Информация будет особенно полезна тем, кто начинает свою карьеру. Обычно первое резюме пугающе пустое, кроме образования, практики и дипломной работы – в нём ничего нет. Практический опыт отсутствует, но есть энтузиазм и жажда знаний. Предлагаю вашему вниманию возможность не только получить знания, но и подтвердить их сертификатом, который можно будет приложить к резюме, добавив ему веса.

Эти приемы были описаны во внутреннем проекте компании Google «Testing on the Toilet» (Тестируем в туалете — распространение листовок в туалетах, что бы напоминать разработчикам о тестах).
В данной статье они были пересмотрены и дополнены.

Эта фраза неизменно вызывает улыбки у окружающих, имеющих обыкновение прислушиваться к телефонным разговорам. Сперва: «Здравствуйте, расскажите мне о вашем замечательном предложении». Потом: «Ага,… ага,… ага..». И финал: «Меня это не интересует, я позвонил просто, чтобы потратить ваше время. Поскольку вы тратите моё, прислав мне СМС».

Что может узнать атакующий

Приватный ключ TLS сервера, приватный ключ TLS клиента (если клиент уязвим), cookies, логины, пароли и любые другие данные, которыми обменивается сервер и его клиенты. При этом не нужно прослушивать канал связи, достаточно послать специально сформированный пакет, и это нельзя обнаружить в логах сервера.

Уязвимость двусторонняя: если уязвимый клиент подключается к серверу злоумышленника, то злоумышленник может читать память процесса клиента. Пример уязвимых клиентов: MariaDB, wget, curl, git, nginx (в режиме прокси).

Наверняка вы слышали о сервисах Amazon EC2, Rackspace и им подобным. Может быть даже пользовались. Лично мне бывает нужен иногда личный VPN-сервер. Для этих целей я уже давно держал микро-инстанс на Амазоне, предоставляемый им в течении первого года бесплатно. Плюс использовал для архивов Amazon Glacier, который с его ценой «1 цент за гигабайт в месяц» можно считать тоже почти бесплатным. Но вот год закончился и за EC2 стало нужно платить. Архивы мои тоже разрослись прилично и затраты на Glacier аналогично перестали радовать.

Случайно пробежавший мимо обзор сервиса DigitalOcean по-началу оставил меня равнодушным. Ну, облачный сервис, ну виртуалки. Ну да, чуть-чуть дешевле (но не так чтобы уж очень), чего-то аналогичного Glacier вроде бы нет да и вообще оно того не стоит.

Я сильно ошибался. Ниже будет рассказано как на базе DigitalOcean сделать себе VPN-сервер в пару десятков раз дешевле такого же на Амазоне и сервис хранения архивов, в бесконечность раз дешевле Glacier.

Теперь если Вас просят показать, как что-то выполняется в консоли, не надо копировать вывод из putty или записывать видео через snagIt. Утилита ascii.io сделает все это за Вас.

Как показывает мировая практика успешно проведённых взломов (успешно для атакующих, разумеется), большая часть проблем связана именно с проблемами с людьми. Если быть более точным — дело в их способности выдать любую информацию и совершать совершенно дурацкие действия.

Думаю, IT-примеры вам и так прекрасно знакомы, поэтому напомню пример из книги «Психология влияния»: психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациенту. Сестра знала, что делает, но в 95% случаев выполняла команду (её останавливали на входе в палату ассистенты психолога). При этом врач даже не был хоть как-то авторизован. Почему сестра так делала? Просто потому, что она привыкла слушаться авторитета.

Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы.

Не часто встречались на моей памяти удачные атаки на облачного CDN-провайдера CloudFlare. Но украинским хакерам удалось провести атаку на защищённый CloudFlare сайт Blooodhound Gang.

