• Реверс инжиниринг протокола активации Яндекс.Станции



      «Яндекс.Станция» — умная колонка с голосовым помощником Алиса. Чтобы её активировать, нужно поднести телефон и проиграть звук из приложения «Яндекс». Под катом я расскажу, как устроен этот сигнал, про пароль от WiFi в открытом виде и попробую развить идею передачи данных через звук.
      Читать дальше →
    • Cбор логов с rsyslog, именами файлов в тегах, многострочными сообщениями и отказоустойчивостью

        image


        Изображение с сайта oxygen-icons.org


        Задача


        Передавать лог-файлы на центральный сервер:


        • При недоступности сервера не терять сообщения, а накапливать и передавать при его появлении в сети.
        • Корректно передавать многострочные сообщения.
        • При появлении новых лог-файлов, достаточно перенастройки клиента, не требуется изменение конфигурации сервера
        • Можно передавать содержимое всех лог-файлов с соответствующим шаблону именем, причём на сервере их содержимое будет сохраняться раздельно в файлы с таким же именем.

        Условия: в инфраструктуре используются только Linux-сервера.

        Читать дальше →
      • Как сделать мощную лестницу Иакова из трансформатора от микроволновки своими руками

          Желание написать данный пост побудила вот это фотография со студенческой конференции технического ВУЗа.



          — Видел, что студенты показывали на конференции? — спросил товарищ, показывая фотографию.
          — Ничего себе! Это же полный *****! И ты там был?
          — Да, я к ним подходил, разговаривал, но они не стали меня слушать. Что я мог сделать???

          И действительно, а что можно поделать. Поговорив с друзьями было решено написать этот пост, в котором расскажем немного про “Лестницу Иакова”, собственный опыт изготовлении этих установок, и поясним, почему эта фотография вызвала столько эмоций.
          Читать дальше →
        • Как украсть деньги с бесконтактной карты и Apple Pay

            Как украсть деньги с бесконтактной карты из кармана? Насколько безопасен PayPass и Apple Pay?

            В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.

            Рассматриваемые темы:

            • Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
            • В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
            • Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
            • Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
            • Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.

            Внимание!

            В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.

            Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.
            Читать дальше →
          • Mikrotik, DHCP Classless Route

            • Tutorial
            DHCP Classless Route, зачем он нужен?

            У нас в компании для VPN используется решение на tincd. Из-за того, что на Mikrotik я не нашёл простого способа запустить tinc, было решено запускать VPN на отдельном сервере и использовать его как шлюз. Первая попытка — прописать маршрут на маршрутизаторе. По пингам было видно, что маршрутизатор присылает сообщение о редиректе, при этом наблюдались сетевые лаги. При работе создавалось ощущение, что соединение, установленные таким образом, подтормаживает.

            В качестве эксперимента решил попробовать на своём рабочем месте прописать маршрут руками. Это оказалось правильным решением — лаги пропали, но данную операцию нужно было проделать на всех машинах офиса, а руками вбивать как то не хотелось. В связи с этим понадобился способ, без особого напряжения, настраивать статический маршрут, на всех клиентах, получающих адрес по DHCP протоколу.

            Процесс гугления привёл меня на страницу документации Mikrotika. Всё ясно — нам поможет DHCP Classless Route. Настройка относительно легка, но вот из-за этой относительности убил на настройку пол дня. При этом возникали проблемы с сетевым доступом у хостов сети — у Windows машин пропадал маршрут по умолчанию.
            Ещё одна сложность настройки Mikrotik заключается в том, что нужно вводить маршрут в шестнадцатеричном (либо в двоичном) виде, что меня слегка сбило с толку. Да и в документации некоторые нюансы не указаны. Данная опция рассмотрена в базовом варианте. А дальше как хотите )). Пришлось немного углубиться в подробности настройки.
            Подробности под катом
          • DevConf: переход Uber с PostgreSQL на MySQL

              18 мая 2018 года в Digital October состоится DevConf 2018. И мы решили пересказать некоторые интересные доклады с прошлогодней конференции. Там был доклад с несколько холиварным заголовком: "О чём молчит политрук: к дискуссии о переходе Uber с PostgreSQL на MySQL". В нем разработчик MySQL Алексей Копытов рассмотрел различия InnoDb и PostgreSQL на самом низком уровне, включая организацию данных, памяти и репликаций. Предлагаем вашему вниманию краткий пересказ доклада.


              История вопроса


              Uber перешел с MySQL на Postgres в 2013 году и причины, которые они перечисляют, были во-первых: PostGIS — это геоинформационное расширение для PostgreSQL и хайп. То есть, у PostgreSQL есть некий ореол серьезный, солидная СУБД, совершенный, без недостатков. По крайней мере, если сравнивать с MySQL. Они мало что знали о PostgreSQL, но повелись на весь этот хайп и перешли, а через 3 года пришлось переезжать обратно. И основные причины, если просуммировать их доклад — это плохие эксплуатационные характеристики при эксплуатации в production.
              Читать дальше →
            • Исправляем ошибки своими руками, или баг, который «никого не колышет»

                Недавно я уже поднимал волну о баге TCP стриминга камер, но тогда я её катил исключительно на китай. А проблема куда как шире. Для себя я проблему решил, страждущим выкладываю прошивки с фиксом.

                А теперь садитесь поудобнее, я поведаю вам об этом баге подробно.
                Читать дальше →
              • Как мы научились подключать китайские камеры за 1000р к облаку. Без регистраторов и SMS (и сэкономили миллионы долларов)

                  Всем привет!


                  Наверное, ни для кого не секрет, что в последнее время облачные сервисы видеонаблюдения набирают популярность. И понятно почему так происходит, видео — это "тяжелый" контент, для хранения которого необходима инфраструктура и большие объемы дискового хранилища. Использование локальной системы видеонаблюдения требует средств на эксплуатацию и поддержку, как в случае организации, использующей сотни камер наблюдения, так и в случае индивидуального пользователя с несколькими камерами.



                  Облачные системы видеонаблюдения решают эту задачу — предоставляя клиентам уже существующую инфраструктуру хранения и обработки видео. Клиенту облачного видеонаблюдения достаточно просто подключить камеру к интернету и привязать к своему аккаунту в облаке.


                  Есть несколько технологических способов подключения камер к облаку. Бесспорно, наиболее удобный и дешевый способ — камера напрямую подключается и работает с облаком, без участия дополнительного оборудования типа сервера или регистратора.


                  Для этого необходимо, чтобы на камере был установлен модуль ПО работающий с облаком. Однако, если говорить про дешевые камеры, то у них очень ограничены аппаратные ресурсы, которые почти на 100% занимает родная прошивка вендора камеры, а ресурсов необходимых для облачного плагина — нет. Этой проблеме разработчики из ivideon посвятили статью, в которой говорится почему они не могут установить плагин на дешевые камеры. Как итог, минимальная цена камеры — 5000р ($80 долларов) и миллионы потраченных денег на оборудование.


                  Мы эту проблему успешно решили. Если интересно как — велком под кат

                  Читать дальше →
                • Грамотность — не в упадке

                    Никто не забыт, ничто не забыто
                    С момента прихода в нашу школу Интернета, грамотность детей становится хуже и хуже. На форумах они часто пишут с нарочитыми ошибками (чтобы было “прикольно”), однако в результате забывают правила русского языка. Ситуация на сегодняшний день катастрофическая.

                    (публикация НГС.Новости от 2006 года)

                    Подобные жалобы, наверное, появились не вчера, и их можно найти, наверное и в древних письмах. Но сегодня ситуация с языком сложилась совсем новая: грамотность на форумах низкая, ошибки «ться-тся», «с перва» не прекращаются. (Оставим даже за скобками заимствования — для которых нет строгих формальных правил.) Ведь, если подумать — кошмар, люди не в состоянии запомнить простые школьные правила или хотя бы ставить знаки препинания. Язык ждёт катастрофа! Неужели?

