Как стать автором
Обновить
261
0
Sergey Belov @BeLove

Пользователь

Отправить сообщение

OpenConnect: недетектируемый VPN, который вам понравится

Уровень сложностиСредний
Время на прочтение15 мин
Количество просмотров245K

Я уже написал здесь много статей на тему прокси-протоколов и прокси-клиентов, которые очень сложно детектировать и заблокировать, и которые используют пользователи в Китае, Иране, Ираке, Туркменистане, и теперь вот в России (мы здесь в отличной компании, правда?). Но довольно часто мне в комментариях писали, мол, это все отлично, но мне нужен именно VPN для целей именно VPN - доступа в частные локальные сети, либо для соединения клиентов между собой, и желательно так, чтобы его не заблокировали обезьяны с гранатой. Поэтому сегодня мы поговорим именно о VPN.

Классические OpenVPN, Wireguard и IPSec отметаем сразу - их уже давно умеют блокировать и блокировали не раз. Модифицированный Wireguard от проекта Amnezia под названием AmneziaWG — отличная задумка, но есть одно но...

Читать далее
Всего голосов 273: ↑272 и ↓1+323
Комментарии344

МВД отжало у меня телеграмм, или о дыре в защите

Время на прочтение2 мин
Количество просмотров103K

Хабр не жалобная книга, однако мой опыт может быть полезен другим. Съездил в РБ, отсидел, потерял аккаунт в телеге.

Читать далее
Всего голосов 265: ↑244 и ↓21+294
Комментарии427

20 лет проблем приема платежей

Время на прочтение11 мин
Количество просмотров22K
image
За логотип спасибо yarbabin

Электронные системы расчетов существуют в интернете уже давно, а баги на них встречаются двадцатилетней давности. Мы находили критические уязвимости, позволяющие угнать деньги и накрутить баланс. Сегодня мы разберем типовые реализации приема платежей и связанные с ними проблемы безопасности.
Читать дальше →
Всего голосов 109: ↑108 и ↓1+131
Комментарии20

Обход средств защиты в iOS-приложениях

Время на прочтение8 мин
Количество просмотров7.4K

В прошлой статье мы рассмотрели базовые уязвимости и способы их обнаружения. Но что делать, если в приложении используются дополнительные средства защиты (например, Jailbreak Detection или SSL-pinning), которые не позволяют нам изучить его? В этой статье расскажем, как и с помощью каких инструментов можно обходить данные средства защиты.

Читать далее
Всего голосов 25: ↑25 и ↓0+25
Комментарии4

Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом

Время на прочтение25 мин
Количество просмотров50K

Всем привет! Меня зовут Юрий Шабалин, я один из основателей компании Stingray Technologies. Мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android.

Сегодня я хотел бы снова затронуть тему безопасности сетевого взаимодействия между приложением и его серверной частью. На эту тему написано немало, но комплексной статьи, отвечающей на самые разные вопросы, начиная от того, что же такое SSL, до того, как работает атака MiTM и как от нее можно защититься, я еще не встречал (а может, просто плохо искал). В любом случае, мне бы хотелось поделиться своими мыслями на этот счет и внести свою малую долю в русскоязычный контент на эту тему.

Статья может быть полезна для разработчиков, которые хотят понять, как устроен процесс прикрепления (пиннинга) сертификатов и специалистам по анализу защищенности мобильных приложений.

Читать далее
Всего голосов 20: ↑20 и ↓0+20
Комментарии14

Взламываем ТВ-приставку, чтобы получить плацдарм для хакерских атак

Время на прочтение8 мин
Количество просмотров34K

Под катом вас ждет профессиональный экскурс в безопасность низкоуровневого ПО от одного из наших сотрудников. Вы узнаете, как получить доступ к Nand-памяти без программатора, обмануть загрузчик нулевого уровня и превратить Android-приставку в зомби за десять секунд.

