Приблизительно 17 января группа, называющая себя «Исследовательская группа Che Burashka» опубликовала исследование уязвимости, позволяющее взлом систем продаж билетов на московские электрички. Разработчиком систем является компания Микротех.

Какого-либо опровержения от Микротех на данный момент нет.

Автор не имеет никакого отношения к группе «Che Burahska» и не несёт ответственности за деятельность этой группы. Ниже приводится текст, свободно распространяемый данной группой на различных ресурсах в интернет, и описание уязвимости (по мнению группы — неполное), сведённые вместе и отредактированные для удобочитаемости. Данный текст предлагается читателям Хабра для ознакомления и обсуждения.

Онлайн-энциклопедия «Википедия» содержит огромное количество информации. При этом вся она буквально пронизана сквозными ссылками, так что начав изучение нового протокола беспроводной сети, можно закончить чтением статьи об ископаемых кольчатых червях нижнего силура. Сотрудники самой «Википедии» провели анализ кликов пользователей по ссылкам и постарались ответить на вопрос, почему многих людей серфинг по онлайн-энциклопедии просто затягивает.

Авторы исследования, в первую очередь, изучали статистику переходов по ссылкам. Эти данные позволили понять, какие пользователи и как путешествуют по виртуальным просторам «Википедии». Само исследование проводилось с использованием данных поведенческих паттернов пользователей английской, русской, немецкой, испанской и японской версий энциклопедии.

Криптография — сложная штука для понимания. Она состоит математических теорем, доказательств, что повышает порог входа. Но даже если вы используете её в своём проекте, не обязательно вникать в эти алгоритмы, главное понимать принципы работы.

Этот пост — перевод статьи.

Если вы открыли эту статью с целью создать следующий HTTPS протокол, вы зашли не туда. Этой статьи будет не достаточно. В ней описаны принципы работы HTTPS на пальцах или по аналогии с почтовыми голубями.

Блокчейн Ethereum интересен своими смарт-контрактами, а также возможностью создания децентрализованных приложений DApp (Decentralized Application). Однако такому приложению необходимо децентрализованное хранилище данных.

Хранение данных большого объема в блокчейне может стоить немалых денег. На помощь приходят такие децентрализованные хранилища, как Ethereum Swarm («swarm» переводится как «рой», «куча»). Если кратко, то Ethereum Swarm представляет собой программный код, работающий на пиринговой сети Ethereum. Он обеспечивает децентрализованное хранение данных на дисках узлов, владельцы которых отдают свои ресурсы в общее пользование.

В этой статье мы расскажем о том, как установить локальный узел Ethereum Swarm для приватной сети Ethereum с целью тестирования технологии и разработки децентрализованных приложений, хранящих данные в Ethereum Swarm.

Вопрос от Бурума: Как вам спится?

Лаура Софи Дорнхайм, главный диджитал-стратег eyeo: Я сплю и вижу, как бы я поубивала всех журналистов… Шучу. Мне отлично спится.

На кого вы учились, что взламывали в детстве?

Лаура: Давным-давно, В 14-15 лет я начала интересоваться интернетом. В то время крупнейший в Германии интернет-провайдер работал так: когда пользователь логинился, создавался URL, который имел timestamp, который было легко воссоздать, зная только e-mail адрес и алгоритм конструирования URL. Так я получила доступ ко входящим сообщениям моих друзей. Это была моя самая крупная хакерская атака, и с тех пор я ни-ни.

Я поступила на бизнес-информатику, но там было ооочень уныло. Я поклялась, что не буду заниматься PR и маркетингом, но для ЭТОЙ компании я счастлива заниматься этими направлениями.

В начале прошлого года вышло исследование рынка ИТ-инфраструктуры от IDC. Согласно нему и оценкам Gartner, на размещение в ЦОД в 2017-м должно было уходить около 62% затрат на ИТ-инфраструктуру, а смещение доли физической инфраструктуры в пользу виртуальной стало одним из наметившихся трендов и на 2018-й год.

