• Как айтишнику найти работу в США и ЕС: 9 лучших ресурсов

    Мировой рынок IT стремительно развивается. С каждым годом профессия разработчика софта становится все более востребованной — уже в 2017 году в мире насчитывался примерно 21 миллион программистов различных направлений.

    К сожалению, русскоговорящий рынок IT находится еще на начальной стадии развития — уже есть крупные и успешные проекты, но рынок еще долго не сможет сравняться с европейским и американским, которые производят до 85% всех IT-продуктов мира.
    Читать дальше →
  • Почему брать кредиты выгодно?

      Все наверняка слышали фразы типа «Кредиты — кровь бизнеса». С другой стороны, народная мудрость говорит: «Берешь чужое и на время, а отдаешь своё и навсегда».

      Если у вас ипотека или кредитомобиль, то вы знаете на собственной шкуре, какой это тяжелый груз — и, возможно, не понимаете, почему предпринимателю хочется взять кредит в банке, когда достаточно своих средств. Если вас волнуют слова «стартап» и «венчурный капитал», то вы также должны понимать, зачем нужны чужие деньги.

      Кредит для бизнеса и кредит для потребителя — немножко разные кредиты ;)

      Под катом — простой пример работы финансового рычага. Многим он покажется слишком очевидным, но, надеюсь, кто-то найдет пользу для себя.

      Как это работает?
    • Запись WebRTC видеопотока с веб-камеры браузера с буксировкой на Amazon S3


        Amazon S3 — это файловое облачное хранилище, которое используют такие известные сервисы как Dropbox, Trello и миллионы других проектов. Несмотря на сбой 28 февраля 2017 года, в результате которого кое-где перестали работать даже холодильники, S3 остается, пожалуй, самым популярным распределенным хранилищем, в котором пользователи и бизнес хранят фотки, видео, бэкапы и другой полезный контент.

        Web Call Server — это медиасервер с поддержкой технологии WebRTC и записи видеопотоков из браузеров и мобильных устройств. HTML страница в браузере или мобильное приложение может захватить видеопоток с веб-камеры и отправить на сервер для дальнейшей ретрансляции и записи.

        В этой статье мы расскажем как записать видеопоток со страницы браузера Google Chrome с последующей отправкой mp4-файла в хранилище Amazon S3.
        Читать дальше →
      • Wi-Fi is over: вычисляем нарушителей беспроводного эфира


           
          Для выявления атак и аномалий беспроводного эфира можно использовать высокотехнологичные решения (как правило дорогие), которые позволяют контролировать беспроводные сети и выявлять попытки атак. В этой статье я расскажу о двух бесплатных утилитах, которые позволят вам контролировать беспроводной эфир и оперативно реагировать на вторжения злоумышленников.
          Читать дальше →
        • Kali Linux: политика безопасности, защита компьютеров и сетевых служб

          • Translation
          → Часть 1. Kali Linux: политика безопасности, защита компьютеров и сетевых служб
          → Часть 2. Kali Linux: фильтрация трафика с помощью netfilter
          → Часть 3. Kali Linux: мониторинг и логирование
          → Часть 4. Kali Linux: упражнения по защите и мониторингу системы

          Недавно мы задавали сообществу Хабра вопрос о целесообразности перевода книги «Kali Linux Revealed». Поразмыслив, приняв к сведению результаты голосования и комментарии к материалу, мы решили перевести некоторые части книги. Начнём с главы 7: «Защита и мониторинг Kali». В частности, в этом материале приведён перевод разделов 7.1-7.3, которые посвящены политике безопасности системы, защите серверов, ноутбуков и сетевых служб.


          Читать дальше →
          • +23
          • 41.5k
          • 1
        • «Московский клуб покупателей» терапии от старения — план исследований

                                                        Активисты борьбы со СПИДом в 1980-х

            По итогам моего предыдущего поста некоторые читатели упрекнули меня в том, что я описал в нем не план, а лишь гипотезу. Хотя там было и то, и другое. Просто план был в общих чертах, с высоты птичьего полёта. А гипотеза очень простая: эпигенетический откат есть эпигенетическое омоложение. Следовательно, откатывая любым образом профиль метилирования генов, мы откатываем и биологический возраст организма, а значит, омолаживаем его.

