• Курс MIT «Безопасность компьютерных систем». Лекция 9: «Безопасность Web-приложений», часть 1

    • Translation
    • Tutorial

    Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год


    Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ. Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.

    Лекция 1: «Вступление: модели угроз» Часть 1 / Часть 2 / Часть 3
    Лекция 2: «Контроль хакерских атак» Часть 1 / Часть 2 / Часть 3
    Лекция 3: «Переполнение буфера: эксплойты и защита» Часть 1 / Часть 2 / Часть 3
    Лекция 4: «Разделение привилегий» Часть 1 / Часть 2 / Часть 3
    Лекция 5: «Откуда берутся ошибки систем безопасности» Часть 1 / Часть 2
    Лекция 6: «Возможности» Часть 1 / Часть 2 / Часть 3
    Лекция 7: «Песочница Native Client» Часть 1 / Часть 2 / Часть 3
    Лекция 8: «Модель сетевой безопасности» Часть 1 / Часть 2 / Часть 3
    Лекция 9: «Безопасность Web-приложений» Часть 1 / Часть 2 / Часть 3
    Читать дальше →
  • Курс по Machine Learning от Почты Mail.Ru

      27 сентября начинается курс по машинному обучению от Почты Mail.Ru. Занятия будут проходить два раза в неделю в офисе Mail.Ru Group в течение трех месяцев. Регистрация открыта для студентов московских ВУЗов.

      В ходе курса специалисты Почты и Антиспама Mail.Ru расскажут об ML-технологиях, которые применяются для того, чтобы сделать Почту еще более удобным и современным продуктом. Под катом подробности о курсе: формат, программа, авторы и перспективы для выпускников.


      Читать дальше →
    • Памятки по искусственному интеллекту, машинному обучению, глубокому обучению и большим данным

      • Translation


      В течение нескольких месяцев мы собирали памятки по искусственному интеллекту, которыми периодически делились с друзьями и коллегами. В последнее время сложилась целая коллекция, и мы добавили к памяткам описания и/или цитаты, чтобы было интереснее читать. А в конце вас ждёт подборка по сложности «О большое» (Big-O). Наслаждайтесь.

      UPD. Многие картинки будут читабельнее, если открыть их в отдельных вкладках или сохранить на диск.
      Читать дальше →
      • +43
      • 26.8k
      • 9
    • Простой метод для извлечения соотношений и фактов из текста

        Ранее мы писали об анализе отзывов о ресторанах, с целью извлечения упоминаний разных аспектов (еды, обстановки, и подобного). Недавно в комментариях возник вопрос о извлечении из текста фактической информации, т.е. можно ли, например, из отзывов об автомобилях извлечь факты, например «быстро ломается коробка передач» => ломается(коробка передач, быстро), чтобы с этими фактами можно было потом работать. В этой статье мы опишем один из подходов к решению такой проблемы.



        Метод, о котором мы расскажем, опирается на ряд упрощений, он не самый точный, но зато легок в реализации и позволяет быстро создать прототип приложения, в котором он должен использоваться. В ряде случаев его будет и вполне достаточно, а для других можно ввести усовершенствования, не отступая от основного принципа.
        Читать дальше →
        • +11
        • 14.5k
        • 7
      • Играем мускулами. Методы и средства взлома баз данных MySQL



          MySQL — одна из самых распространенных СУБД. Ее можно встретить повсюду, но наиболее часто она используется многочисленными сайтами. Именно поэтому безопасность базы данных — очень важный вопрос, ибо если злоумышленник получил доступ к базе, то есть большая вероятность, что он скомпрометирует не только ресурс, но и всю локальную сеть. Поэтому я решил собрать всю полезную инфу по взлому и постэксплуатации MySQL, все трюки и приемы, которые используются при проведении пентестов, чтобы ты смог проверить свою СУБД. 0day-техник тут не будет: кто-то еще раз повторит теорию, а кто-то почерпнет что-то новое. Итак, поехали!
          Читать дальше →
        • Безопасность сетевой инфраструктуры. Расширенные методы взлома и защиты. Видео

          • Tutorial


          Мы решили продолжить нашу традицию публиковать записи наших предыдущих вебинаров для всех желающих с целью повышения уровня осведомленности в ИБ. Не лишним будет отметить, что вебинары составляют примерно 20% от наших программ обучения, основной упор делается на практику. Проверить свои знания вы всегда можете в наших лабораториях тестирования на проникновение, например сейчас для всех желающих открыта бесплатная лаборатория тестирования на проникновение Test lab v.7.