Все началось из надругательства над этими флагами — сначала украинским, потом российским. Сообщество молчало пару дней, а потом вдруг взорвалось в яростном порыве гнева и DDoSa :)

Полюбуйтесь-ка на падший CloudFlare сайт Bloodhound Gang:


Источник:
www.segodnya.ua/regions/odessa/Novye-podrobnosti-skandala-s-pankami-Bloodhound-Gang-452354.html

P.S. Уважаемые минусующие, пожалуйста, разъясняйте вашу негодующую позицию в текстовом виде ;-)
P.P.S. Огромное спасибо сливателям кармы — рад, что пост не оставил вас равнодушными :-)

Как и обещали, мы начали переводить некоторые посты из англоязычного Техноблога Evernote, в котором наши инженеры и разработчики рассказывают о некоторых подробностях технической реализации сервиса, делятся историями и просто интересными фактами из своей работы.

Сегодня мы хотели бы начать обзор архитектуры Evernote с общего представления о структуре сервиса. Сейчас мы не будем вдаваться в детали относительно каждого компонента, оставив это для будущих постов.

Начнем со схемы, представленной выше. Вся указанная там статистика приведена на 17 мая 2011 года.

Специалисты израильской компании, специализирующейся на сетевой безопасности, выбрали платформу Android в качестве основы для работы своей программы Android Network Toolkit. Это ПО было представлено на конференции Defcon, и предназначено для проверки надежности защиты компьютерных сетей. При этом программка равным образом может служить отмычкой плохо защищенных сетей в руках злоумышленников (в общем-то, программы подобного рода всегда были «двулики», так сказать). Стоит отметить, что ребята, разработавшие этот софт, собираются выложить Android Network Toolkit в общий доступ в течение нескольких дней, сделав программу доступной для всех. В общем-то, это хорошо, с одной стороны, поскольку специалисты по сетевой безопасности смогут получить довольно солидный функционал, в виде мобильного приложения. С другой стороны, любой злоумышленник сможет «проверять» беспроводные сети везде, где эти сети есть. О том, что умеет программка — в продолжении.

Буквально вчера вышла свежая версия популярной альтернативной прошивки для различных медиаплееров — Rockbox, за версией три точка шесть. Что нового?

Любой веб-разработчик всегда должен иметь под рукой свои рабочие инструменты. Конечно, зачастую вы работаете дома или в офисе, со своим рабочим компьютером. Но если вы часто находитесь в разъездах, или же устариваете демонстрации своей работы в офисе у клиентов, то вам на помощь придут портативные версии необходимых программ.

В предыдущей статье я описал основные проблемы подстерегающие администраторов в больших компаниях.

Сегодня я продолжу данную тему и опишу основные проблемы конфигураций в больших сетях и возможности их решения.

В топике про тыренье вандов у людей я сказал, что в самих вандах может быть список валидных почтовых адресов, которые можно использовать для спама, но выгоднее использовать встроенный поиск MailAgent’а. В этот раз я решил проверить насколько легко их оттуда достать.
Итак, как все, наверное, знают, у МейлРу есть своя сеть для обмена мгновенными сообщениями, которая состоит из пользователей главного сервиса компании — почты. А МейлРу на данный момент стандарт де факто в выборе почты (хотя многие сейчас мигрируют в gmail.com). Другими словами, у этой компании сейчас самое большое количество рабочих адресов, не считая, быть может, Контакта.

В чём, собственно, суть проблемы: для авторизации в качестве логина и уникального идентификатора используется почтовый адрес пользователя. Так как в протоколе присутствует функция поиска контактов (что вполне логично), а в выдаче есть адрес, то спокойно можно сделать граббер валидных почтовых адресов. И даже больше — можно делать поиск по критериям (возраст, страна, пол) и находится ли контакт онлайн. По умолчанию в mAgent’е включена функция оповещения пользователя при получении нового письма на почтовый ящик. Что в результате имеем? Ищем людей из определённой целевой аудитории онлайн, отправляем им спам, они даже получат извещение о новом письме и вполне вероятно его прочитают.

Чем различается скрипт и программа? Вовсе не используемым языком или наличием интерфейса.

Главная разница — в наличии у программы обширнейшей оболочки, не связанной «содержимым» программы. В зависимости от платформы, это могут быть страницы руководства, поддержка нескольких языков, наличие функционала по установке/удалению, исполнение соглашений об интерфейсе (командной строки, или иных средств взаимодействия), интерфейсы в общем реестре и т.д… Программа должна уметь работать в любой документированной среде, предусматривать различные ситуации (круче всего с этим у программ под unix, которые используют ./configure для определения, собственно, где они, что можно, а что нельзя на этой (очередной) платформе).

