверс-инжиниринга драйвера NTFS. Анализ выявил очень интересный эффект. Если скомпилировать и выполнить очень простую программу, изображенную на рисунке ниже, то доступ к соответствующему тому подвиснет.


                                Т.е. в данном примере, если попытаться открыть любой файл относительно файла $mft, доступ ко всему тому «С» повиснет, а так как этот том является системным, подвиснет и вся система. При этом не нужно иметь каких-либо прав. Если же том был не системным, то повиснет только доступ к этому тому, но если выполнить перезагрузку, то система повиснет на ней.
                                Читать дальше →
                              • Google I/O Extended 2017 в 20 городах России

                                  Привет, хабр! 17-20 мая 2017 года в Маунтин Вью, Калифорния, пройдет одиннадцатая по счету, конференция Google I/O, посвященная самым актуальным передовым трендам в технологиях и программном обеспечении от Google.
                                  Желающих побывать там пруд пруди, но не у всех есть такая возможность, взять и слетать в Калифорнию. Поэтому, как и в прошлом году, практически все желающие смогут побывать на Google I/O не покидая своего города!

                                  Google I/O Extended — уникальная возможность стать участником одного из самых крупных слётов любителей Google-технологий. Всё будет происходить в онлайн-режиме, так что вы сможете вместе с представителями GDG в Маунтин Вью наблюдать за ежегодной презентацией самых крутых новинок в IT мире! В прошлом году было одновременно проведено 600+ ивентов I/O Extended по всей планете, в этом году будет больше!
                                  Читать дальше →