«Строительство ведется в соответствии с планом, объект будет сдан точно в срок»
Коллектив строителей Вавилонской башни

Сейчас я расскажу вам одну очень старую сказку. Многие ее рассказывают и поныне. Но я собираюсь взглянуть на неё с несколько иной стороны, так что не торопитесь отрываться от чтения с высокомерно-презрительным «баян» на устах.

Итак, сказка. На дворе две тысячи девятый год. Мы должны вставлять в черепа разъёмы и ездить на летающих машинах. Вы пожмёте плечами, буркнете: «Не сложилось» или «Прогресс не дошел до нужной точки». Потом пойдете пить кофе и забудете. Я поступил бы так же. Но недавно мне захотелось разобраться — почему же футурологи и фантасты попадают столь редко? Притом, я говорю о умных людях, нередко ученых, а не о авторах развлекательного чтива. И я решил покопаться в поисках более рационального объяснения и подробностей — мне казалось, всё не так просто. Эта статья — моё микро-исследование на эту тему. И в то же время старая, старая сказка, которую вы давно слышали.

После того, как я воплотил свою давнишнюю мечту и все-таки (хотя и с опозданием почти на 30 лет) построил Радио 86РК, некоторое время мне казалось, что на этой части моей истории поставлена вполне достойная точка.

Тем не менее, обнаружилось, что болезнь до конца не вылечена, и она вернулась еще более острым рецидивом. Наверное, сказались как неожиданно успешный опыт постройки 86РК, так и то, что у меня в ходе данного процесса образовалось довольно большое количество весьма притягательно выглядящих инструментов, приборов и деталей, которым очень хотелось найти применение.
В конце концов ломка стала нестерпимой, и мне пришлось снова взяться за паяльник, а также вспомнить некоторые другие навыки из прошлого. Что из этого получилось, можно увидеть вместе с некоторым количеством картинок и очень (повторяю – ОЧЕНЬ) большим количеством букв (и даже не букв, а страниц) дальше…

Pochta.fi – это почтовое отделение в Финляндии, куда жители Санкт-Петербурга и Ленинградской области уже несколько месяцев заказывают посылки из разных стран. Мы помогаем клиентам, чьи любимые интернет-магазины не отправляют посылки в Россию или же делают это по космическим ценам. Так уж вышло, что доставить посылку в Финляндию по территории Евросоюза сильно дешевле, чем отправить тоже самое в Россию. Кроме этого наши клиенты получают адрес для покупок в США, куда заказывают из американских интернет-магазинов.

Мы заработали совсем недавно, но уже успели доставить oculus rift, всевозможные продукты apple, высокоточную технику (в частности микроскоп), различные запчасти для американских автомобилей, лук для спортивной стрельбы, сигары, много литров вина, лонгборды, велосипеды, и многое другое.



В чем же смысл заказывать посылки в Финляндию, да еще и ехать за ними, теряя выходной?

От переводчика.
Это перевод статьи Филипа Бернарда с сайта css-tricks.com. Часть статьи, содержащую описание работы с созданным им сервисом, я позволил себе опустить. Если вы найдете ошибки, просьба сообщить о них в личном сообщении.

Статья содержит результаты проведенного им исследования, каким должен быть фавикон (и то что его заменяет), чтобы хорошо отображаться в различных случаях.

Фавикон был представлен в 1999 году, в Internet Explorer 5 (источник) и стандартизирован W3C несколько месяцев спустя. Это была маленькая иконка, представляющая сайт.



С тех пор большинство настольных браузеров следуют тенденции и используют фавикон тем или иным способом. Это очень просто, не так ли? Создать маленькую картинку и добавить в любой интернет-проект, чтобы сделать его «завершённым». Ничего сложного.

В то время, когда одна небольшая компания открыла для себя Linux в роли ОС для интернета вещей, другие ребятки создали «самую маленькую ОС для интернета вещей». Она требует лишь 10кб памяти — и вроде пора праздновать, однако…

Huawei представила операционную систему для интернета вещей. По прогнозу компании, в следующие десять лет в мире будет более ста миллиардов подключенных устройств, и Huawei планирует сделать новую операционную систему сердцем этой инфраструктуры.