Скрипт же, в строго обратном смысле: он предназначен для решения конкретной проблемы «здесь и сейчас». Никто не ожидает от скрипта, который отсылает статистику, способности делать это одновременно на solaris'е, freeBSD и windows embedded standard с cygwin'ом на борту.

По математико-программистким представлениям, между скриптами администрирования и программами нет разницы. Они работают по одинаковым принципам, вообще говоря, выполняют почти одно и то же.

Разница между скриптом и программой — административная.

Python становится ближе для тех, кто любит и использует Visual Studio 2010. Недавно, на сайте проекта IronPython были опубликованы бесплатные инструменты для работы с кодом Python в Visual Studio.

IronPython – это реализация языка Python 2.6 созданная Microsoft для платформы .NET, код которой может быть использован в других языках .NET и, наоборот, в IronPython возможно вызывать код из .NET-проектов.



Инструменты, которые теперь интегрируются в среду разработки Visual Studio 2010 теперь предлагают полноценную возможность разрабатывать проекты на языке Python. И для многих .NET-разработчиков эти инструменты станут прекрасной возможностью изучить новый для себя язык в знакомом окружении.

Рассмотрим возможности новых инструментов и то, как они интегрируются в Visual Studio.

На основании этого доклада, а также собственного небольшого опыта, был создан опросник, который поможет улучшить любое веб приложение.

Всего 25 вопросов, прибавляйте вашему приложению по баллу за каждое «Да». Если не уверены в ответе, или можете ответить положительно только на одну часть вопроса, смело отвечайте «Нет» и переходите к следующему.

По следам неудачной попытки с serverloft.eu я решил опубликовать своё руководство по установке FreeBSD на арендованный сервер c Linux.

Почему, собственно, я выбрал serverloft.com? За 100$ в месяц безо всяких VAT я получил брэндовый стоечный сервер в Германии (хоть и Fujitsu-Siemens), 100Гб места на ftp под бэкапы. Из приятных особенностей — в панели управления сервером есть запуск Linux rescue console (RIPLinux через PXE), им мы и воспользуемся. И так, пошаговое руководство по автоматической установке FreeBSD поверх Линукса.

Многих хабровчан интересует вопрос Time Management'а. Именно этим объясняются высокие рейтинги статей, описывающие разные методики и технические средства с ними связанные. Попробую и я внести свою лепту, рассказав о том, как на базе нескольких линуксовых машин (3 х Ubuntu 9.10) мной реализована и используется последние полгода система планирования и составления списка задач (Getting Things Gnome! 0.2.3 aka GTG), хронометраж (Time Tracker 2.29.92 aka Project Hamster) и синхронизация конфигурационных и файлов баз данных с помощью Dropbox for Linux v.0.7.110 , так сильно любимого на просторах хабра. Первые два приложения написаны на питоне, что делает их ещё более привлекательными, т.к. позволяет самому быстро разобраться в коде и подвинтить их (приложения) под себя. Хотя и в стандартной конфигурации они справляются с поставленными задачами очень даже не плохо.

Все, что я вижу и слышу, может стать искрой для новой идеи. Я тут же ее записываю и потом часто листаю старые блокноты, чтобы найти свежие идеи или убедиться в том, что ничего не упустил. Я советовал бы всем молодым людям, вступающим в жизнь, иметь при себе блокнот. Это хорошая привычка, и к ней стоит пристраститься.

Ричард Брэнсон, создатель Virgin, миллиардер

Я повсюду с собой ношу простую записную книжку. Туда записываю все: идеи, размышления, денежные расходы, свои действия в течение дня (хронометраж). Не использую ни электронные гаджеты, ни мобильный телефон, хотя там есть такие возможности.



И вот уже 2 года, как они со мной, эти простые блокноты. И лишь недавно задумался: а, собственно говоря, зачем они мне? И оказалось, есть ряд важных моментов, обеспечиваемых именно бумажными блокнотами, которые делают жизнь гораздо лучше и продуктивнее. Выделив для себя эти моменты, хочу поделиться ими, возможно, это окажется кому-то полезным.