                    Заметное многим «засорение» языка — не катастрофа и даже не проблема, а симптом процессов, с которыми язык вполне справится.
                    Читать дальше →
                  • Могучий малыш — TrueRMS мультиметр Aneng AN8001

                      Несколько лет назад невозможно было себе представить, что TrueRMS-мультиметр с автоматическим переключением диапазонов, способный измерять постоянное и переменное напряжение, постоянный и переменный ток, сопротивление, ёмкость и частоту с 6000 отсчётами и 0.5-процентной точностью может стоить меньше 15 долларов. Сегодня этот прибор у меня в руке.

                      Читать дальше →
                    • Китайские камеры Jovision и их OEM клоны. Мистификация безопасности

                        Так получилось, что для одного из проектов понадобилась управляемая система пространственного позиционирования целеуказателя. Сервоприводы различных производителей оказались довольно дорогими и было решено купить управляемую камеру и использовать встроенный сервопривод камеры для позиционирования. С PTZ камерами я дела никогда не имел, поэтому на пробу была приобретена камера J2000IP-CmPTZ-111v2.0, якобы российского производителя "3С-Групп".


                        Внимание! Публикация не является обзором камеры и скорее всего описывает разбор механизмов управления камерой предлагаемый производителем оборудования, а также оценку безопасности её использования.

                        Читать дальше →
                        • +21
                        • 11.6k
                        • 5
                      • Как я взломал свою ip-камеру и нашел там бекдор

                        • Translation
                        Время пришло. Я купил себе второе IoT устройство в виде дешевой ip-камеры. Мои ожидания относящиеся к безопасности этой камеры были не высоки, это была самая дешевая камера из всех. Но она смогла меня удивить.

                        Читать дальше →
                      • Искусственный рассвет

                        Началось всё год назад. Перед Новым 2014 годом несколько пришел в упадок жизненный тонус. Процесс самокопания привел к следующей мысли:



                        — А, что ж так темно-то, Господи? © День радио.

                        Впрочем, для человека, живущего зимой по летнему времени — мысль вполне естественная.
                        Что же делать?
                      • Как развернуть для своей команды архив slack сообщений c синхронизацией и поиском

                        • Tutorial
                        Я сам сторонник идеи что если нравится продукт то нужно покупать его и своими деньгами поддержать программистов.
                        Но иногда бывает что компания на этот софт денег тратить не может или не хочет. Особенно сложно платить от 100$ в месяц когда есть бесплатные аналоги или если чаты используются в некоммерческих целях.

                        Я опишу как можно развернуть сервис для хранения истории всех публичных сообщений вашей команды в slack и избавиться от основного, неприятного, иногда выбешивающего ограничения — up to 10k of your team’s most recent messages (можно смотреть и искать только среди 10 000 последних сообщений)
                        Читать дальше →
                      • Простые опыты с ребенком дома


                          Пример очень неудачного опыта, пояснение в разделе “о технике безопасности”

                          К моему предыдущему посту было множество комментариев по части экспериментов с детьми. Тогда я пообещал написать отдельный пост о простых увлекательных опытах. Сейчас я это обещание выполняю. Данная статья будет вводной, в ней я расскажу только о самых популярных и известных экспериментах которые легко выполнить дома с ребенком.
                          Читать дальше →
                        • Грандиозное тестирование аккумуляторов AA/AAA

                            После моего грандиозного тестирования батареек многие просили провести такие же основательные тесты NiMh-аккумуляторов. За четыре месяца я протестировал 198 аккумуляторов (44 модели AA и 35 моделей AAA).



                            Читать дальше →
                          • «Хорошо сидим» или Сказка, которую нужно рассказать не только детям



                            — Засыпай, а я тебе сказочку…

                            Жили-были великие китайские императоры. И всё-то у них было: и Великая китайская стена, и бумага, и иероглифы, и учёные, и компас и порох, и, даже, ракеты. И самих их, буквально, на руках носили – в паланкинах — никаких тебе поездок на конях или в колесницах, как у египетских фараонов. Никаких единоборств. Чтобы самим меч поднять или нунчаку какую – это ни-ни! Более того, их даже одевали слуги. Опахалами обмахивали – от мух и бабочек – тоже слуги.