Мы уже рассказывали о стартапах, которые перешли в облако (здесь и здесь). Теперь пришла очередь известных компаний, которые их покидают или совмещают виртуальную и физическую инфраструктуру. Разберемся, почему они принимают такие решения.

Wi-Fi Alliance анонсировал долгожданное третье поколение протокола беспроводной безопасности — Wi-Fi Protected Access (WPA3).

WPA3 заменит существующий WPA2 — протокол сетевой безопасности, который существует не менее 15 лет и используется миллиардами беспроводных устройств каждый день.

Небезопасность WPA2 уже долгое время обсуждалась специалистами. Переломным моментом стал октябрь 2017 года, когда исследователь Мэти Ванхов (Mathy Vanhoef) обнаружил уязвимость в протоколе WPA2, ставящую под угрозу практически все существующие на данный момент сети Wi-Fi. С ее помощью злоумышленник может осуществить атаку реинсталяции ключей (Key Reinstallation Attack, KRACK) и получить доступ к конфиденциальным данным. Уязвимость вызвала серьезное беспокойство экспертов по безопасности, поскольку содержалась в самом протоколе WPA2.

Новый стандарт безопасности Wi-Fi, который будет доступен как для персональных, так и для корпоративных беспроводных устройств, должен обеспечить повышенную конфиденциальность с помощью четырех новых возможностей.

14 декабря 2017 года Федеральная комиссия по связи США (FCC) ожидаемо отменила действовавшие в стране правила сетевого нейтралитета. С тех пор противники решения FCC, в числе которых есть и сенаторы, и члены Конгресса, объявили о намерении подать в суд на Комиссию, отменить решение и даже войти в оппозицию федеральному законодательству.

Последствия декабрьского заседания мы рассмотрим в следующих частях серии статей, а сейчас продолжим рассказывать историю концепции Net Neutrality.

За последнее десятилетие Эстония стала одной из самых успешных европейских стран в сфере бизнеса, в основном благодаря своим сложным цифровым решениям и прогрессивной модели электронного правительства. Личное взаимодействие между государственными организациями и заявителем минимизировано за счет максимально возможного использования информационных технологий.

Несмотря на то, что эстонский регулятор разделяет подход о применения законодательства о ценных бумагах к секьюрити-токенам проведение ICO в стране разрешено при соблюдении ряда условий.

Майнинг криптовалют с каждым годом все меньше становится уделом гиков и все больше становится популярным и высокомаржинальным видом предпринимательской деятельности. Майнинговая деятельность в России до настоящего времени, также как и токенсейл (ICO/ITO) никак специально не урегулирована и не определена действующим российским законодательством. В общероссийском классификаторе видов экономической деятельности (ОКВЭД) майнинг отсутствует. Однако, учитывая что в России разрешена любая предпринимательская деятельность, прямо не запрещенная законом, можно смело утверждать, что майнинг является легальным в России. Но при этом, необходимо помнить, что деятельность по майнингу имеет ряд юридических особенностей, а неправильная организация деятельности может повлечь административную и даже уголовную ответственность. Что ждет майнеров после принятия закона в России и как сегодня регулируется майнинг в других странах подробно разобрали в новом материале.

Системы глубокого анализа трафика (Deep Packet Inspection, DPI) — программно-аппаратные комплексы для классификации проходящего интернет-трафика по типу данных (веб-страница, документ, аудио, видео), протоколу (HTTP, BitTorrent, VoIP/SIP) и конкретным программам (Skype, WhatsApp), зачастую обладающие дополнительной функциональностью. Системы DPI распространены и используются по всему миру продвайдерами проводного и беспроводного доступа.