Семейство вредоносных программ Linux/Mumblehard представляет из себя специальный инструмент злоумышленников, с использованием которого они компрометировали серверы под управлением различных модификаций ОС Linux и BSD. Основное назначение этой вредоносной программы заключается в предоставлении полного доступа к скомпрометированной системе для злоумышленников (бэкдор) и рассылка спама. После получения такого доступа, злоумышленники могут запускать на удаленной системе другие вредоносные программы. Mumblehard также имеет в своем составе модули для организации прокси и рассылки спама.



Компоненты этой вредоносной программы представляют из себя скрипты на языке Perl, которые зашифрованы и упакованы внутри исполняемого ELF-файла. В некоторых случаях эти скрипты могут содержать в себе еще один исполняемый ELF-файл.

Предисловие переводчика

С сегодняшнего дня начинаю публикацию переведенных мною с английского языка отрывков из произведения Роберта Хайнлайна «Заберите себе правительство» («Take Back Your Government») – руководства для начинающих политиков, написанного Хайнлайном в конце 40-х годов. Часть этого материала уже опубликована мною в ЖЖ, но, думаю, начинать читать хорошую книгу сразу с середины — неправильно, поэтому начинаю публиковать с начала.

На мой взгляд, книга интересна тем, что, во-первых, написана Мэтром фантастики и сохраняет его фирменный лаконичный яркий стиль, а во-вторых — изнутри показывает американскую политическую жизнь того времени, без прикрас и без недомолвок.

И, надеюсь, ее прочитают люди, подобные комментаторам статье Про открытую бухгалтерию в украинском Минобрнауки, считающие, что обычных людей нельзя подпускать к процессу принятия важных решений, ибо, как сказал Уинстон Черчилль,— «Демократия несовершенна, но ничего лучше человечество пока не придумало».

С завтрашнего дня область действия «антипиратского» закона будет значительно расширена, а при повторных нарушениях ресурс будет заблокирован навсегда. Правообладатели и организации по защите их интересов уже подготовили огромные списки сайтов, для которых будут добиваться вечной блокировки. Операторы некоторых ресурсов пытаются найти общий язык и прийти к сотрудничеству с правообладателями. Но остальные готовятся к вечному попаданию в «чёрные списки».

Rutor.org уверенно предупреждает своих пользователей, что уже в начале мая сайт будет заблокирован навсегда, а за ним в реестре Роскомнадзора окажутся тысячи других ресурсов. Поэтому администрация Rutor.org снабдила пользователей часто повторяемой, но полезной информацией по обходу блоков. Пользователям предлагается либо получать доступ к сайту через зеркала free-rutor.org и zerkalo-rutor.org, а также IPv6-, .onion- и .i2p-зеркала, либо проксировать трафик.

От переводчика: Это перевод статьи OSI: The Internet that wasn't Эндрю Л. Рассела (Andrew L. Russell), изначально опубликованной в журнале IEEE Spectrum.

Как TCP/IP превзошёл стандарты Open Systems Interconnection, став протоколом для глобальных компьютерных сетей.

Если бы всё пошло по плану, Интернет который мы знаем никогда бы не возник. Этот план, разработанный 35 лет назад, предполагал создание целостного набора стандартов для компьютерных сетей Open Systems Interconnection, OSI.

Его создатели были обособленной группой представителей компьютерной индустрии из Соединённого Королевства, Франции и Соединённых Штатов Америки. Они представляли себе законченную, открытую и многослойную систему, которая позволила бы пользователям по всему миру легко обмениваться данными и тем самым открыть новые возможности для развития сотрудничества и коммерции.

Фото: INRIA
Просто подключите: Исследователь Юбер Зиммерман (Hubert Zimmerman) [слева — прим. автора] рассказывает о компьютерных сетях представителям французской власти на встрече в 1974 году. Зиммерман впоследствии будет играть ключевую роль в развитии стандартов OSI.

Участие в различного рода мероприятиях приводит к грустному выводу: антивирус никому не интересен. Количество посетителей вендорских стендов стремится к нулю. Дошло до того, что уже не разбираются даже знаменитые подарки от Касперского. В основном подходят, чтобы сообщить о проблемах, вопросы «что нового?» и «а как?» отходят в область легенд…

И это на фоне того, что большинство (по моей статистике – примерно 19 из 20) администраторов даже не подозревает о том, что они не реализовали защиту от вредоносных программ – при полной уверенности в обратном. Пример? Да легко! Краткое содержимое статьи «CTB-Locker. Мы решили платить»:

1. Клиент поймал шифровальшика.
2. Антивирус плохой, поскольку пропустил его. Нужно сменить.
   