          Программа курса:

          Первое занятие — «Инструментарий пентестера»
          Это занятие представляет из себя небольшой обзор истории появления и развития дистрибутива BackTrack и превращением его в Kali Linux.


          Читать дальше →
          • +23
          • 63.3k
          • 6
        • Wiren Board 4 — контроллер для автоматизации

            image

            Год назад мы выпустили контроллер Wiren Board Smart Home. Благодаря невысокой цене и широким возможностям он имел успех среди энтузиастов.

            Поэтому мы решили не останавливаться и выпустили новую версию — контроллер для автоматизации Wiren Board 4, к которому написали и новый софт.

            Несмотря на название, покупатели часто использовали Wiren Board Smart Home и для совсем не “домашних” задач: сбора климатических параметров, опроса счётчиков и датчиков, удалённого контроля оборудования — то есть в качестве универсального логического контроллера.

            Wiren Board 4 (как в железе, так и в ПО) лучше приспособлен для таких задач. Домашних пользователей это тоже коснулось — контроллер стал надёжнее.
            Читать дальше →
          • Тестирование на проникновение в соответствии с требованиями СТО БР ИББС-1.0-2014

              image

              Сегодня мы поговорим о проведении тестирования на проникновение в соответствии с требованиями СТО БР ИББС-1.0-2014 своими силами.

              Распоряжением Банка России от 10.07.2014 N Р-556 http://www.consultant.ru/document/cons_doc_LAW_165504/ «О вводе в действие рекомендаций в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» с 1 сентября 2014 года были введены в действие Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» РС БР ИББС-2.6-2014» http://www.cbr.ru/credit/Gubzi_docs/rs-26-14.pdf (документ хотя и носит рекомендательный характер, но, по сути, служит руководством к действию).
              Читать дальше →
              • +11
              • 20k
              • 1
            • Особенности создания программ в NODEMCU ESP8266 для «интернета вещей»

              К изучению возможностей микросхемы ESP8266 я приступил пару месяцев назад. Первоначально приобрел, как и большинство, модуль ESP-01, но почти сразу нашел новое на тот момент решение на основе модуля ESD-12 в виде DEVKIT и прошивкой nodeMCU, в которую встроена VM LUA версии 5.1.4(без debug и OS*модулей).

              image

              Есть несколько способов приобщиться к миру прекрасного — «интернета вещей». Можно взять модуль ESP-01, в котором 512 Кбайт флеш, есть UART интерфейс, пара контактов ESP, добавить к нему интерфейс на USB в последствии перепаять флеш на больший объем. Для тех, у кого нет желания, либо умения заниматься доработкой модуля, но хочется приобщиться и начать сразу программировать, есть другой способ — это указанная выше плата DEVKIT.

              Если учесть разность цен решения в 10 долларов — выбор за вами.
              Читать дальше →
            • Wi-Fi термометр на ESP8266 + DS18B20 всего за 4$



              В последнее время всё большую популярность набирают Wi-Fi модули на основе ESP8266. Я тоже решил приобщиться к прекрасному, задумав реализовать термометр, отдающий данные по HTTP. Итак, поехали.
              Читать дальше →
            • Обновление tzdata для России (системное и java в Ubuntu/Debian, а также в MySQL)

              Предисловие


              Как многие помнят, в этом году был принят закон, в связи с которым поменялись часовые пояса в России с 26 октября 2014 г. Само собой, сразу после принятия закона я поставил в календарь напоминалку на начало октября «обязательно обновить tzdata». Каково же было моё удивление, когда я не обнаружил апдейтов tzdata в debian и ubuntu. Решил подождать еще немного, наткнулся на открытые баги в дистрибутивах (Ubuntu #1377813, #1371758, Debian #761267). Коллеги усиленно напоминали о необходимости апдейтов, но мейнтейнеры не реагировали. Чтобы не устроить себе аврал к концу месяца, решил собрать пакеты и проапдейтить вручную. Важно отметить, что информацию о зонах в некотором софте, например, в MySQL, потребуется обновить вручную. Далее последует короткий мануал.
              Читать дальше →
            • Подключаем китайскую метеостанцию

              В сети широко рассматривался вариант реализации датчика температуры, выполненного на микросхеме DS18B20 и подключенного к роутеру TP-link MR-3020 ( с прошивкой OpenWRT) через преобразователь PL2303.
              Утилитой digitemp датчик читался и данные отправлялись на сайт narodmon.ru.

