Как стать автором
Обновить
0
Карма
0
Рейтинг
Александр Федоров @Vergileey

Пользователь

  • Подписчики
  • Подписки 1
  • Публикации
  • Комментарии

Правила удалённой работы на все времена (восемь штук)

Блог компании Хабр Карьера Фриланс Управление персоналом *Здоровье Удалённая работа

Google, Яндекс, а вслед за ними и другие компании изо всех сил стараются сделать офисы удобными и уютными, а процессы простыми и понятными. И дело не в том, что им некуда девать деньги, просто чтобы люди были эффективны, нужно продумать рабочее пространство и организовать всё так, чтобы сотрудники не уставали, могли легко сосредоточиться, меньше времени проводили на больничных и больше — в офисе. И если у IT-компаний получается делать классные рабочие места и настраивать процессы для тысяч людей сразу, получится и у вас — для себя лично. Сделать удаленную работу из дома комфортной не так уж и сложно, если учесть некоторые штуки, о которых нам рассказали опытные ребята: врачи, эйчары и удаленщики со стажем. Начнем с самых основ, а закончим «тонкой настройкой».

Читать далее
Всего голосов 29: ↑25 и ↓4 +21
Просмотры 14K
Комментарии 3

Security Week 38: MITM-атака на карты Visa

Блог компании «Лаборатория Касперского» Информационная безопасность *
Уязвимости в кредитных картах встречаются редко: хотя интерес киберпреступников здесь очевиден, сами платежные карты достаточно хорошо защищены. Их безопасность регулярно проверяют уже много лет, а к участникам рынка предъявляют весьма высокие требования. Пожалуй, последнее масштабное мошенничество с кредитками происходило в США, и то из-за устаревшей инфраструктуры, зависящей от ненадежного метода хранения данных на магнитной полосе. Данные кредиток крадут, используют для покупок в Сети и обналичивания, но вот сами карты с чипом взломать не так легко: если PIN-код не написан прямо на украденной карте, скорее всего, воры ничего не получат. Разве что смогут оплатить покупку бесконтактным методом, не требующим PIN-кода. Но тут вступает в силу ограничение на сумму покупки.



Исследователи из Швейцарской высшей технической школы Цюриха нашли уязвимость как раз в способе авторизации бесконтактных платежей, применяемом в платежных картах Visa. Она позволяет выходить за рамки лимита на операции без введения PIN-кода. А это значит, что в случае кражи злоумышленники могут оплатить картой очень дорогой товар.

На PoC-видео заметна интересная деталь: используются два смартфона, один считывает данные с кредитной карты, другой подносится к платежному терминалу. Предполагается, что карту красть даже не обязательно, достаточно удачно приложиться к кредитке в нужный момент. Ранее подобные атаки на систему бесконтактных платежей были попросту непрактичными. Такими они и остаются, но исследование делает их чуть более опасными, чем хотелось бы.
Всего голосов 11: ↑11 и ↓0 +11
Просмотры 5.4K
Комментарии 5

Исследуем активность группировки Wintti: бэкдоры Shadowpad, xDLL и новые утилиты развития атак

Блог компании Positive Technologies Информационная безопасность *

В марте 2020, в рамках исследования угроз информационной безопасности, специалисты PT Expert Security Center обнаружили неизвестный ранее бэкдор и назвали его xDll, по оригинальному названию в коде. Из-за ошибки конфигурации контрольного сервера некоторые из директорий стали доступны извне. 

На сервере были обнаружены новые образцы вредоносного ПО, включая бэкдор Shadowpad, бэкдор xDll, неизвестный ранее Python-бэкдор, утилиты для развития атаки и т.д. Именно Shadowpad позволил связать новый бэкдор и обнаруженные инструменты с кибергруппировкой Winnti и проанализировать возможную связь этой группы с другими масштабными кибератаками.

Полная версия исследования доступна по ссылке, а в этой статье мы перечислим главные факты и выводы.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 1.9K
Комментарии 0

Руководство по безопасности DNS

Блог компании Varonis Systems Информационная безопасность *Системное администрирование *IT-инфраструктура *DNS *
Перевод


Чем бы ни занималась компания, безопасность DNS должна являться неотъемлемой частью ее плана по обеспечению безопасности. Службы обработки имен, преобразовывающие имена сетевых узлов в IP-адреса, используются буквально всеми приложениями и службами в сети.