Читать далее
Всего голосов 49: ↑46 и ↓3+58
Комментарии18

Взлом и внедрение своего кода в чужое iOS-приложение

Время на прочтение15 мин
Количество просмотров16K


В жизни хакеры не так всесильны и эффектны, как в голливудских фильмах. Но это не значит, что iOS-разработчик может вообще не думать о безопасности своего приложения. Пусть оно и не хранит тайны Пентагона, взломать его всё равно могут хотя бы для того, чтобы получить платные функции бесплатно.


На нашей конференции Mobius разработчик Мурад Татаев рассказывал о взломе iOS-приложений — и о том, что разработчики могут делать для защиты от него. А теперь мы расшифровали этот доклад (видеозапись также прилагаем). Далее повествование идёт от лица спикера.

Всего голосов 27: ↑27 и ↓0+27
Комментарии16

Видео вещание с OvenMediaEngine, до свидания nginx rtmp module

Время на прочтение8 мин
Количество просмотров26K


Когда Роман Арутюнян (rarutyunyan) выпустил модуль nginx-rtmp-module, это сильно перевернуло взгляд на доступность организации видеовещания. До этого, это казалось каким-то дорогим и сложным делом.

31 декабря Adobe официально хоронит флешплеер и убирает ссылки на скачивание с сайта. Это, конечно, не может не радовать. Эти засранцы то и дело подсовывали включенные по умолчанию галочки, так что даже продвинутому пользователю прилетал вместе с флешплеером еще и какой-то антивирус в лучшем случае. То, что это чудовище бесконечно просило обновлений ручками через браузер, знают все. Ходил даже анекдот, предлагающий создателям флешплеера законодательно ограничить паспорта сроком на 1 неделю с возможностью бесконечной перевыдачи.
Читать дальше →
Всего голосов 10: ↑10 и ↓0+10
Комментарии34

Йога глазами дата-сайентиста: как мы строили computer vision в мобильном приложении

Время на прочтение10 мин
Количество просмотров13K

Привет! Я Денис Соколов, руковожу R&D в Zenia Yoga — первом приложении для йоги на основе ИИ. В этой статье я расскажу, из чего состоит современная система, работающая с компьютерным зрением: как влияет каждый элемент пайплайна на конечный результат, который видит пользователь. Мы пошагово разберем создание модели для human pose estimation и сравним ее с готовыми «коробочными» решениями от производителей мобильных платформ, а также открытыми аналогами.

Читать далее
Всего голосов 38: ↑38 и ↓0+38
Комментарии27

Logstash + ClickHouse + Grafana: Как сделать Logger для логов ИБ умнее и эффективнее?

Время на прочтение17 мин
Количество просмотров18K

В этой статье постараемся рассказать, как на базе всем доступного open-source можно построить эффективный Logger, поддерживающий интеграцию со всеми SIEM системами, и как можно модернизировать уже существующий Logger с помощью алгоритмов машинного обучения, сделав его умнее и эффективнее.

Читать далее
Всего голосов 6: ↑6 и ↓0+6
Комментарии3

Burp и его друзья

Время на прочтение11 мин
Количество просмотров18K

В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили список тех, которые сами чаще всего используем в работе.


img

Читать дальше →
Всего голосов 27: ↑27 и ↓0+27
Комментарии3

Современные стандарты идентификации: OAuth 2.0, OpenID Connect, WebAuthn

Время на прочтение13 мин
Количество просмотров78K
Пускать или не пускать? Вот в чем вопрос…

Сейчас на многих сайтах мы видим возможность зарегистрироваться или войти с помощью соцсетей, а некоторые сайты предлагают использовать внешние ключи безопасности или отпечатки пальцев. Что это? Стандарты с хорошо проработанной безопасностью или проприетарные реализации? Можем ли мы доверять этим технологиям и использовать их для разработки сайтов и в повседневной жизни? Давайте разбираться. Итак, сейчас существуют несколько стандартов и технологий для идентификации пользователей OAuth 2.0,OpenID Connect, WebAuthn, SAML 2.0, Credential Management API и др. В статье я расскажу о трех наиболее перспективных протоколах OAuth 2.0, OpenID Connect и WebAuthn. И чтобы понять как их применять на практике, сделаем три лабораторные работы. В качестве платформ для идентификации пользователей будем использовать GitHub и Google, на которых у большинства есть аккаунты.