Мобильные операторы используют системы глубокого анализа трафика, прежде всего, для приоритизации разного контента в интернете (QoS), чтобы можно было одновременно скачивать большой файл и смотреть видео на YouTube, и чтобы один пользователь сотовой сети, активно использующий интернет, не создавал проблем другим пользователям. Операторы используют DPI примерно с начала двухтысячных, с приходом UMTS (3G), чтобы более-менее честно разделять беспроводной канал ограниченной пропускной способности.

Мобильные операторы используют и другие возможности DPI, например, ускорение TCP и HTTP-трафика (TCP PEP, Performance-enhancing Proxy), для ускорения интернета в мобильных сетях и идентификации пользователей веб-сайтами. Если попытаться зайти в личный кабинет оператора с телефона, на многих операторах он откроется сразу, без необходимости ввода логина и пароля. Или, что можно было встретить лет 5 назад, простой заход на подозрительный веб-сайт или клик по рекламному баннеру из Android-игры оборачивался автоматической подпиской на платную услугу, о чем можно было узнать из СМС-сообщения.

Согласно данным аналитического агентства «АВТОСТАТ», по итогам октября 2017 года объем рынка легковых автомобилей с пробегом в России составил 473 тыс. единиц, а по итогам 10 месяцев 2017 года — около 4,4 млн единиц, что на 1,5% больше, чем год назад.

Источник: www.autostat.ru/press-releases/32145

Ни для кого не секрет, что в этой доходной сфере помимо добросовестных продавцов попадаются мутные товарищи, а иногда и отъявленные мошенники. Любовь наших сограждан к халяве и правовые особенности владения транспортными средствами оставляют множество возможностей для желающих несправедливо получить золото семейного запаса обычных российских граждан.

Однако, благодаря некоторым усилиям государственных органов и прочих организаций у нас появилась возможность довольно оперативно собирать интересующую информацию о конкретных автомобилях по открытым источникам в Интернете. Как делать это быстро и бесплатно, мы постараемся рассказать в этой статье.

Новые интернет-провайдеры появляются буквально каждый день, и 12 декабря 2017 года не было исключением. Новичок в экосистеме междоменной маршрутизации, AS39523 (DV-LINK-AS), начала анонсировать собственное адресное пространство (один префикс), добавив к нему в то же время еще 80 чужих префиксов, принадлежащих как российским, так и международным контент-провайдерам, таким как Google, Facebook, Mail.ru, Vkontakte и многих других.


Инцидент длился более 2-х часов, начавшись в 4:44 по UTC с пиком в 80 префиксов, закончившись в 7:19 с еще одним пиком в районе 7:04 UTC.

Продолжаем цикл статей, посвященных технологии блокчейн. Прошлая статья из серии «Секреты EmerCoin» завершилась кратким описанием NVS (Name-Value Storage) – распределённым хранилищем записей на базе блокчейна Emer. Подробности об этом вы узнаете в материале ниже.

На прошлой неделе стало известно о том, что в России появится система страхования индивидуальных инвестиционных счетов (ИИС) граждан — соответствующие предложения опубликовал Центробанк РФ. Теперь деньги и ценные бумаги, которые граждане держат на этих счетах, будут застрахованы по аналогии с обычными банковскими вкладами. О том, что такое ИИС, и как будут защищены активы на таких счетах — читайте в нашем новом материале.

Мы часто боимся изменений российского законодательства и их возможного влияния на бизнес. Между тем, регуляторы в ЕС демонстрируют завидную целеустремленность в этом вопросе. Под катом очередная порция нововведений. Прочтите пост, если вдруг, ваши проекты касаются пользовательских данных.

Вот уже около года американский активист Денвер Джинджерич (Denver Gingerich) выкладывает в открытый доступ отдельные программные части большого проекта, который он с соратниками называет Sopranica. Это первая в мире мобильная сеть, которая объединяет пользователей на открытых принципах, без участия коммерческой компании-оператора сотовой связи. Присоединиться к сети на добровольной основе может любой пользователь в мире.