              Но данного функционала оказалось маловато, захотелось чего-то большего…
              Читать дальше →
            • Распознавание маркера дополненной реальности


                О дополненной реальности(Augumented reality, AR) написано много статей. На хабре есть целый раздел посвящённый этому направлению. Если коротко, то существуют два принципиальных подхода для создания дополненной реальности: с использованием заранее приготовленного маркера(ещё), который нужно распечатывать и без такого. Оба подхода используя алгоритмы “компьютерного зрения” распознают объекты в кадре и дополняют их.
                Данная статья посвящена алгоритмам распознавания при создании дополнительной реальности с заранее приготовленным маркером.
                Читать дальше →
              • ownCloud, делаем своё собственное защищённое облако

                ownCloud представляет собой Open Source решение для организации своего собственного dropbox-подобного хранилища файлов. Кроме, собственно, синхронизации файлов доступны так же дополнительные возможности, как то: синхронизация контактов, календарей (наличествует поддержка CalDAV) и задач, фотогалерея, проигрыватель аудио (с поддержкой протокола Ampache). Сервис работает в многопользовательском режиме, есть функционал общих папок.

                Клиенты синхронизации доступны для Windows / Mac / Linux / Android, версия для iOS, по заверениям разработчиков, в финальной стадии. Наличествует достаточно интересная, но пока экспериментальная функция External Storage, позволяющая монтировать Dropbox и GDrive в папку с ownCloud.

                Важной для меня функцией в Android-клиенте является Instant Upload, автоматически загружающий видео и фотографии в облако сразу после съёмки, аналогично клиенту Dropbox.

                Проект достаточно сыроват, интерфейсы и стабильность работы клиентов оставляют желать лучшего, однако тот факт, что облако полностью управляемо и зашифровано перекрыл эти недостатки.

                В качестве хостинга можно выбрать VDS или домашний сервер на антресоли.

                Рассмотрим вариант с «домашним сервером».
                Читать дальше →
              • Обновление временных зон на Android

                Прочитав статью «Переезд временной зоны MSD в MSK — новый Y2K локального масштаба» — был, мягко говоря, озадачен. Неужели никто до сих пор не сделал какого-либо патча для Android? Вдумчивое гугление привело к подтверждению информации: да, патчей нет. Обновлений тоже нет. Что хотите — то и делайте.
                Ну вот, собственно — и начал делать…
                Читать дальше →
              • Насколько крепка дружба между Java и С внутри Dalvik VM?

                В данной статье попытался очень подробно описать свои шаги при исследовании кода андроида и его выполнения в Dalvik VM. Мне было очень интересно узнать ответы, на вопросы:

                • Как выглядит код, генерируемый С? (с позиции ARM)
                • Как выглядит код, генерируемый Java?
                • Как и где происходит выполнение кода?

                Поэтому данная статья разбита на 3 части.

                Мне кажется ставить перед собой такие вопросы и изучить их — важный момент при последующем написании кода, ведь андроид уже наступил на пятки и не знать его также, как и один из своих любимых инструментов (например С) уже будет не правильно.

                Читать дальше →
              • Архитектура Android

                  Автор перевода и источник: Максим Юдин

                  Android – это набор открытого программного обеспечения для мобильных устройств от компании Google, в состав которого входит операционная система и комплект базовых межплатформенных приложений.

                  Для разработки приложений под платформу Android потребуется набор инструментов и библиотек API — Android SDK, последнюю версию которого вы можете найти здесь.

                  На представленном ниже рисунке показана архитектура ОС Android.



                  Читать дальше →
                • Моддинг на уровне: проект L3P D3SK



                    Честно говоря, этот проект — лучшее, что я видел до сих пор. Конечно, есть различные невероятные моддинг-проекты, когда из ПК делают роботов, или огромные стимпанковые устройства, или еще что-то. Но подобные проекты, они… ну, ненастоящие, что ли. Выглядят супер, а вот смысла как-то нет. Человек проделывает огромную работу, но вот моддинг не несет обычно никакой смысловой нагрузки. Не всегда, конечно, но в большей части проектов по моддингу ПК это именно так. Но вот ЭТО понравилось мне очень и очень. «Это», то есть проект L3P D3SK, представляет собой гибрид рабочего стола и компьютера. Причем выглядит такое рабочее место уж очень футуристично, но вместе с тем, ничего лишнего.

                    Читать дальше →