            Если кому-то интересен подробный план предлагаемых мною исследований, я изложу его ниже. Но прежде хочу ответить на другое услышанное мной возражение: «А не проще ли подождать Бельмонте?» Оно-то, конечно, проще. Сидеть и ждать пока другие решат все твои проблемы действительно проще. Но когда речь идёт о смертельном заболевании, это не лучшая стратегия.

            Если бы ВИЧ-инфицированные в 80-х молча сидели и ждали, думаю, гораздо меньший процент из них дожил бы до спасительных антиретровирусных коктейлей. Они это отлично понимали, и поэтому организовывали многотысячные демонстрации, требуя найти средство от ВИЧ как можно скорее, а также создавали "Даласские клубы покупателей" для того чтобы пробовать различные экспериментальные терапии на себе.

            Я считаю, что к ВИЧ 2.0 нужно относиться точно так же. Делать всё возможное для скорейшей разработки хоть какой-то мало-мальски эффективной терапии. Потому что иначе наши родители до такой терапии не доживут.
            Читать дальше →
          • Как победить старение — план действий


              Старение — это генетическая патология, заложенная в каждого из нас. Это ВИЧ 2.0, неумолимая «возрастная инволюция человека». Я твёрдо верю, что нам нужно срочно бросить все силы на поиск средств её излечения или хотя бы купирования. Есть ли у меня план? Есть! Попробую изложить его ниже и буду рад любой критике или альтернативным предложениям. Мне важен лишь результат — продление человеческой жизни хотя бы на 50%.

              До сих пор не существует никаких доказанных путей увеличения продолжительности жизни человека более чем на 10%. За последние десятиления было предложено множество различных подходов, и их всех объединяет лишь то, насколько они малоэффективны. Начиная от голодания или ограничения калорий (как показали опыты на приматах), метформина (на диабетиках), рапамицина (на мышах или собаках) и заканчивая целым рядом одинаково слабых «геропротекторов».

              Продление на 10% лично меня не устраивает. Я считаю, что Человечеству необходимо срочно начать разрабатывать методы продления жизни хотя бы на 50%, иначе наши родители просто не доживут до того момента, когда механизмы старения будут разгаданы окончательно, и наука наконец-то сможет его остановить. Поэтому моя задача-минимум — разработать терапию, способную продлевать жизнь приматов хотя бы на 50%. Причем такую терапию, омолаживающее действие которой будет быстро заметно после её применения. Заметно по каким-либо достоверным возрастным биомаркерам: например, эпигенетическим часам или биохимическим показателям крови.
              Читать дальше →
            • Базовая фортификация Linux: выбираем ежи и учимся рыть траншеи


                Несмотря на то, что Linux по праву считается более защищенной системой, чем MS Windows, самого по себе этого факта мало.


                Поэтому я хочу рассказать про базовую настройку безопасности в семействе Linux. Статья ориентирована на начинающих Linux-администраторов, но возможно и матерые специалисты почерпнут для себя что-нибудь интересное. В тексте не будет пошаговых инструкций – лишь базовое описание технологий и методов, а также несколько личных рекомендаций.

                Читать дальше →
              • Как лечат сумасшедших. 1.1 — Фармакотерапия: основы и шизофрения

                  Приветствую тебя, %username%!



                  Эта статья является логическим продолжением поста, посвященного патопсихологической диагностике. В ней я постараюсь доступным языком рассказать об основных группах фармакологических препаратов, применяемых для лечения психических заболеваний, а также о тех механизмах, структурах и компонентах человеческого мозга, которые задействованы в этом процессе.

