Приветствую, коллеги!
Традиционным устройством для проведения атаки на сети Wi-Fi, пожалуй, является ноутбук. Это обусловлено многими факторами: возможностью использования «специфичных» модулей Wi-Fi, наличием необходимого ПО и достаточной вычислительной мощностью. Поэтому «классическим» образом злоумышленника является человек в машине с ноутбуком и торчащей из окна антенной. Но развитие мобильных платформ не стоит на месте, и многие операции давно уже можно выполнять «из кармана».

Многие из нас пользуются «яблочными» устройствами на операционной системе iOS. И ни для кого не является секретом, что iOS является по-сути представителем *nix-семейства со всеми вытекающими из этого плюсами, в числе которых и возможность использовать многие классические pentest-приложения. Сегодня мне хотелось бы рассказать об инструментах для проведения простейшей классической атаки Man in the Middle на клиентов сети Wi-Fi с использованием метода arp poisoning.

Сегодня идет множество дискуссий насчет сроков по внедрению IPv6 везде и всюду. Но очевидно одно: без телодвижений крупных компаний ничего не выйдет. Google уже использует IPv6, существуют сети, которые предоставляют IPv6, в том числе некоммерческие.
В этом посте я хотел бы рассказать не только как приобщиться к миру IPv6, но и некоторые тонкости, связанные с ним, о которые мне пришлось споткнуться.
В данном случае рассматривается не самый тривиальный сценарий настройки, в котором используется домашний сервер и вы полностью распоряжаетесь выделенным вам адресным пространством.

Как менеджер проектов в своё время я попытался интегрировать различные Agile/SCRUM методики в свою повседневную жизнь. Ведь она тоже в каком то смысле является долгосрочным и довольно динамичным проектом.

Неоднократно пробовал использовать популярные GTD инструменты, но в итоге именно Google календарь ввиду своей наглядности и привязке ко времени — оказался наиболее эффективным. Получается такой вот Self SCRUM Board с итерациями и планерками :)

Уважаемые друзья, как и планировалось, продолжаю цикл статей 2012 года (первая), об актуальных технологиях и оборудовании для беспроводной передачи HDMI и высококачественного аудио-видео сигнала.
В этой части речь пойдёт о т.н видеосендерах (см. подробное определение в одной из статей), а если лень идти по ссылке, то вот общая схема для всех видеосендеров (светлая коробочка — передатчик(трансмиттер), тёмная — приёмник(ресивер)):

Собственно говоря, сам по себе мобильный терминал, через который можно оплачивать платежи, не новинка. Но вот то, что такой терминал выпущен этой платежной системой, это новость. Возможно, кому-то из представителей хабрасообщества такой терминал может пригодиться. Ну, а кому-то просто интересно будет узнать о новой возможности.

Канал GTV представляет полную версию документального фильма на русском языке о всемирно известной интернет-энциклопедии Wikipedia.

Связавшись с правообладателем, редакция канала получила право на перевод и бесплатную трансляцию фильма в рунете.

Преамбула

Как известно, знание функции VLOOKUP в MS EXCEL, достаточно чтобы в Москве стать средним аналитиком. Если человек знаком еще и с PIVOT или например знает как убрать дубликаты из списка — все двери в счастливый офисный мир перед ним настежь раскыты.

У сообщества Хабрахабр, конечно, такие знания могут вызвать лишь улыбку умиления. Работать с данными (если вообще до этого снисходить) допустимо только на олдскульном ANSI T-SQL — 92.

Но иногда суровая реальность заставляет сравнивать массивы данных. При этом, как правило, нет времени на перенос данных в СУБД, либо это просто нецелесообразно. Поэтому предлагаю уважаемому сообществу поделиться друг с другом своими «фишками» для удобной и быстрой обработки данных в EXCEL. Не пропадать же добру…

