В этом году конкурс Hash Runner проводился в течение трех дней перед форумом Positive Hack Days, с семи вечера 16 мая до семи вечера 19 мая (время московское, UTC+4). Тем самым мы постарались учесть интересы всех команд, разбросанных по земному шару, и позволить участникам эффективно использовать все 48 часов выходных дней, в каком бы часовом поясе они ни находились. Многие написали нам, что играть на выходных действительно было очень удобно, так что постараемся делать так и впредь.

Итак, поздравляем победителей!

1. InsidePro с результатом 22.81% (write-up: www.phdays.ru/download/Write-up.pdf) выиграли две видеокарты R290x.
2. Hashcat с результатом 21.23% (write-up: hashcat.net/forum/thread-3397.html) выиграли видеокарту R290x.
3. John-users с результатом 12.78% (write-up: openwall.com/lists/john-users/2014/05/29/2) взяли бронзу.

Всем призерам мы вручили сувениры на память о форуме.

За трехлетнюю историю проведения конкурса победителями становились команды hashcat (выступавшие под названием teardrop в 2012 году), john-users (в 2013) и InsidePro (в 2014). Каждый раз бОльшую часть расшифрованных паролей участники загружали в последние 15 минут соревнования, поэтому только в самом конце становилось ясно, кто же победит. В прошлые два года команда InsidePro довольствовалась вторым местом: в 2012 их обошли hashcat, а в 2013 — john-users. В этом году ребята из InsidePro наконец-то стали первыми!

Как известно, с 25 января 2016 года российские провайдеры блокируют запросы к rutracker.org. Большинство пользователей используют различные способы обхода блокировки, коих довольно много: VPN, прокси-серверы, расширения к браузерам и т.д. Остаются доступными и зеркала Rutracker. Статистика фиксирует лишь незначительное снижение посещаемости, это можно объяснить тем, что многие пользователи теперь учитываются как один, потому что используют вышеупомянутые способы обхода блокировки.

Интересно, что в последние несколько дней (примерно с 25 февраля) от решения Мосгорсуда страдают и некоторые жители других стран, для которых Rutracker тоже стал недоступен. Дело в том, что с 25 февраля часть иностранного трафика пошла через сети в Москве, хотя отправители и получатель запроса (Rutracker) находятся за границей.

Причина этого ещё более интересна: для защиты от DDoS-атак владельцы Rutracker, судя по всему, воспользовались услугами российской компании!

Американские физики из Калифорнийского технологического института нашли теоретический способ извлечь информацию о частице, попавшей в чёрную дыру. Эта теория в перспективе может помочь решить проблему исчезновения информации в чёрной дыре, которую часто называют «теорема об отсутствии волос».

Теорема говорит о том, что все невращающиеся и незаряженные чёрные дыры одинаковой массы неотличимы друг от друга. Например, чёрная дыра, получившаяся из гравитационного коллапса вещества, и чёрная дыра той же массы, получившаяся из гравитационного коллапса антивещества, с точки зрения внешнего наблюдателя ничем не различаются. Таким образом, в процессе гравитационного коллапса для внешнего наблюдателя нарушаются законы сохранения квантовых чисел.

Стивен Хокинг в 1974 году предсказал существования излучения чёрной дыры, названного впоследствии его именем. Если пара частица-античастица рождается вблизи горизонта чёрной дыры, одна из них может избежать падения в дыру и устремиться в окружающее пространство. С точки зрения внешнего наблюдателя этот процесс будет выглядеть, как излучение чёрной дыры.

Этот пост о том, как обычный взлом обернулся муками совести и душевными терзаниями. Исходников будет не много, больше фоток и анализа. Итак, некто Вася работает «плохим парнем». Степень падения Васи такова, что средства на жизнь ему приносит поиск и разбор информации, доступ к которой был скомпрометирован вследствие неграмотного обслуживания, безалаберности или экономии на обслуживающем персонале.

Продолжаем перевод эссе и книги Пола Грэма «Хакеры и Художники».

«Мы гонялись за С++ программистами. Нам удалось перетащить их целую кучу на полпути к Lisp.»
Гай Стил, соавтор Java спецификации.

Оригинал — Revenge of the Nerds, Май 2002
За перевод спасибо Щёкотовой Яне.

Начало: Пол Грэм: «Месть ботанов», часть 1
Продолжение: Пол Грэм: «Месть ботанов», часть 2

Часть третья

Центростремительные силы

Я и не утверждаю, что при использовании нестандартных технологий не требуется никаких затрат. Не такими уж беспочвенными оказались опасения нашего начальника-профана. Но без осознания всех рисков он склонен к их преувеличению.

Сложна и непредсказуема карьерная лестница IT-шника. Иногда можно споткнуться и упасть только потому, что не поспеваешь за технологиями. Не будем впадать в панику, а будем учиться на ошибках других. Делимся.

У нас вышла новая книга, адресованная мальчикам и девочкам, которые любят играть в Minecraft и хотят научиться программированию, чтобы с помощью новых знаний добиться большего.



Книга специально написана для тех, кто не только любит играть, но и хочет создавать что-то новое. Вы с легкостью освоите программирование, просто играя в Minecraft. В этом вам помогут простые пошаговые инструкции, позволяющие не только написать программу на Python, но и построить дом, фантастическое сооружение или даже 3D-копировальную машину. Вы сможете создавать собственные интерактивные игры, заниматься поиском сокровищ и даже возводить невероятные гигантские 2D- и 3D-объекты (сферы и пирамиды).

Все в ваших силах — постройте работающие огромные Minecraft-часы, спланируйте нападение инопланетян и даже сражение. Навыки программирования, полученные в этой книге, позволят вам раскрыть невероятные возможности Minecraft, недоступные вашим друзьям и знакомым.

Привет, Хабр!



Три недели назад мы (дружная команда образовательного проекта Хекслет) опубликовали пост про наш новый проект — игру для программистов Codebattle. Напомню, идея игры очень простая: вам и сопернику дается задача, вы решаете ее на выбранном вами языке. Вы видите код соперника в реальном времени, результаты запуска тестов и можете общаться с ним и зрителями в чате. Кто первый решит задачу (удовлетворит тестам) — тот победил.

После публикации статьи у нас был веселый день. Легли под хабраэффектом и обнаружили несколько багов. Когда буря успокоилась, на арене снова закипела жизнь. В течение следующих двух недель мы решали три главные проблемы: производительность, борьба с читерством и возможность быстрого добавления новых языков. И решили их!

Встречайте — обновленный Codebattle! Вкратце:

1. Хабраэффект нам не страшен (тьфу-тьфу-тьфу)
2. Читерить больше не получится (нельзя подогнать решение под тесты)
3. Добавлять языки стало проще (сейчас уже есть clojure, ruby, js, python, php, java, erlang)

Подробности под катом →

Когда у Илона Маска, главы Tesla и SpaceX, спрашивают, как он научился строить ракеты, он дает простой ответ: «Я читаю книги». Предприниматель очень любит читать, и не пропускает возможности, чтобы изучить очередную книгу. При этом Маск читает как художественные книги, научно-популярную литературу, так и чисто технические издания, которые нужны для специалиста в той либо иной области науки или техники.

Когда Маск жил в Южной Африке (все его детство прошло именно в ЮАР), над ним насмехались сверстники, и он убегал в мир фантастики и фэнтези. Любимые его книги этого жанра — Джон Толкин и Айзек Азимов. Сейчас Маск выделяет 14 книг, которые изменили его самого и всю его жизнь.

Даже если просто просматривать заголовки новостей, то этого достаточно, чтобы понимать: в сфере информационной безопасности постоянно появляются новые угрозы и уязвимости. А потому предприятиям крайне важно иметь возможность осуществлять подготовку своих профессионалов в области безопасности в таком объеме, как того требует их стратегия ИТ-управления.

Это означает, что существует только один вопрос: как лучше всего, с одной стороны, специалистам получить адекватное обучение (что сделает их более востребованными на рынке труда), а с другой стороны, предприятиям улучшить свои протоколы и процедуры безопасности (и продемонстрировать своим клиентам чувство безопасности)?
Правильные решения – это сертификаты безопасности, которые допускают сочетания минимальных требований, стандартизированного языка и профессионального кодекса этики.

Если мы, как специалисты и руководители предприятий решили взять курс в управлении ИТ-безопасностью, то рекомендуется выбирать сертификаты ведущих международных и независимых организаций. С учетом этого, в данной статье мы приводим некоторые из доступных наиболее серьезных сертификационных программ:

CISA / CISM
CISA и CISM– это две основные аккредитации, выдаваемые ассоциацией

Хватит чистого теоретизирования о несовершенстве существующих систем защиты критической инфраструктуры — пора переходить к практической части. Мы предлагаем взять в руки шашки и попробовать взломать цифровую подстанцию. Да нет, не эту. Макет. Если быть абсолютно точным, то мы предлагаем принять участие в CTF-соревнованиях, в финале которых представится возможность попробовать на прочность действующую модель цифровой подстанции. Но обо всем по порядку.

Во всех делах очень полезно периодически ставить знак вопроса к тому, что Вы с давних пор считали не требующим доказательств. Бертран Рассел.

Несмотря на высокую популярность профессии, связанной с информационной безопасностью, даже в условиях кризиса рынок испытыват нехватку квалифицированных кадров. Как правило, уровнь подготовки соискателей не соответвует их финансовым ожиданиям. Таким образом, компании вынуждены нанимать низкоквалифицированных специалистов, что негативно отражается как на качестве работы, так и на мотивации и лояльности к работодателю.

Иранский исследователь Mohammad Reza Espargham обнаружил уязвимость RCE (remote code execution) в одной из популярнейших утилит для создания архивов — WinRAR. Данной утилитой пользуются порядка 500 миллионов пользователей по всему миру, что делает уязвимость достаточно распространенной.

Уязвимость содержится в недостаточной обработке данных из панели модуля «Text», вкладки «Text to display in SFX window». Атакующий может снабдить sfx архив дополнительной полезной нагрузкой (payload) для атаки на целевую систему. Опасность состоит в том, что пользователь, даже заподозрив и проверив файл антивирусом скорее всего не сможет обнаружить «скрытый сюрприз» во вложении архива.

Уязвимость связана с возможностью модификации самораспаковывающихся архивов (SFX) WinRAR таким образом, чтобы в момент запуска они запускали исполняемый код.

To follow the path:
look to the master,
follow the master,
walk with the master,
see through the master,
become the master.

«Лучший способ писать — это переписывать» Пол Грэм, «The Age of the Essay»

Преред курсом Сергея Абдульманова ( milfgard) я взял для себя квест — структурировать все статьи Грэма. Пол не только крутой программист и инвестор — он мастер лаконичного письма. Если milfgard назвал свой курс для контент-менеджеров "Буквы, которые стреляют в голову", то Пол Грэм стреляет из «по глазам» (кто играл в Fallout 2 тот поймет).

А еще мне захотелось освоить Lisp. Чисто так, чтобы мозг поразвивать, потому что крутые люди — Грэм, Кей и Рэймонд, Моррис — говорят хором: «Учите Lisp».

На данный момент Пол Грэм написал (по крайней мере, я нашел) 167 эссе. Из них на русский переведены 69.74(+10). Если читать по 1 статье в день (что очень хороший результат, потому что я после одной статьи хожу задумчивый неделю — голова кипит как после отличного мастер-класса, а иногда и как после двухдневного интенсива), то процесс займет полгода.

Под катом — список всех статей со ссылками на оригинал и с переводом (если он есть). Подборка живая (так что, как обычно, добавляйте в избранное, потом прочитаете) и будет дополняться по мере обнаружения свежака. Еще вы найдете переведенную на 8/15 книгу «Хакеры и художники» и 4/25 перевода книги «On Lisp». Так же я приведу свою подборку топ-5 статей Пола Грэма, с которых я бы рекомендовал начать знакомство с этим автором.

При поддержке Минобрнауки в Москве официально запустилась «Российская национальная платформа открытого образования», созданная ведущими вузами страны. Планируется, что уже через несколько лет на бесплатных онлайн-курсах будет заниматься миллион студентов из России и других стран. А их виртуальные оценки попадут в настоящие дипломы и резюме. Теперь пользователи смогут за несколько месяцев получить знания по конкретной специальности, вместо того чтобы три-пять лет изучать огромное количество зачастую ненужных предметов.

Фантастика как жанр заставляет читателей и писателей выйти за пределы разумного, дать волю своему воображению и отправиться в неизведанные миры. За это мы и любим этот жанр. RoboHunter этой осенью предлагает с головой погрузиться в мир научной фантастики.

Привет!
Я сварганил на день сисадмина zip-квест. Вот здесь забирайте архив, и вперёд.

Что надо знать:

• Вы играете за космического админа, впервые ушедшего за пределы орбиты Земли. Он – это вы, только меньше и другой.
• Каждый уровень – это подархив, пароль от него можно достать, пользуясь информацией с предыдущих уровней.
• Поскольку у нас русский космос, пароли могут содержать русские символы, куски кода даже с комментариями, всякий треш и быть регистрозависимыми.

История о том, как я создал и развивал фанатскую группу, и как ее у меня отобрали.

«… Ты человек жестокий: берешь, чего не клал, и жнешь, чего не сеял».
От Луки (гл. 19, ст. 21):

В далеком 2007 году я на добровольных началах, не являясь сотрудником фирмы Доктор Веб (c одобрения ее сотрудников, с которыми я общался на официальном форуме), создал фанатскую группу во Вконтакте vk.com/drwebuser (обратите внимание на адрес группы, я оставил возможность фирме создать vk.com/drweb), объединяющую «счастливых» пользователей антивирусных продуктов данной компании. На самом деле не всегда счастливых, а часто заложников этих продуктов, потому что решения о выборе антивирусного ПО, часто принимаются руководителями организаций, и у юзеров не остается выбора чем пользоваться. Поэтому кроме развития данной группы, я добровольно и без вознаграждения длительное время в ней занимался технической и моральной поддержкой пользователей антивирусов Доктор Веб.



Почему я вообще создал подобную группу? Потому что меня интересовала антивирусная защита и методы борьбы с вирусами, и профессиональный своевременный обмен опытом на данную тему. Это ведь была золотая эпоха зарождения и расцвета винлокеров и USB-авторанеров. И я не одну организацию избавил от этих напастей и не мало неизвестных семплов послал в антивирусную лабораторию Доктора Веба.

Гарвардский университет составил список фильмов, которые рекомендуют к просмотру соискателям кандидатской степени в киноведении. В него вошли 800 картин, в том числе ключевые фильмы в истории мирового кино, а также  лучшие образцы голливудских жанровых фильмов. Для своих читателей  редакция Robohunter из списка выбрала самые интересные научно-фантастические ленты, которые стоит посмотреть.

На сегодняшний день самыми популярными дистрибутивами для тестирования на проникновение являются *nix-like дистрибутивы: Kali Linux, BlackArch Linux, Pentoo, Whonix и многие другие. Они могут использоваться как в виртуальной среде, так и в качестве live системы или вообще быть установлены в виде десктопной ОС.

Windows пользователи до недавнего времени были обделены (виртуальные машины не берем во внимание) такими сборками, пока не появилась волшебная коробочка — PentestBox.