image
Читать дальше →
Всего голосов 19: ↑19 и ↓0+19
Комментарии21

Копирайтинг и дизайн табличек для милостыни. Обзор научных исследований

Время на прочтение5 мин
Количество просмотров26K


Как-то я увидела благотворительный проект от дизайнеров из Америки. Они переписывали плакаты для бездомных на дизайнерский лад. Получалось красиво, но никакой информации о том, стали ли бездомным лучше подавать после этого, не было.

Мне стало интересно, исследовал ли кто-нибудь, как влияет дизайн и копирайтинг на заработок бездомных, и я нашла пару интересных исследований.

Год выдался тяжелый, вдруг пригодится.
Читать дальше →
Всего голосов 59: ↑54 и ↓5+88
Комментарии37

Death Note, анонимность и энтропия

Время на прочтение16 мин
Количество просмотров75K


В начале “Death Note” местный гениальный детектив по сути занят деанонимизацией: он знает только то, что убийца существует где-то на планете. Никаких улик тот не оставляет, но довольно быстро оказывается пойман. Вообще-то хабр не площадка для обсуждения аниме, но такая же охота на того-не-знаю-кого порой случается и в реальном мире — достаточно вспомнить Сатоши Накамото, Dread Pirate Roberts или Q. Так что под катом перевод статьи (анонимного, кстати говоря, автора) о том, насколько происходящее в этом сериале связано с реальной анонимностью и что у его героя пошло не так.

Читать дальше →
Всего голосов 181: ↑181 и ↓0+181
Комментарии97

Мне нравятся картонные человечки

Время на прочтение7 мин
Количество просмотров25K
Краткое содержание статьи — в конце текста.

Леха – отличный парень. Хорошо работает, исполнительный, с идеями, перспективный. Сделали с ним пару отличных проектов. Но он бегает от уплаты алиментов на ребенка от первого брака. Прям приходит и просит, чтобы как-то скрыть его доход, и «платить ей поменьше».

Гена – нормальный менеджер. Веселый, разговорчивый, без понтов. Показатели в норме. Идеи по развитию и автоматизации есть. Но Гена – алкоголик. Начиная с пятницы он – другой человек. Бухает, бьет жену и детей, гоняет ночью пьяным на машине по городу, периодически попадает в нескучные истории.

Серега – нормальный программист. Сидит себе тихонько, разрабатывает. Можно и поговорить, он достаточно интересный собеседник, чувствуется большой жизненный опыт. Как разработчик – не плохой, но и не звезда. Крепкий середнячок. Но за пределами работы очень любит унижать людей, которые, в силу профессии, не всегда могут ему ответить. Продавцы супермаркетов, менеджеры салонов бытовой техники, мастера официальных автосервисов (те, что в костюмах, а не спецовке).

А я, когда всё это узнаю, думаю – ё ж твою через коромысло, вот нафига мне это знание?
Читать дальше →
Всего голосов 123: ↑102 и ↓21+81
Комментарии121

Облачный гейминг с открытым исходным кодом на WebRTC: p2p, мультиплеер, zero latency

Время на прочтение12 мин
Количество просмотров9.6K

ПО как услуга, инфраструктура как услуга, платформа как услуга, коммуникационная платформа как услуга, видеоконференции как услуга, а что насчет облачных игр как услуги? Уже было предпринято несколько попыток создания облачных игр (Cloud Gaming), например, Stadia, недавно запущенная компанией Google. Stadia не новичок в WebRTC, но могут ли другие использовать WebRTC так же?
Читать дальше →
Всего голосов 24: ↑24 и ↓0+24
Комментарии25

Маленькие хитрости SSH

Время на прочтение6 мин
Количество просмотров41K
В этой статье собраны наши лучшие приемы для более эффективного использования SSH. Из нее вы узнаете как:

  • Добавить второй фактор к логину SSH
  • Безопасно пользоваться agent forwarding
  • Выйти из вставшей SSH сессии
  • Сохранить постоянный терминал открытым
  • Поделиться удаленной сессией терминала с другом (без Zoom!)