                  Disclaimer: я не психиатр, а псих. Препараты всех указанных групп я тестировал на себе и наблюдал их действия (когда лежал в психушке). Кроме того, у меня есть некоторый опыт подбора фармы, однако формального образования в этой области я не имею. В связи с этим, а также с тем, что ставить себе диагноз по научпопным статьям — штука крайне неправильная в своей основе, хочу предупредить читателя о том, что, прежде, чем принимать что-либо из описанного здесь, необходимо проконсультироваться со специалистом. Если в пост набегут настоящие сварщики и обоснуют неправильность заявленных тезисов, — буду только рад.

                  Если вышеизложенное вас не отпугивает, предлагаю окунуться в увлекательный мир психофармакологии. В посте много букв и картинок, предупреждаю сразу.
                  Читать дальше →
                • Bash-скрипты, часть 2: циклы

                  • Translation
                  Bash-скрипты: начало
                  Bash-скрипты, часть 2: циклы
                  Bash-скрипты, часть 3: параметры и ключи командной строки
                  Bash-скрипты, часть 4: ввод и вывод
                  Bash-скрипты, часть 5: сигналы, фоновые задачи, управление сценариями
                  Bash-скрипты, часть 6: функции и разработка библиотек
                  Bash-скрипты, часть 7: sed и обработка текстов
                  Bash-скрипты, часть 8: язык обработки данных awk
                  Bash-скрипты, часть 9: регулярные выражения
                  Bash-скрипты, часть 10: практические примеры
                  Bash-скрипты, часть 11: expect и автоматизация интерактивных утилит

                  В прошлый раз мы рассказали об основах программирования для bash. Даже то немногое, что уже разобрано, позволяет всем желающим приступить к автоматизации работы в Linux. В этом материале продолжим рассказ о bash-скриптах, поговорим об управляющих конструкциях, которые позволяют выполнять повторяющиеся действия. Речь идёт о циклах for и while, о методах работы с ними и о практических примерах их применения.

                  image

                  Внимание: в посте спрятана выгода!
                  Читать дальше →
                • Hack.me: Ещё одна площадка для оттачивания навыков в области ИБ

                  • Tutorial


                  Всем доброго времени суток, сегодня не будет VulnHub'a. Сегодня рассмотрим его альтернативу hack.me. На котором содержится не мало интересных площадок для взлома, на различные темы. В этой статье рассмотрим BeachResort. Как пишет автор, это не типичный CTF,
                  Читать дальше →
                • Памятка пользователям ssh

                    abstract: В статье описаны продвинутые функций OpenSSH, которые позволяют сильно упростить жизнь системным администраторам и программистам, которые не боятся шелла. В отличие от большинства руководств, которые кроме ключей и -L/D/R опций ничего не описывают, я попытался собрать все интересные фичи и удобства, которые с собой несёт ssh.

                    Предупреждение: пост очень объёмный, но для удобства использования я решил не резать его на части.

                    Оглавление:
                    • управление ключами
                    • копирование файлов через ssh
                    • Проброс потоков ввода/вывода
                    • Монтирование удалённой FS через ssh
                    • Удалённое исполнение кода
                    • Алиасы и опции для подключений в .ssh/config
                    • Опции по-умолчанию
                    • Проброс X-сервера
                    • ssh в качестве socks-proxy
                    • Проброс портов — прямой и обратный
                    • Реверс-сокс-прокси
                    • туннелирование L2/L3 трафика
                    • Проброс агента авторизации
                    • Туннелирование ssh через ssh сквозь недоверенный сервер (с большой вероятностью вы этого не знаете)
                    Читать дальше →
                  • Дайджест: 40 материалов на тему DDoS-атак и защиты от них

                      Сегодня мы решили подготовить для вас подборку из 40 материалов (с Хабра и других ресурсов), посвященных вопросам сетевой и облачной безопасности, а именно защите от DDoS-атак. Отметим, что в этих статьях рассматриваются как теоретические аспекты вопроса, так и действенные практические решения.


                      Читать дальше →
                    • Набор эксплойтов Stegano используется злоумышленниками для компрометации пользователей

                        Специалисты ESET обнаружили, что миллионы посетителей популярных новостных веб-сайтов были мишенью нескольких вредоносных объявлений, которые специализировались на перенаправлении пользователей на набор эксплойтов. Этот набор эксплойтов использовался для компрометации пользователей вредоносным ПО с привлечением эксплойтов для Flash Player.