На самом деле это – типичная ситуация, с которой мы как вендоры сталкиваемся постоянно.

В комментариях, правда, указали, что все антивирусы пропускают. Естественно, развернулась дискуссия о методах защиты. Но что предлагали ее участники? За исключением одного (всего одного! — свой комментарий я не считаю, естественно) участника дискуссии – «Единственный способ борьбы с шифровальщиками — это бэкапы». Убиться и не встать.

Не буду повторять доказательства. Материалов в интернете много, из того, что находится в пределах Хабра, — серия статей «Как поймать то, чего нет». Здесь же опишем только тезисы – и да прочитают их те, кто уверен, что антивирус нужен для защиты от пропуска.

В этой статье я хочу более подробно рассказать о проблемах протокола обновления в антивирусе Dr.Web, благодаря чему, в случае перехвата трафика, становится возможным подмена компонентов антивируса и выполнение произвольного кода. Информацию об уязвимости я впервые увидел в материалах конференции SyScan2014 в презентации Breaking Antivirus Software (Joxean Koret), и т.к. факт наличия уязвимости уже известен, то особого смысла в еще одной публикации не было. По крайне мере, до одного момента.

В обсуждении статьи «Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД» меня искренне удивила реакция некоторых читателей, и предположительно одного из сотрудников компании Dr.Web, который отказался признавать наличие проблем в ПО. Поэтому, было решено самому разобраться в деталях, а также проверить возможность эксплуатации. Надеюсь, эта публикация поспособствует скорейшему исправлению ситуации.

Еще одна печальная новость из мира Heartbleed, о которой стало известно вчера.



Данные карточек, которые использовались для покупки билетов на сайте РЖД были скомпрометированы по той простой причине, что уязвимость Heartbleed была закрыта на нем только спустя неделю (15.04.2013). Все это время неизвестные злоумышленники могли безнаказанно воровать данные с сайта, пользуясь нашумевшей уязвимостью.

Для привлечения внимания к проблеме и чтобы мотивировать пользователей перевыпустить свои карты неизвестными хакерами был создан сайт sos-rzd.com, на котором выложен дамп платежных данных за 14 апреля. Общее количество записей 10532, что позволяет говорить о примерно 70 тысячах карточках скомпрометированных за неделю с момента уязвимости. Сами авторы называют почему то цифру 200 тысяч.

Недели не проходит, как какая-нибудь фирма, специализирующаяся на компьютерной безопасности, выпускает таблицы и графики, пугающие количеством зловредных программ для Android, таящихся в интернете. Чаще всего подобны обзоры завершаются напоминанием о том, как специальная программа от этой компании может защитить ваши устройства от этих невзгод (и иногда это правда). Но Android по сути своей более безопасен, чем десктопный компьютер, поэтому вам эти программы, скорее всего, не нужны. У вас уже есть всё самое необходимое.

Берут на испуг

Свежий отчёт о зловредах пришёл со стороны Symantec. Они пугают тем, что 17% всех программ для Android – зловредны по своей сути. Страшно? Это подают под соусом «одно из пяти приложений – зловред». Можно поддаться панике и рассматривать смартфон, как площадку для инфекций, но в реальности всё не так просто.

Как это обычно бывает, Symantec обозревает всю экосистему приложений Android в целом. Это значит, все приложения из Google Play Store, и все остальные, что лежат на разных сайтах и альтернативных сборниках. И скорее всего, варезные площадки в том числе.

Обожаю заглядывать за кулисы. Мне интересно, как делаются вещи. Мне кажется, что большинству людей это тоже интересно.

Исторически так сложилось, что видеоигры не делятся исходниками. Конечно, они ведь предназначены для игроков. Но для программистов там всегда есть, на что посмотреть. И некоторые игры всё-таки выпускали свои исходники. А я давно намеревался сделать такую подборку.

К сожалению, почти все игры – для PC. Найти исходники для консолей или аркад почти нереально, и большинство программистов не в курсе различий подходов к программам на платформах, отличных от PC.

Многие игры после выпуска исходников были улучшены и дополнены сообществом – я намеренно даю ссылки только на оригинальные исходники. Так что, если вас вдруг интересуют апгрейды – они могут существовать.

Многие игры были рассмотрены на сайте Fabien Sanglard. Если вам интересны подробности их работы, то пожалуйте к нему.

Можно заметить, что многие игры принадлежат id Software/Apogee. Совпадение? Не думаю. id славится открытостью и привычкой выпускать исходники. Старые коммерческие игры уже не имеют ценности и были бы потеряны – не лучше ли, чтобы кто-то учился чему-то полезному на их основе?

Итак, приступим (в хронологическом порядке):

Наблюдая за появляющимися драйверами в ядре Linux, не могу не отметить, что разработчики недостаточно хорошо знают инфраструктуру ядра, точнее внутренний API, значительно упрощающий жизнь при написании драйверов устройств. Сегодня я коснусь темы, посвящённой управляемым ресурсам. В частности поясню каким образом они работают и как упрощают разработку драйверов.

Конечно, о юникоде (Unicode) в интернете море информации (см, например Юникод, некоторые фрагменты текста я взял оттуда), я ни в коей мере не претендую на полное и исчерпывающее описание. Это просто некоторая дополнительная «информация к размышлению».

Привет %username%! Хотел тебе показать и рассказать часть моего исследования расследования изучения мира сего, которое я рассказывал на конференции Zeronights 2014. Тема была о деанонимизации, но больше вопросов было именно по данным, поэтому я решил рассказать об этом отдельно.



Ну ты же в курсе, что сайты собирают данные о твоём посещении, откуда ты пришёл, куда ты уходишь, твои запросы, ip адреса? Вот ты помнишь, во сколько и какого числа ты искал.
Собственно, вот пример данных. Фичу прикрыли, пример данных в комментариях :)

Именно твоих, %username%. Если у тебя пустая страничка, возможно ты используешь плагины Ghostery, Adblock, Noscript — дай ссылку своему другу, надеюсь, ты удивишься.

Что это было?

Данные. Обычные данные о пользователях, которые собирают множество сайтов. Включают в себя поисковые запросы, браузеры, ip-адреса, посещённые сайты. По ним строится возраст, пол, интересы. И это всего лишь один из примеров, который собрала одна из множества компаний.

Привздохнув, произнесла:
«Как же долго я спала!»

Когда-то, впервые встретив Unix, я был очарован логической стройностью и завершенностью системы. Несколько лет после этого я яростно изучал устройство ядра и системные вызовы, читая все что удавалось достать. Понемногу мое увлечение сошло на нет, нашлись более насущные дела и вот, начиная с какого-то времени, я стал обнаруживать то одну то другую фичу про которые я раньше не знал. Процесс естественный, однако слишком часто такие казусы обьединяет одно — отсутствие авторитетного источника документации. Часто ответ находится в виде третьего сверху комментария на stackoverflow, часто приходится сводить вместе два-три источника чтобы получить ответ на именно тот вопрос который задавал. Я хочу привести здесь небольшую коллекцию таких плохо документированных особенностей. Ни одна из них не нова, некоторые даже очень не новы, но на каждую я убил в свое время несколько часов и часто до сих пор не знаю систематического описания.

Все примеры относятся к Linux, хотя многие из них справедливы для других *nix систем, я просто взял за основу самую активно развивающуюся ОС, к тому же ту, которая у меня перед глазами и где я могу быстро проверить предлагаемый код.

Обратите внимание, в заголовке я написал «плохо документированные» а не «малоизвестные», поэтому тех кто в курсе прошу выкладывать в комментариях ссылки на членораздельную документацию, я с удовольствием добавлю в конце список.

Издание «РБК» подготовило расследование того, что случилось со «Сколково», который должен был стать подмосковной «Кремниевой долиной», но в итоге перестал генерировать даже значительные новости.

История «Сколково» фактически «закончилась» в апреле 2013 года, когда после проверки фонда Счетной палатой РФ выяснилось, что в кластере платят слишком высокие зарплаты сотрудникам. После чего в фонде «Сколково» начались обыски, быстро поднятые прессой на мировой уровень, на чем и закончился весь положительный образ данной инициативы экс-президента Дмитрия Медведева.

В 2014 году с поста главы попечительского совета фонда ушел Владислав Сурков, попавший под санкции США, после чего Министерство финансов РФ потребовало снизить финансирование «Сколково» на 20–40%.