Представьте, что мощные и прожорливые десктопные приложения наподобие Photoshop, AutoCAD или современных игр, могли бы работать как веб-приложения — без длительного скачивания и установки, без привязки к конкретному устройству, и при этом сохраняли бы работоспособность даже при обрыве связи. Технология Сloudpaging от стартапа Numecent позволяет делать именно это. Cloudpaging объединяет три давно известных технологии (виртуализация приложений, динамическая загрузка страниц памяти и облачные сервисы) в нечто качественно новое. Любое Windows-приложение автоматически виртуализируется и разбивается на маленькие фрагменты-страницы, которые могут скачиваться с сервера в любом порядке. На стороне клиента виртуальный блок управления памятью загружает в RAM только те фрагменты кода, библиотеки и ресурсы, которые необходимы в данный момент, подгружая остальное с сервера по мере необходимости. Все полученные с сервера страницы сохраняются в кэше на диске, и при обрыве связи приложение продолжит работать до тех пор, пока ему не потребуется страница, которой в кэше нет.

Для тех кто только собирается начать работать в среде электронной коммерции есть стразу несколько хороших новостей.

Во-первых, численность интернет-пользователей у нас в России на начало 2011 года превысила 46 млн. человек, что составляет более 52% от общего взрослого населения страны (+18). Если взять аналогичный период 2010 года, то прирост пользователей составил порядка 9%. Это данные организации «Мир Интернета».

Во-вторых, это данные агентства Data Insight, в 2010 году 12,5 миллиона покупателей потратили на онлайн-покупки в России 240 миллиардов рублей (7 млрд.$). По другим данным цифра чуть скромнее, потому что не брался в расчет рынок B2B, но все равно цифры заставляют задуматься. Стоит так же отметить, что по данным Яндекс.Маркет за 2011 год рынок интернет-торговли вырос по сравнению с 2010 годом примерно на 25%. К примеру, интернет магазин Озон за первое полугодие этого года вырос на 36%.

Иногда мы встречаем ситуации с полной неопределенностью. Причем эта неопределенность лезет со всех сторон. Иногда даже из тех мест, где мы считали, что все бреши надежно покрыты сталью. Причины могут быть разные. Как мы сами, так и помощь со стороны. Но даже в этом бардаке есть свой порядок, и им можно управлять.

Фильтр

Есть множество методов, которые позволяют держать все под контролем и полностью управлять процессом. И если Вам не знакомы такие ситуации, то, пожалуйста, давайте оставим споры – они будут длительными и бесполезными.
Так как задача данной статьи не в выборе наиболее подходящей гильотины или наиболее крепкой веревки для совершения экзекуции. И не в том, чтобы обвинять кого-то в чем-то или развивать тоскливые настроения. А в предоставлении варианта выхода.

Надеюсь, фильтр сработает, и мы сохраним друг другу нервные клетки. Потому что статья большая, и вопросов будет много.

Итак, приступим. Будем идти постепенно, чтобы мыслями окунуться в происходящее.

Существует разговорный глагол «просчитывать», что означает — моделировать в голове различные варианты развития события и последствия. Сегодня хочется поговорить об умении просчитывать ходы, и почему это является важнейшим умением в жизни.

Для начала небольшое введение. Не задумывались, почему многие великие люди любят шахматы? Почему Сергей Галицкий (миллиардер, с нуля построил сеть «Магнит»), говоря о важных для начинающих бизнесмена вещах, сказал в первую очередь о логике (кстати, в шахматах Сергей хорошо поднаторел в свое время). Почему о той же логики говорит известный блоггер Фриц Морген. А выдающий бизнесмен Дмитрий Потапенко, рассказывая о том, как ему удалось построить свои сети магазинов и ресторах, при моделировании бизнес-процессов предлагает пользоваться блок-схемами алгоритмов из восьмого класса?

Потому что они умеют раскладывать задачи в голове на несколько итераций, несколько шагов.

Пару лет назад я сильно заинтересовался UX и всем, что с ним связано. Постепенно пришло понимание, насколько важна визуализация информации, особенно сейчас. Прочитав Тафти, Кливеленда и Бертена, просто невозможно не думать в этом направлении. Постоянно приходят в голову идеи, как сделать вещи (в частности, в нашем продукте) более визуальными, более понятными.

Ниже я попытался показать, почему визуализация информации важна, рассказать о ее базовых принципах и показать несколько классных примеров. Заранее прошу прощения за парочку скучных определений и отсутствие шуток в статье. Это сделано намеренно. Статья дэдли сериоус.