                        Начиная, по крайней мере, с октября месяца этого года, пользователи могли сталкиваться с объявлениями, рекламирующими такие приложения как «Browser Defence» и «Broxu». Ниже приведены баннеры этих объявлений, которые использовались для показа на веб-сайтах.

                        Читать дальше →
                        • +18
                        • 9.2k
                        • 1
                      • 23 бесплатных инструмента расследования инцидентов для специалиста по информационной безопасности



                        Утечки данных происходят почти каждый день. Согласно индексу утечки данных, с 2013 года более 4,762,376,960 записей было утеряно или украдено.
                        Читать дальше →
                      • Mikrotik QOS в распределенных системах или умные шейперы

                        • Tutorial
                        А что бы вы со своей стороны могли предложить?
                        — Да что тут предлагать… А то пишут, пишут… конгресс, немцы какие-то… Голова пухнет. Взять все, да и поделить.
                        — Так я и думал, — воскликнул Филипп Филиппович, шлепнув ладонью по скатерти, — именно так и полагал.
                        М. Булгаков, «Собачье сердце»


                        image Про разделение скорости, приоритезацию, работу шейпера и всего остального уже много всего написано и нарисовано. Есть множество статей, мануалов, схем и прочего, в том числе и написанных мной материалов. Но судя по возрастающим потокам писем и сообщений, пересматривая предыдущие материалы, я понял — что часть информации изложена не так подробно как это необходимо, другая часть просто морально устарела и просто путает новичков. На самом деле QOS на микротике не так сложен, как кажется, а кажется он сложным из-за большого количества взаимосвязанных нюансов. Кроме этого можно подчеркнуть, что крайне тяжело освоить данную тему руководствуясь только теорией, только практикой и только прочтением теории и примеров. Основным костылем в этом деле является отсутствие в Mikrotik визуального представления того, что происходит внутри очереди PCQ, а то, что нельзя увидеть и пощупать приходится вообразить. Но воображение у всех развито индивидуально в той или иной степени.
                        Читать дальше →
                      • Security Week 24: черный рынок угнанных RDP, зиродей в Flash, GMail отказывается от SSLv3 и RC4

                          Одна из самых резонансных новостей этой недели посвящена черному рынку удаленного доступа к серверам. Эксперты «Лаборатории» исследовали сервис, на котором любой желающий может недорого приобрести информацию для доступа к одному из 70 с лишним тысяч серверов по всему миру по протоколу RDP. Взломанные серверы достаточно равномерно распределены по земному шару, примерно треть приходится на страны, где выбор — максимальный: Бразилию, Китай, Россию, Индию и Испанию.

                          Ничего не подозревающим владельцам этих серверов наверное будет интересно узнать, что с ними могут сделать злоумышленники, но тут я даже затрудняюсь в выборе, с чего начать. Если коротко — сделать можно все. Дальнейший взлом инфраструктуры жертвы — без проблем. Рассылка спама, DDoS-атаки, криминальный хостинг, кража информации, таргетированные атаки с эффективным заметанием следов — тоже можно. Кража данных кредиток, денег со счетов, бухгалтерской отчетности — да, если взломанный сервер имеет доступ к такой информации. Все это — по смешным ценам: 7-8 долларов за учетку.

                          XDedic и подобные сервисы (можно предположить, что он такой не один) — это криминальный екоммерс и финтех, он объединяет преступников разного профиля, крутых и не очень, использует современные технологии, предоставляет качественный сервис. Сами украденные данные предоставляют больше 400 продавцов — тут вам и конкуренция, и борьба за увеличение количества взломов. Самый подходящий момент напомнить — вас могут взломать, даже если вам кажется, что ваши данные никому не нужны. Во-первых, нужны, и вам в любом случае не понравится, как их используют. Во-вторых, ресурсы тоже стоят денег, а когда цена вопроса — три копейки, под удар попадают все вплоть до малого бизнеса. Украдут деньги со счета, или дампы кредиток, или хотя бы контакты клиентов для рассылки спама, атакуют через вас другую компанию, а если вообще ничего не выйдет — ну поставят генератор биткоинов и сожрут электричество.