Добавление второго фактора к своему SSH


Второй фактор аутентификации к своим SSH соединениям можно добавить пятью разными способами:

  1. Обновить свой OpenSSH и использовать ключ шифрования. В феврале 2020 года в OpenSSH была добавлена поддержка ключей шифрования FIDO U2F (Universal Second Factor). Это отличная новая функция, но есть нюанс: только те клиенты и серверы, которые обновились до версии OpenSSH 8.2 и выше смогут пользоваться ключами шифрования, так как февральское обновление вводит для них новые типы ключей. Командой ssh –V можно проверить клиентскую версию SSH, а серверную — командой nc [servername] 22
Читать дальше →
Всего голосов 42: ↑42 и ↓0+42
Комментарии22

Саморазвитие: как я не усидел на двух стульях и нашел третий

Время на прочтение19 мин
Количество просмотров41K


Всем привет! Я руковожу командой антиспама в Mail.ru Group, а также несколькими группами по машинному обучению. Тема этой статьи — саморазвитие для тимлидов/руководителей, но на самом деле многие техники и рецепты совершенно не зависят от роли. Для меня этот вопрос очень актуален, так как машинное обучение развивается крайне стремительно, и чтобы хотя бы быть в теме, надо потратить уйму времени. Поэтому вопрос, как и на что тратить время для развития, стоит достаточно остро.

Контент статьи, разумеется, не истина в последней инстанции, а всего лишь описание результатов моего продолжающегося квеста, в котором изложены сработавшие для меня подходы, основанные на книгах и тренингах, на пробах и ошибках. Буду рад подискутировать с вами в комментариях.
Читать дальше →
Всего голосов 44: ↑41 и ↓3+56
Комментарии27

Виза таланта в цифровых технологиях в Великобританию: личный опыт

Время на прочтение7 мин
Количество просмотров29K
Моя предыдущая статья на хабре про жизнь в Шотландии нашла очень большой отклик у хабрасообщества, поэтому я решил опубликовать тут еще одну статью которую об эмиграции, которую ранее публиковал на другой площадке.

Я живу Великобритании больше двух лет. Изначально, я сюда переехал по рабочей визе, которая накладывает на держателя определенные ограничения: можно работать только на ту компанию, которая вас пригласила, а для того чтобы получить постоянный вид на жительство, нужно прожить по рабочей визе пять лет. Так как страна в целом мне нравится, я решил попробовать повысить свой иммиграционный статус быстрее и получить “визу таланта” (Tier 1 Exceptional Talent). На мой взгляд эта виза — самая лучшая британская виза, про которую как ни странно далеко не все люди, рассматривающие возможность переезда сюда, знают.


Читать дальше →
Всего голосов 40: ↑36 и ↓4+49
Комментарии33

Как организовать успешный стартап?

Время на прочтение13 мин
Количество просмотров15K

Эта статья — почти точный транскрипт моего мастер-класса, который я провёл в офисе Mail.ru Group для студентов наших образовательных проектов.

Мне больше всего нравится такое определение стартапа: это что угодно, находящееся в состоянии высокой неопределенности. И сегодня я хочу вам рассказать, как организовать успешный стартап. Это сложная, но не очень глубокая тема.
Читать дальше →
Всего голосов 44: ↑43 и ↓1+62
Комментарии20
1
23 ...

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность