На Хабре достаточно часто появляются материалы с описанием процесса восстановления информации с различных устройств. Услуга востребованная, чуть ли не каждый сталкивался наверно с внезапной «смертью» флешки или жесткого диска. Но, что происходит с устройствами вашей компании после того, как бухгалтерия их спишет? Кто дарит подшефным организациям, кто просто выбрасывает. Вариантов много. Но злоумышленники вполне могут воспользоваться возможностью получить доступ к вашим данным или данным вашей компании получив так или иначе ваши устройства!

Не будем говорить о шифровании и ПО типа антивора — эти темы уже в достаточной мере освещены, в том числе и на данном ресурсе. Поговорим о тех вещах, с которыми большинству приходится сталкиваться в реальности гораздо реже — о том, как гарантированно уничтожить на носителях важной информации все, что там записано сейчас, а также что было записано некогда.

На YouTube появились записи выступлений с Positive Hack Days V — несколько десятков докладов по практической безопасности на русском и английском языках. В 2015 году на форуме говорили не только о хардкорных методах взлома, но и о «нетехнических» атаках. Многим запомнился доклад Криса Хаднаги (Chris Hadnagy), который для получения информации использует особенности человеческой психики и не верит в технический прогресс: «Пока вы ищите уязвимости нулевого дня, мы просто поднимаем трубку телефона и узнаем ваши секреты». В этом материале мы расскажем несколько историй и наблюдений из практики 42-летнего американца.

Не так давно лучшим ресурсом для ознакомления с алгоритмами компьютерного зрения был сайт библиотеки алгоритмов компьютерного зрения с открытым исходным кодом OpenCV. Эти алгоритмы приходилось создавать и настраивать самостоятельно, попутно осваивая CMake и другие межплатформенные инструменты. Итоговый результат мог не подойти нужной платформе. В этом случае необходимо было тщательно изучить алгоритм и настроить его для собственной системы — а это означало освоить OpenCL и его оптимизацию для своей платформы. Не то чтобы это было плохо…



Теперь приступить к работе с алгоритмами компьютерного зрения можно при помощи программного пакета Intel INDE, последнее обновление которого включает в себя готовую версию OpenCV, подходящую для устройств Windows и Android с процессорами Intel с графическим ядром Intel.

TL;DR: DNS-резолвер в Windows 10 отправляет запросы на все известные системе адреса DNS-серверов параллельно, привязывая запрос к интерфейсу, и использует тот ответ, который пришел быстрее. В случае, если вы используете DNS-сервер из локального сегмента, такое поведение позволяет вашему провайдеру или злоумышленнику с Wi-Fi-точкой подменять записи DNS, даже если вы используете VPN.

Современные версии Windows добавляют головные боли активным пользователям VPN. DNS-резолвер до Windows 7 включительно имел предсказуемое поведение, совершая запросы к DNS-серверам в порядке очереди и приоритета DNS-серверов, в общем-то, как и все остальные ОС. Это создавало так называемый DNS Leak (утечка DNS-запроса через внешний интерфейс при подключенном VPN) только в том случае, если DNS-сервер внутри VPN-туннеля не ответил вовремя, или ответил ошибкой, и, в целом, не являлось такой уж вопиющей проблемой.

Обновления Windows в последние дни становятся опасны для пользователей. Несколько дней назад желающие обновить свою операционную систему до Windows 10 стали жертвами вируса-шифровальщика. Другая история произошла на конференции Black Hat 2015, где исследователи из Великобритании показали технику доставки вредоносных программ на корпоративные Windows-ПК посредством локального сервера обновлений WSUS.



С помощью WSUS системные администраторы координируют обновления программного обеспечения на серверах и рабочих станциях. По умолчанию компания Microsoft применяет для WSUS незащищенный протокол HTTP, и чтобы включить HTTPS, администратору необходимо осуществить ряд манипуляций. Но их осуществляют далеко не всегда. Воспользовавшись отсутствием SSL-шифрования, специалисты британской компании Context Information Security смогли загрузить и установить на целевую систему поддельные обновления. Подобные апдейты могут быть использованы злоумышленниками для загрузки любой вредоносной программы и получения доступа с правами администратора.