                          С такими эволюциями киберкриминала трудно бороться, но данное исследование позволяет примерно понять, как это делать.
                          Все выпуски сериала — тут.
                          Читать дальше →
                          • +10
                          • 17.1k
                          • 3
                        • Чистим интернет от назойливой рекламы (AD Blocker для MikroTik)



                            Данная статья является логическим завершением небольшой дискуссии с тов. vvzvlad, которая развернулась под топиком "Чистим домашний интернет от очень назойливой рекламы (Ad's blocker для OpenWRT)", где автор с помощью wget, sed и cron на OpenWRT успешно сливает файлы рекламных хостов, парсит и подсовывает dns-серверу dnsmasq.

                            Переадресовывая клиента при запросе «рекламного» домена, например, на loopback (127.0.0.1 — 127.255.255.255), вместо котента рекламы клиент получит благодатное «ничего» (разумеется, при условии, что у нас не работает локальный веб-сервер который слушает локалхост). Механизм фильтрации довольно старый и не лишен недостатков. Например, нельзя указать маски хостов (*.ad-domain.tld) или «вырезать» рекламу, баннеры которой хостятся на запрашиваемых ресурсах. Но зато не привязан к какому-то либо протоколу и довольно прост в эксплуатации. Более того, если его использовать, например, на домашнем или офисном маршрутизаторе, который используется в качестве DNS сервера, реклама успешно порежется на всех гаджетах, где IP нашей железки прописан первым в качестве DNS сервера.

                            Но что если у нас вместо роутера с кастомной прошивкой используется… MikroTik (RouterOS), функционал которого накладывает некоторые ограничения? Под катом вы узнаете каким образом удалось успешно "сконвертировать" файл хостов в пригодный для него формат, как автоматизировать это дело и что для хабралюдей в качестве бонуса был создан небольшой сервис как раз для автоматизации этого процесса (маленький, абсолютно бесплатный и с открытыми исходниками).
                            Читать дальше →
                          • Palantir и отмывание денег



                              Palantir
                              [Контент удален по требованию Википедии]

                              На официальном канале Palantir есть видео с демонстрацией работы аналитика, использующего систему Palantir в ходе расследования отмывания денег. По-моему, как-то так видели пользу информационных технологий «отцы-основатели» Вэнивар Буш («As We May Think»), Дуглас Энгельбарт («The Mother of All Demos») и Джозеф Ликлайдер («Интергалактическая компьютерная сеть» и «Симбиоз человека и компьютера»), о которых я писал немного ранее.

                              (За помощь с переводом спасибо Ворсину Алексею)

                              Читать дальше →
                            • Security-ресерчеры продемонстрировали полнофункциональный эксплойт для Android

                                Исследователи израильской компании NorthBit продемонстрировали один из первых экспериментальных полнофункциональных эксплойтов для Android всех версий до 5.1. Эксплойт основан на уже закрытой обновлением Nexus Security Bulletin — September 2015 уязвимости с идентификатором CVE-2015-3864 (Stagefright), которая наделала в прошлом году много шума. Уязвимость присутствовала в библиотеке Android под названием Stagefright, которая используется в системном компоненте mediaserver. Она позволяла атакующим получать полный доступ к устройству через отправку специальным образом сформированного MMS-сообщения пользователю.



                                Эксплойт NorthBit получил название Metaphor. Кроме детального описания механизма эксплуатации уязвимости, исследователи представили уязвимые места в Android для обхода защитных механизмов DEP & ASLR, которые используются для защиты от эксплойтов, полагающихся на размещении шелл-кода в области данных, а также опираются на фиксированные адреса в памяти Android для стабильной эксплуатации уязвимости. Как и в Windows, обход выполняется за счет известных методов ROP и heap-spray.

                                Читать дальше →
                                • +6
                                • 11.9k
                                • 5