И, как обычно, прощу прощения за объем статьи. Но, надеюсь, вам будет интересно дочитать до конца.

UPD: Продолжение статьи с примером техзадания

Не так давно на хабре были две статьи (Согласно техническому заданию и А зачем мне ТЗ? Я и так знаю!) посвященные техническим заданиям. У меня обе статьи вызвали, мягко говоря, недоумение, в особенности статья «Согласно техническому заданию». На мой взгляд, это вообще вредная статья, которая приводит к неверному понимаю сути ТЗ. В связи с этим хочу выразить свой взгляд на этот вопрос. Не буду говорить обо всех тех. заданиях, слишком широка тема, но думаю смогу рассказать о ТЗ на сайт.

То описание технического задания, о котором речь пойдет ниже, не является пересказом ГОСТа, но скорее является его творческой переработкой, хорошо сдобренной горьким опытом. Описанный ниже подход к ТЗ не охватывает все аспекты сайтостроения, но задает общее направление.

Большинство сайтов можно отнести к маленьким и очень маленьким проектам, масштаба единиц человеко-месяцев. В силу малости размеров такие проекты спокойно поддаются хорошему продумыванию и легко реализуются с помощью водопадной модели, достаточно просто не лениться на каждом этапе разработки (от написания ТЗ до сдачи проекта). Применять к этим проектам гибкие методологии разработки нет смысла, а как раз есть смысл применять хорошее ТЗ. К тем сайтам, которые не попадают под водопадную модель не стоит применять описанный ниже подход.

1. Обоснование необходимости ТЗ

А зачем вообще нужно ТЗ на сайт? Заказчик говорит: «Нужен следующий сайт: каталог товаров, корзина, форма заказа, доставка, мы на карте, о нас, обратная связь». Что не ясно? Ничего необычного, всё обыденно и рутинно.

Разработчик отчетливо представляет, что нужно сделать, а сделать, в его понимании нужно вот так:

Агентство национальной безопасности США рассекретило изумительные письма, которые знаменитый математик Джон Нэш отправил им в 1955 году.

Джон Нэш предложил для тех времён совершенно революционную идею: использовать в криптографии теорию сложности вычислений. Если прочитать письмо от 18 января 1955 года, то вызывает восхищение, насколько пророческим оказался анализ Нэша о вычислительной сложности и криптостойкости. Именно на этих принципах основана современная криптография. Первая работа в этой области была опубликована только в 1975 году.

Отсканированные копии рукописных писем Джона Нэша

В своё время власти так и не проявили интереса к работе чудаковатого профессора математики. Или, что тоже возможно, использовали идеи Нэша втайне от него.

11 марта в 2004 году в Мадриде произошли три одновременных взрыва, в результате которых погибло 192 человека и было ранено огромное количество невинных людей. Так как взрывы прогремели в трех разных частях города, на железнодорожных станциях, экстренным службам Мадрида было трудно координировать работу, адекватно справиться с последствиями теракта и предоставить первую помощь всем нуждающимся. Испанские власти извлекли урок из этого трагического события и призвали компанию IBM помочь построить единую информационную, аналитическую систему поддержки принятия решений, которая бы объединяла все службы города (полицию, пожарную, скорую) и давала возможность получать доступ к единой информации из любых мест и источников.