Программисты часто сталкиваются с проблемами чтения математических нотаций, когда пытаются разобраться с теоретическими основами какого-либо языка программирования. Также с ними толкнулся и я в своих теоретических изысканиях. К счастью, мне очень помогла замечательная статья Джереми Сиека (Jeremy Siek), чьим переводом я хочу с вами поделиться. Надеюсь она поможет многим программистам-«не математикам».

Многие считают что Международная космическая станция (МКС) летает где-то очень далеко, и для того чтобы ее увидеть (и тем более сфотографировать) нужно специальное оборудование. Однако это вовсе не так. МКС каждый день по нескольку раз проносится над нашими головами и увидеть ее не сложнее чем обычный пассажирский самолет. Нужно просто знать когда и куда смотреть. По яркости МКС может соперничать даже с Юпитером и Венерой, а ее быстрое движение по небосводу еще больше привлекает внимание. В этой статье я хочу рассказать как и когда можно увидеть МКС сегодня вечером в Москве, подскажу как узнать время пролета МКС для любого другого места и даты, а также затрону тему фото и видеосъемки МКС.

Одна из самых распространенных проблем, с которыми обращаются в сервисные центры владельцы лэптопов – пролитая на устройство жидкость. Само по себе событие из ряда вон выходящее и крайне неприятное, но… Доходы мастеров сервиса могли бы быть несколько скромнее, а число выживших после омовения устройств значительно больше, если бы пользователи были чуточку повнимательнее и вовремя познакомились с правилами первой неотложной помощи для своих электронных друзей.

О технике “искусственного дыхания” для ненароком залитого ноутбука, о том, как по возможности снизить затраты на вероятный ремонт и повысить шансы на полное восстановление устройства мы расскажем в нашей статье.

Введение

На момент написания статьи большинство приложений на основе открытых данных (на официальных сайтах data.mos.ru/apps и data.gov.ru) представляют собой интерактивные справочники по инфраструктуре города или поселения с наглядной визуализацией и часто с опцией выбора оптимального маршрута. Цель этой и последующих публикаций состоит в том, чтобы привлечь внимание сообщества к обсуждению стратегий анализа открытых данных, в т.ч. направленных на прогнозирование, построение статистических моделей и извлечение информации, не представленной в явном виде. В качестве инструментария используется язык R и среда разработки RStudio.

Вдохновившись рассказом Chikey о том, как он вновь «сломал интернет» Егор прекрати уже ломать все подряд, займись делом каким-нибудь, решил поведать об одной истории с довольно известным за рекой онлайн-казино. Имя этой «организации» не называю, т.к. процентов на 50 уверен, что или совсем не пофиксили, или сделали кривее, чем было до этого.

История очень похожа на взлом Егора, за исключением того, что это не совсем рэйс, вернее, совсем не race condition в чистом его виде. Как оно будет полностью не знаю, я больше практик, чем теоретик. Назовем его «conditional race condition» — хоть и масло масляное, но суть отражает верно.

Как-то вечером, домашние уснули, по ящику одна муть, наши опять проигрывают делать было особенно нечего, на опенсорс решил на сегодня забить, захотелось чего-нибудь сломать. А что ломать (когда Егор уже все сломал), как не банк какой-нибудь или казино (эго, необходимость иногда почувствовать себя крутым парнем, все дела в общем). Это было одно из первых онлайн-казино, которое мне тогда приглянулось в поиске.

Не секрет, что экономят на программистах, тестировщиках и т.д. все или почти все. Я делаю временами аудиты, да и по роду деятельности такого иногда насмотришься, что волосы дыбом. Но тут-то казино! С возможностью вывода (выигранных) вечнозеленых и т.д. Т.е. контора должна вроде соответствовать.

Завел себе аккаунт, и поехали…

Это история о том, как я нашел способ нагенерить неограниченное число денег на подарочные карты старбакса, тем самым обеспечить себе пожизненный бесплатный кофе, ну или украсть у них пару миллионов другими способами.

Итак, не так давно мне в голову пришла идея купить 3 карты Старбакса по $5 каждая.

Microsoft рапортует об успехах: в первый же день выхода новой, десятой версии Windows, её установили на 14 миллионов компьютеров. В течение нескольких недель автоматическое обновление станет доступным для всех желающих обновиться обладателей 7-й и 8-й версий операционки. Параллельно Microsoft выпускает патчи с исправлениями к ошибкам, которые были найдены в последние дни.

Windows 10 стала первой версией ОС, которую Microsoft предлагает легальным владельцам предыдущих версий бесплатно. Это, вкупе с тем фактом, что «десятку» очень сильно «допилили» со времён «восьмёрки», позволяет предположить, что обновлять систему пользователи будут гораздо быстрее, чем это происходило с предыдущими версиями операционки.

Из сюрпризов, которые ожидали новых пользователей системы, можно отметить следующие.

Обновления (патчи) теперь скачиваются по решению ОС – система больше не предлагает скачивать их по желанию пользователя. Возможно, это сделано для повышения безопасности самих пользователей. Но опытные юзеры смогут настроить это через групповые политики (gpedit.msc).

Скачивание дистрибутива Windows сделано по системе peer2peer – так Microsoft подстраховалась от перегрузки своих серверов. Эта система, которую впервые представил протокол BitTorrent, давно используется разными компаниями для распространения цифрового контента (например, для купленных цифровых версий игр). Если по каким-то причинам вам жалко вашего исходящего трафика, эта функция отключается в настройках.

Удивительно, но никто не написал ничего про игрушку «TIS-100», которая недавно появилась в Steam (стоит всего 150 рублей, уже 460 положительных отзывов против 6 отрицательных).

Сразу оговорюсь, что к авторам игры я отношения не имею, а вот сама эта игра — отличный инструмент для всех программистов, которые хотят сразиться друг с другом в оптимизации кода на выдуманном хитром ассемблере.

Итак, о чем игра?

Первое видео курса

Массачусетский технологический институт выложил в свободный доступ курс лекций по теме «Теория и аналитика игры в покер» (на английском языке). Доступны видеолекции, конспекты и специальные заметки по курсу. Это событие – часть программы OpenCourseWare, которая посвящена организации бесплатного доступа к избранным лекциям института для всех желающих – даже для тех, кто не учится в нём.

Помните, как в школе многие говорят: «Ну зачем мы это учим, нам это не пригодится!»?



Так вот, лекции по покеру – пожалуй, могут оказаться не просто интересными, но и весьма полезными с практической точки зрения.

Лекции ведёт магистрант института Кевин Дезмонд, который получил степень бакалавра по финансам. И, что логично, его лекции как раз рассказывают о технологиях анализа и планирования, предназначенных для максимизации выгоды от игры на деньги.

В курсе рассматриваются основы игры, наилучшие стратегии, и те важные детали, которые самоучки обычно упускают. Рассматривается анализ поведения игроков, манеры игры и прогнозы их будущих действий в зависимости от предыдущих раздач.

Кевин Поулсен, редактор журнала WIRED, а в детстве blackhat хакер Dark Dante, написал книгу про «одного своего знакомого».

Пролог
Глава 1. «The Key»
Глава 3. «The Hungry Programmers»
Глава 4. «The White Hat»
Глава 5. «Cyberwar!»
Глава 6. «I miss crime»
Глава 8. «Welcome to America»
Глава 34. «DarkMarket»



Книга называется KingPin, что переводится на русский инженерный как шкворень — стержень шарнира поворотного соединения частей транспортных машин. В более узком смысле — ось поворота управляемого колеса автомобиля или иного транспортного средства.

Когда я рассказал ребятам в лагере про подвиг Кевина, который выиграл Porsche 944, взломав дозвонившись на радиостанцию KIIS-FM, и как он разоблачил несколько сотен педофилов, школьники окрестили его «американским хакером-тесаком».

Несколько добровольцев вызвались перевести пролог и прикоснуться к миру писательства на Хабре и компьютерной безопасности.
Ведь будущие blackhat/whitehat хакеры должны знать своего друга/врага.

«Поэтому сказано, что тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении.» Сунь Цзы

Предлагаю хабрсообществу присоединиться и перевести по одной главе (они по 2-3 страницы). Пишите в личку или в комментах кто что взял, буду оперативно обновлять раздел «Оглавление».

Начало истории о том, как крышевать миллиардный подпольный хакерский бизнес

Рабочий прототип устройства

Инициативная группа любителей приватности в интернете Rhino Security Labs предложит в августе на конференции DEF CON своё устройство, позволяющее оставаться анонимным. Это Wi-Fi роутер под названием Proxyham. Особенность его заключается в наличии низкочастотного передатчика, который позволяет работать с этим роутером на расстоянии в несколько километров. Если подключить этот роутер к любой доступной сети, с ней можно будет работать на приличном удалении, не выдавая своего местонахождения.

Proxyham собран на основе известного одноплатника Raspberry PI с Wi-Fi картой и тремя антеннами — одной для Wi-Fi, и двух для приёма/передачи сигналов на частоте 900 МГц. Естественно, для работы с ним ваш компьютер необходимо оснастить приёмником/передатчиком с подходящей антенной.

Подобные «беспроводные удлинители Ethernet», как их рекламируют в интернете, обещают связь на прямой линии видимости на расстоянии в несколько десятков километров. В городе это расстояние, скорее всего, сократится до нескольких кварталов.

Стратегия ведения войны такова: существуют рассеивающие местности,
ненадежные местности, спорные местности,
пересекающиеся местности, узловые местности,
трудные местности, местности-ловушки,
окруженные местности и смертельные местности.

Сунь Цзы "Искусство войны" 

Есть люди, которым надоедает всё привычное. В своих поисках нового, они совершают открытия, изобретают, творят. Они делают нашу жизнь лучше, во всех её проявлениях. Го не является исключением.

И вновь привет, хабр.

Вчера мной был опубликован материал касательно прокладки компанией Google собственного оптоволоконного кабеля связи по дну Тихого океана, который свяжет дата-центры компании в штате Орегон, США, с Японией. Казалось бы, это огромный проект стоимостью $ 300 млн и длинной в 10 000 км. Однако, если копнуть немного глубже станет ясно, что данный проект является выдающимся только потому, что это будет делать один медийный гигант для личного использования. Вся планета уже плотно опутана кабелями связи и под водой их намного больше, чем кажется на первый взгляд. Заинтересовавшись этой темой я подготовил общеобразовательный материал для любопытствующих.

В этот раз я хочу поделиться с вами одной проблемой, с которой столкнулся, когда решил сравнить итерационные и рекурсивные функции в C++. Между рекурсией и итерацией есть несколько отличий: о них подробно рассказано в этой стать. В языках общего назначения вроде Java, C или Python рекурсия довольно затратна по сравнению с итерацией из-за необходимости каждый раз выделять новый стековый фрэйм. В C/C++ эти затраты можно легко устранить, указав оптимизирующему компилятору использовать хвостовую рекурсию, при которой определенные типы рекурсии (а точнее, определенные виды хвостовых вызовов) преобразуются в команды безусловного перехода. Для осуществления такого преобразования необходимо, чтобы самым последним действием функции перед возвратом значения был вызов еще одной функции (в данном случае себя самой). При таком сценарии безусловный переход к началу второй подпрограммы безопасен. Главный недостаток рекурсивных алгоритмов в императивных языках заключается в том, что в них не всегда возможно иметь хвостовые вызовы, т.е. выделение места для адреса функции (и связанных с ней переменных, например, структур) на стеке при каждом вызове. При слишком большой глубине рекурсии это может привести к переполнению стека из-за ограничения на его максимальный размер, который обычно на порядки меньше объема оперативной памяти.

В прошлой заметке я рассказывал о проблемах с рекурсией в функции Фибоначчи при использовании 64-битных переменных в качестве ее аргументов и компиляции кода с помощью Microsoft Visual C++. Выяснилось, что компилятор включает хвостовую рекурсию, когда используются 32-битные переменные, но не делает этого при переходе к 64-битным. На всякий случай напомню, что хвостовая рекурсия – это оптимизация, производимая компилятором, при которой некоторые виды хвостовых вызовов преобразуются в безусловные переходы. Узнать больше о хвостовой рекурсии.