Например, в январе 2017 года Джинджерич опубликовал исходный код jmp-register — визарда регистрации для чата JMP (JIDs for Messaging with Phones). В чате JMP каждый выбирает себе свободный и анонимный ID с указанием телефонного номера типа +12113114111@cheogram.com, через который может обмениваться текстовыми сообщениями и картинками с другими пользователями. При регистрации в JMP вы указываете произвольный телефонный номер, который привязывается к анонимному Jabber-аккаунту.

Чат JMP — первый «кирпичик», составляющий свободную мобильную сеть Sopranica.

Как все знают из новостных лент, мы живём в постоянно эволюционирующей киберпанковской антиутопии. Люди подключают туалеты к Интернету! Если этот гибсоновский мир кажется вам слишком РЕАЛЬНЫМ, то вы можете поиграть в десять лучших видеоигр о взломе, программировании и вычислениях, чтобы сбежать в мета-антиутопию. Которая, я уверен, является намного лучшим местом.

10. TIS-100

[официальный сайт]

Да-а-а, приготовьтесь к тому, что ваш мозг начнёт болеть. TIS-100 — это игра студии Zachtronics, разработчика игр-головоломок, выпустившей Infinifactory и SpaceChem. В маркетинге она позиционируется как «игра о программировании на языке ассемблера, о которой вы не просили», и хотя я обычно игнорирую маркетинговые слоганы, здесь не могу не согласиться.

Игрок получает в своё распоряжение таинственный компьютер из 70-х, найденный в вещах покойного дядюшки. Когда-то он игрался с ним, пытаясь разобраться. Теперь это ваша задача. Если вкратце, то вам нужно получить числа, чтобы провести машину из точки A в точку B, выполнив на каждом уровне «цели» (например, сначала вывести положительное число, а затем отрицательное). Для этого у вас есть список команд, изложенных в смутном руководстве пользователя. Игра советует вам распечатать это руководство в бумажном виде. В нём есть сделанные дядей примечания и пометки маркером, дающие подсказки о сущности этой машины.

Не прошло и года с даты вступления в силу поправок в Налоговый кодекс, которые СМИ окрестили «Налогом на Гугл», как в него внесены существенные изменения.

Опубликован Федеральный закон от 27.11.2017 N 335-ФЗ, которым изменен порядок исчисления налога с услуг в электронной форме, оказываемых иностранными организациями.

Напомним, что «услуги в электронной форме» включают широкий перечень транзакций от приобретения лицензий, до хостинга и реализации ПО через зарубежные площадки.

Принятые поправки отразятся на всех компаниях, приобретающих такие услуги у зарубежных поставщиков.

Qrator Labs выражает благодарность программному комитету ENOG за разрешение опубликовать на Хабре расшифровку круглого стола, посвященного блокировкам запрещенного к распространению контента. Мероприятие проходило в Минске 9-10 октября. Внимание! Текст длинный, тема чувствительная — просьба отнестись серьёзно к комментарию, который вы захотите оставить под публикацией.

ENOG («Евразийская группа сетевых операторов», в оригинале European Network Operators Group) представляет собой региональный форум интернет-специалистов, занимающихся важнейшими аспектами работы интернета. В рамках форума они имеют возможность обмениваться опытом и знаниями по вопросам, присущим Российской Федерации, странам СНГ и Восточной Европы.

Очередность выступлений и темы докладов:

1. Техническая сторона блокировок — Алексей Семеняка, RIPE NCC
2. Обзор технической ситуации с блокировками в России — Филипп schors Кулин, DIPHOST
3. Проблемы deep packet inspection в транспортных сетях — Артем ximaera Гавриченков, Qrator Labs
4. Перспективы блокирования контента в условиях дальнейшего развития технологий интернет — Антон Басков, AB Architecture Bureau
5. Административные вопросы блокировок — Юрий Каргаполов, UANIC

Блокировки контента, введение