Я уже описывал в статье «Консолидация CAD-систем» решение, позволяющее обеспечить удаленную работу на профессиональной графической станции через PCoIP. Но эта технология позволяет реализовать подключение 1:1, т.е. один пользователь работает удаленно на одной физической графической станции. Такая реализация подходит под узкий круг задач и не позволяет нескольким пользователям одновременно использовать аппаратные ресурсы графической станции. Для того чтобы обеспечить многопользовательский доступ к одной аппаратной платформе необходимо прибегнуть к виртуализации.
На сегодняшний день существует несколько продуктов, позволяющих использовать в виртуальной машине ресурсы 3D-видеоадаптера. Одни из наиболее популярных решений – это Microsoft RemoteFX, Citrix HDX 3D Professional Graphics, VMware View и Parallels Workstation Extreme.
Инженеры DEPO Computers на протяжении многих месяцев проводят исследование и тестирование этих технологий, оптимизируют настройки, дорабатывают конфигурацию. Основной задачей является виртуализация с эффективным использованием физического графического процессора в виртуальной машине для работы в тяжелых CAD-приложениях. В реализации подобного решения существует две основные трудности: возможность виртуальной машины использовать максимум функционала 3D-видеокарты, и способность протокола передачи данных обеспечить максимум качества и производительности. Технологиям RemoteFX и HDX 3D Pro я планирую посвятить отдельные статьи.
Решение Parallels Workstation Extreme, в отличие от остальных примеров, с помощью PCoIP-карты поддерживает аппаратное сжатие передаваемого по сети потока. В связи с этим оно способно обеспечить наилучший результат по производительности.

Описание “жизненного пути” от программного инструмента к аппаратному решению.

Прошлое

С 2008 года начал работать дома. Очень важный для работы с моими клиентами вопрос голосовой / телефонной связи решился установкой на ноутбук софтфона и подключения к рабочей IP АТС по SIP. “Аппаратно” это решалось самой простой проводной гарнитурой и дополнительным USB аудиоадаптером, т.к. используемые Macbook-и не имели микрофонного входа.

Нравились следующие особенности:

• “Свобода рук” — возможность полноценной работы на компьютере во время телефонного разговора. Актуально при консультации клиентов с необходимостью что-то писать в CRM или искать информацию в документации.
• Набор номера копированием из CRM или какого-либо текстового источника (сайта).
• Компактность, что важно при выездах из дома в офис.

Сегодня на рынке информационных технологий имеется большое количество различных решений, позволяющих пользователю работать с удаленным рабочим столом — терминальный доступ от Microsoft, XenApp от Citrix, Leostream, Quest Software и т. п., либо же решения с применением средств виртуализации — VMware View, XenDesktop и другие.

В основной своей массе администраторы систем, так же как и их руководители, рассматривают только коммерческие решения, и мало кто обращает внимание на бесплатные продукты. Все дело в нашей психологии — мы всегда с подозрением относимся к бесплатному! Это становится основным аргументом при выборе продукта, все ищут какой-то подвох.

Мы разворачиваем множество различных продуктов на тестовой площадке DEPO Computers, и среди них было одно бесплатное решение по доставке рабочих столов, которое нам очень понравилось.

Перевод небольшой заметки Джоэля Спольски (Joel Spolsky) "Let's Stop Talking About Backups". Джоэль — один из создателей stackoverflow.com и ведущий блога joelonsoftware.com.

Вы бэкапите данные со своей рабочей машины?

А с производственных серверов?

Вы храните бэкапы на том же диске, или переносите их на другую машину?

Переносите ли вы серверные бэкапы в другой дата-центр?

Всё это — стандартный набор вопросов для проверки квалификации системного администратора.

Тем не менее, я предлагаю на секунду отвлечься от идеи создания резервных копий. Просто делать их недостаточно. Любой администратор имеет хорошо продуманную и настроенную систему резервного копирования. Проблемы начинаются, когда сделанный бэкап нужно восстановить.

Ведь в этом случае выясняется, что:

После скучного рассказа о подключении к кошкам переходим к настройке сети. В этот раз темы будут для новичков сложные, для старичков избитые. Впрочем сетевым аксакалам едва ли удастся почерпнуть что-то новое из этого цикла. Итак, сегодня:
а) аккуратно впитываем теорию о коммутаторах, уровнях сетевой модели, понятии инкапсуляции и заголовков (не пугайтесь — еще не время),
б) собираем спланированную в нулевой части цикла сеть,
в) настраиваем VLAN'ы, разбираемся с access и trunk-портами и тегированными Ethernet-фреймами,
г) соотносим текущие знания со стеком протоколов TCP/IP и моделью OSI (да, наконец-то мы ее коснёмся).



Перед тем, как вы обратитесь к практике, настоятельно рекомендуем почитать нулевую часть, где мы всё спланировали и запротоколировали.