Любая отрасль в своем развитии проходит путь от свободы творчества к той или иной форме регулирования, осуществляемого государством или негосударственными организациями. Целью регулирования обычно становится защита интересов, находящихся в противоречии с извлечением прибыли, и по этой причине не являющихся предметом заботы со стороны бизнеса.

Не является исключением и платежная индустрия. Интерес бизнеса заключается в максимально быстром и комфортном осуществлении покупателями платежей в пользу торгово-сервисных предприятий и предложении всем участникам рынка сопутствующих услуг. К сожалению, удобная оплата в один клик на сайте магазина может обернуться неприятными последствиями для держателя банковской карты, если кто-то из участников платежной цепочки — магазин, банк или процессинговый центр не предприняли необходимых мер безопасности при обработке данных. Безопасность денег на картах клиентов хоть и является для бизнеса вопросом репутации, но прямой выгоды, скажем честно, не несет. Вот и вступают в игру государственные регуляторы и международные сообщества, устанавливающие требования к защите. Если ранее термин «безналичный платеж» в основном ассоциировался только с банками и квитанциями, то популяризация кредитных карт, розничных безналичных расчетов и электронных денег вовлекло в платежную индустрию малый бизнес, в основном представленный предприятиями электронной коммерции и платежными агентами.

За прошедшие несколько лет появился целый ряд нормативных документов по безопасности платежей, и судя по активности регуляторов — появятся еще. В настоящее время в России наиболее актуальными являются международные стандарты PCI DSS и PA-DSS, а также Федеральный Закон № 161-ФЗ «О национальной платежной системе» и сопутствующие ему подзаконные акты в области безопасности. Именно с ними в основном приходится сталкиваться российским компаниям, решившим связать свой бизнес с безналичными платежами. Рассмотрим их по порядку.

Все мы знаем, что при выполнении команд в шелле мы можем перенаправлять стандартный вывод на стандартный ввод других команд, а также записывать его в файл.

Это достаточно детально описано в главе I/O Redirection в «Продвинутом руководстве по программированию на Bash» (Advanced Bash-Scripting Guide).

В частности, иногда бывает так, что вам нужно прочитать какой-то файл, как-то его обработать (например, выбрать оттуда только те строки, которые подходят под некое регулярное выражение), и затем записать результат в тот же самый файл. Допустим, ваш файл называется «messages.log», и вы хотите оставить в нём только те строки, которые начинаются со слова «Success», двоеточия и пробела (а все остальные строки убрать).

Можно предположить, что для этого подойдёт такая команда:

grep "^Success:\s" messages.log > messages.log

Но это предположение окажется неправильным — при выполнении этой строчки файл messages.log будет открыт на запись и очищен ещё до того, как grep начнёт его просматривать.

Начиная с версии 9.8.1 DNS-сервера bind появилась новая возможность — DNS RPZ. Это интересный инструмент, который может оказаться весьма полезным для многих сисадминов. Странно, но в русскоязычном сегменте интернета эта тема совершенно не освещена. Спешу восполнить этот пробел.

Вступление

Самой распространенной операционной системой для смартфонов на сегодняшний день является Android. Но не только этот факт подогревает интерес к ней. Открытость, возможность что-то настроить, подкрутить, и, естественно, сломать тоже в немалой степени способствуют увеличению популярности этой платформы. Я попробую поделиться опытом, как устроена эта операционная система, а так же рассмотреть систему безопасности. Всем, кому интересно, добро пожаловать! В этой статье я рассмотрю безопасность на уровне ядра.

Некое время назад, мне потребовалось визуализировать графы и хотелось найти уже готовое решение что бы не изобретать очередной велосипед. Мне в руки попалась библиотека arbor, которая используя jQuery предоставлет возможность отрисовывать вполне приемлемые графы в браузере.

Ну вот почему!!??!^%#^*%!@#$*&^??? Почему организаторы не сделали анонс этого мероприятия на Хабре? Я случайно где-то наткнулся на ссылочку, полез смотреть — а оно уже в разгаре и завтра последний день. А ооочень хотелось не только посмотреть, но и поучаствовать. И, думаю, многие Хабражители тоже захотели бы. Но не знали.

Описание мероприятия



Публикую на всякий случай, может кто-то так же как и я хотел бы там побывать, но не знал что такое мероприятие проходит.

Кстати, вопрос — может есть какой-нибудь ресурс где публикуются анонсы различных мероприятий по IT тематике? Подскажите пожалуйста, а то тема очень близка (особенно по управляемым штуковинам и всяким роботам) и не хочется их пропускать. На Хабре, конечно, есть «События», но там в основном совсем не то публикуют :-(

UPD> На видеоролике видны некоторые экспонаты, кажется они на Хабре уже фигурировали когда-то. Если авторы сих девайсов читают этот топик — отпишитесь пожалуйста в комментах, фотки, видео в студию!!!

Так уж сложилось, что Linux для меня домашняя система более 5 лет. Я владею различными САПР системами под Windows и прекрасно вижу ту пропасть которая существует в этой области. Но вне зависимости от выбранной OC, не существует такого инструмента «сделать красиво» — нажал заветную кнопку и идея воплотилась в годную 3D модель/чертёж. Проектирование весьма длительный всесторонний процесс, от этапов тз до испытания образцов.И тут все средства хороши, от простого карандаша и бумаги, коробки пластилина до навороченной САПР с просчетом веса и прочими плюшками. Процесс в Windows выглядит аналогично и так-же приходится постоянно использовать «связки» различного софта для одного прототипа, но стоимость этого софта для хобби мягко говоря неподъемна.

В данном же случае речь пойдет о хобби, пусть и приносящем доход, но все же хобби. Я расскажу о софте, необходимом для создания реальных прототипов, которым пользуюсь под Debian testing с DE xfce. Мой выбор возможно не идеален, но для творчества вполне годится.
Итак, имеется некая идея в вакууме, необходимо найти инструмент для 3D визуализации с возможностью быстрого прототипирования средствами ЧПУ.

0. Оглавление

• 1. Предисловие
• 2. Хак eMMC памяти HTC Desire HD с целью изменения идентификационной информации телефона
• 3. Создание телефона-оборотня с использованием криптографии
• 4. Ложная безопасность: обзор угроз несанкционированного доступа к данным
• 5. Заключение

1. Предисловие

Мобильные гаджеты стали неотъемлемой частью нашей повседневной жизни, мы доверяем им свои самые сокровенные тайны, а утрата такого устройства может привести к серьезным последствиям. Сегодня много внимания уделяется освещению вопросов мобильной безопасности: проводятся конференции, встречи, крупные игроки выпускают комплексные продукты для персональной и корпоративной защиты мобильных устройств. Но насколько такие средства эффективны, когда устройство уже утрачено? Насколько комфортны они в повседневном использовании – постоянные неудобства с дополнительным ПО, повышенный расход батареи, увеличенный риск системных ошибок. Какие советы можно дать беспокоящимся за сохранность своих мобильных данных? Не хранить ничего важного на смартфоне? Тогда зачем он такой нужен – не птичек же в космос отправлять, в самом деле?
Сегодня я хочу поговорить с вами об устройствах под управлением ОС Android, созданной глубокоуважаемой мною компанией Google. В качестве примера я использую неплохой смартфон прошлых лет от компании HTC – Desire HD. Почему его? Во-первых, именно с него мы начали свою исследовательскую деятельность в области безопасности Android-устройств, во-вторых – это все еще актуальный смартфон с полным набором функций среднестатистического гуглофона. Он поддерживает все версии Android, в нем стандартный взгляд HTC на организацию файловой системы и стандартная же раскладка разделов внутренней памяти. В общем, идеальный тренажер для защиты и нападения.
С этим докладом я выступил на вот-вот только прошедшей конференции ZeroNights 2012 и теперь хочу презентовать его хабрасообществу. Надеюсь он будет вам интересен и даже немного полезен.

Понятное дело, что ремонтировать будем не клик, а кнопку мыши Logitech MX Revolution, а точнее микрик, который лежит под ней. Суть проблемы – стал глючить клик. Вместо одиночного клика при нажатии кнопка срабатывала как двойной, или залипала, как будто давно отжатая кнопка оставалась нажатой.

Вебмастера — владельцы сайтов с мало-мальски приличной посещаемостью наверняка неоднократно получали сообщения наподобие этого:

Здравствуйте!

Предлагаем дополнительно заработать на вашем сайте *****.ru.
По статистике от 5% до 20% посещаемости любого сайта составляет мобильный трафик. 
Эти посетители вам бесполезны. Установите наш код и зарабатывайте на каждом мобильном посетителе!
Выкупаем 100% вашего WAP трафика. Средняя цена по системе 25$ за 1000 мобильных хостов.
...
P.S. Вы ничем не рискуете. Для поисковиков наш код не заметен. Просто будете получать дополнительный доход!

Я Java-программист и не так давно начал изучать Java для Android. Сегодня на мой планшет попало весьма любопытное уведомление «Надо обновить Flash Player», если бы не профессиональный интерес к платформе Android, то скорее всего я бы пропустил его и продолжил отдыхать, однако сегодня холодный воскресный вечер и я решил решил посмотреть что у вируса «под капотом».
Кстати, парни хорошо подгадали момент выпуска своего «FlashPlayer»: буквально за час до этого я обновлял нормальный FlashPlayer от Adobe на стационарнике.
Если Вам интересно — прошу под кат. Под катом есть несколько скриншотов.

Terminal Keynote – это, скрипт, созданный Хавьером Нориа (Xavier Noria) для показа своих презентаций на BaRuCo 2012 и RailsClub 2012. Вся его суть в возможности показывать слайды с текстом прямо в терминале.

Отличный способ освоить Python — учебный класс Python в Google Code University. Уроки для этого класса написал Ник Парланте из Стэнфорда, и прошедшие курс люди отмечают не просто высокое, а фантастически высокое качество уроков.

Курс включает в себя шесть видеолекций на Youtube, где Ник проводит обучение новичков-гуглеров и подробно рассказывает о разных хитростях и фичах Python. Некоторые видеолекции длиной до 50 минут.

Есть ещё скачиваемые задачки. Они довольно простые и созданы специально для начинающих. Курс идеально подходит для изучения Python программистами, имеющими опыт работы с другими языками программирования.

Доброго времени суток, многоуважаемый %USERNAME%. Меня зовут Голованов Сергей, и я всё еще являюсь ведущим вирусным аналитиком в «Лаборатории Касперского». Я понимаю, что название этого поста в корпоративном блоге компании может вызвать смех, грусть, а у некоторых даже эпилептический припадок, но дайте мне всё объяснить.

Я понимаю, что для всех батники выглядят как нечто очень простое и со времен AUTOEXEC.BAT уже практически забытое, в то же время эксплойты, если вы конечно не профессиональный исследователь уязвимостей, выглядят очень сложно и практически неправдоподобно, особенно для некоторых разработчиков. Но! В данном посте я постараюсь перевернуть эти представления и рассказать, что всё как будто наоборот. Батники чуть легче и сильнее по функционалу brainfuck'а, а эксплойты не страшнее сортировки пузырьком на basic'е.


(Осторожно! 3 МБ иллюстрированного потока сознания и куча скриптов)

Доброе время суток, уважаемый Хабр. Меня зовут Голованов Сергей, я являюсь ведущим вирусным аналитиком в «Лаборатории Касперского». Наши редакторы уже очень долго уговаривают меня написать тут «ну хоть что-нибудь». И с одной стороны, я бы с радостью, но вот времени всё никак не хватает. Поэтому, чтобы мне долго не придумывать и не искать тему для поста, давайте я просто опишу свой обычный рабочий день и проекты, в которых я принимаю участие. Для продолжения нажмите ALT+F4 8)

В данной статье я предложу вам технику аудита «черного ящика», которую можно освоить не обладая особыми знаниями и применить ее относительно своих ресурсов.

Естественно, статью можно перевести и в технику взлома ресурсов. Но чтобы знать, как защищать — надо знать, как взламывать. Ответственность за приобретенные знания вы берете на себя ;)

И если вы, как разработчик, будете знать хотя бы некоторые принципы и техники, что используют хакеры — думаю вам станет чуть спокойнее за них (ресурсы) и результат вашей деятельности приобретет более высокий уровень

В статье отображен аудит базового уровня, сохраняем низкий порог для чтения и понимания.