                            Одна беда: болели часто! Жили лет до 30-40 — это максимум! Некоторые, так и вовсе – чуть за двадцать перевалили. До сих пор в Интернете публикуют всякие тайно переписанные «лечебные книги» этих императоров. Кстати, именно при них, при императорах, и появились первые массажисты и сам массаж (его еще «ленивой гимнастикой» называют). Видно, умный лекарь не рискнул: не посоветовал императору заняться физкультурой. Тогда с этим строго было: если что – сразу на кол. Или одним мясом кормить начинали – казнь такая у них практиковалась…

                            Поэтому изобретать физкультуру пришлось не в те времена (2700 лет до нашей эры), а в конце 18 века. Выбор истории пал на изобретателя «шведской стенки» — Пера Генрика Линка. Случилось так, что Линк заболел (чем-то вроде ревматизма), но отлеживаться не стал, а занялся фехтованием. Более того, он еще и других стал учить фехтованию. Тут ему и полегчало. Линк сумел все правильно сопоставить и стал лечить движением и даже обучать медицинской гимнастике. В 1813г в Стокгольме даже создали Королевский Институт, в котором готовили инструкторов по гимнастике, а Линк руководил этим институтом.

                            — Такая вот сказочка. Вот и сказочке конец, а кто слушал …
                            — Маловато! Хошь, как хошь, а маловато! Еще рассказывай!

                            — Ну, ладно, ладно. Так о чем это я? Ах, да – в фильме «Осенний марафон» вкусно так актер Евгений Леонов сказал: «Хорошо сидим». Действительно, любим мы это занятие – хоть дома, хоть на работе…
                            Читать дальше →
                          • Как я делал веб-версию KeePass

                              Как-то мне надо было добавить в админку просмотр списка паролей. База хранилась на сервере в формате KeePass (kdbx v2), сервер был на ноде — недолго думая, я взял первый попавшийся пакет и сделал. А потом понадобилось то же самое, но прямо у пользователя в браузере, без сервера. Ничего не нашлось. Первым желанием было форкнуть либу и заменить использование node api, но от первого просмотра кода желание пропало, решил сделать сам.



                              Под катом расскажу о проблемах, с которыми я столкнулся, и способах их решения
                              Читать дальше →
                            • О сколько нам открытий чудных готовит Office Microsoft



                                По сообщениям в комментариях к статье про блокнот, во всех версиях Microsoft Excel, начиная по крайней мере с '97 и до самых новых, в имени листа не всегда можно ввести большую букву Ж. Данная проблема обсуждается в сети уже давно, например на этом форуме забавно наблюдать, как некоторые утверждают, что у них проблемы нет, а у других есть, но не всегда, и никто не понимает, почему так. На первый взгляд можно подумать, что это просто недоработка программистов: они хотели не дать пользователю ввести символ ':', и просто не подумали о том, что Ж находится на той же кнопке.

                                На деле оказалось всё гораздо хуже. Описать нормальными словами то, что происходит в excel, когда вы просто нажимаете кнопку 'Ж', практически невозможно. Поэтому я попытаюсь обрисовать в целом процесс исследования, сократив его где возможно, и не слишком перегружая статью ассемблерным кодом. В итоге мы узнаем, почему получается так, что не любые символы можно ввести, и как это можно исправить.
                                Читать дальше →
                              • Своё Certificate Authority — в 5 OpenSSL команд

                                Зачем это нужно?


                                Представим, у нас есть два сервера, работают они себе, и переодически они хотят, что-то друг у друга спросить по протоколу HTTP/HTTPS.

                                Протокол HTTP не безопасен и логично использовать протокол HTTPS для общения меду серверами.

                                Для организации такого общения нам нужно 2 SSL сертификата.

                                Если сервера пренадлежат одной организации, то может быть проще и безопасней подписывать сертификаты самостоятельно, а не покупать.
                                Читать дальше →