Если злоумышленник получит контроль над DNS организации, то сможет без проблем:
  • передать себе управление над ресурсами, находящимися в общем доступе
  • перенаправить входящие электронные письма, а также веб-запросы и попытки аутентификации
  • создавать и подтверждать сертификаты SSL/TLS

Данное руководство рассматривает безопасность DNS с двух сторон:
  1. Осуществление постоянного мониторинга и контроля над DNS
  2. Как новые протоколы DNS, такие как DNSSEC, DOH и DoT, способны помочь защитить целостность и конфиденциальность передаваемых DNS-запросов

Читать дальше →
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 9.2K
Комментарии 3

Реализация ARP-спуфинга на Python

Информационная безопасность *Open source *Python *Сетевые технологии *

Введение


В данной статье я бы хотел продемонстрировать то, как можно реализовать собственную программу ARP-спуфинга на Python. Реализаций уже тысячи, но почти все они с использованием библиотеки Scapy и пары методов. Возможно данную библиотеку использовать эффективнее, не спорю, но мне было интересно реализовать самому с помощью сокетов и я бы хотел поведать читателям о том, как это делается.

Предполагается, что Вы уже знакомы с тем, как работает ARP-протокол и его недостатком, если нет, то советую прочитать вот эту статью.

Я не являюсь высококвалифицированным специалистом Информационной Безопасности, поэтому прошу тапками не кидать, а любые неточности оговорить в комментариях.
Читать дальше →
Всего голосов 24: ↑24 и ↓0 +24
Просмотры 10K
Комментарии 4

Атака канального уровня ARP-spoofing и как защитить коммутатор Cisco

Информационная безопасность *
Данная статья не является руководством для кулхацкеров. Все ниже написанное является частью изучения курса Cisco SECURE.
В данном материале я покажу как на практике провести атаку канального уровня на коммутатор Cisco, а также покажу как защитить свою сеть от этого. Для лабораторного стенда я использовал Cisco 881 и Catalyst 3750G.
Наверное все, кто сталкивался хоть немного с сетями знают, что такое протокол ARP.
Вкратце напомню. Протокол ARP используется для преобразования IP-адреса в MAC-адрес. Рассмотрим такую топологию:


Читать дальше →
Всего голосов 15: ↑12 и ↓3 +9
Просмотры 97K
Комментарии 21

Сон и продолжительность жизни. Пандемия недосыпа

Блог компании Lifext Мозг Здоровье

О времена, о нравы.


Мир переживает пандемию ковида, учёные в сжатые сроки пытаются изобрести вакцину, чтобы спасти как можно больше людей. Но задумывались ли вы когда-нибудь, как влияет на жизни казалось бы банальный недосып?


Он не станет явной причиной смерти человека, ведь каждый сам расставляет приоритеты и решает, спать ему или нет. Отсутствие здорового сна незаметно подтачивает внутренние ресурсы: влияет на восприятие мира, мешает восстановительным процессам и буквально захламляет нам мозг.


«Вот бы вообще не спать, я бы столько всего успевал сделать!» — наверное, так мечтал почти каждый.


Есть и те, кто относятся ко сну с пренебрежением: «Лягу сегодня попозже, часа в 3 ночи». Неважно, остались ли незаконченные дела у человека или он решил досмотреть сериал — так повторяется изо дня в день. А вставать, как всегда, по будильнику в 7:00. Кто-то даже гордится тем, как мало он спит. Подумаешь недосып?


Есть ли тут повод для гордости? Скорее наоборот.


Сегодня команда Lifext расскажет:



image

Читать дальше →
Всего голосов 47: ↑47 и ↓0 +47
Просмотры 55K
Комментарии 105

Простой UDP hole punching на примере IPIP-туннеля

Информационная безопасность *Сетевые технологии *Разработка для интернета вещей *
Доброе время суток!

В этой статье хочу рассказать как я реализовал (еще один) скрипт на Bash для соединения двух компьютеров, находящимися за NAT, с использованием технологии UDP hole punching на примере ОС Ubuntu/Debian.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 5.1K
Комментарии 10

Ищем уязвимости в TikTok при помощи OSINT

Блог компании Postuf Информационная безопасность *


Вступление


TikTok — одно из самых популярных приложений для просмотра мобильного видео. В нём зарегистрировано 800 миллионов пользователей. Пользователи создают контент с помощью фильтров, музыки, эффектов. Видео создаются странные, но захватывающие внимание.

Для столь обширной и популярной платформы развлечения есть очень большой пласт минусов, которые постепенно становятся явными для СМИ. Незащищенный HTTP трафик и спуфинг СМС ссылок — это конкретные примеры уязвимости, которые были обнаружены в приложении за последние 3 месяца. Несмотря на это, люди продолжают публиковать видео. Показывают, в какие школы они ходят, видео внутри и за пределами своих домов и даже раздают телефонные номера и другую личную информацию. Именно с этой темы стоит и начать нашу статью.
Читать дальше →
Всего голосов 15: ↑13 и ↓2 +11
Просмотры 11K
Комментарии 13

Vue.js для начинающих, урок 1: экземпляр Vue

Блог компании RUVDS.com Разработка веб-сайтов *JavaScript *VueJS *
Перевод
Tutorial
Сегодня мы предлагаем вашему вниманию перевод первого урока учебного курса по Vue.js для начинающих. Его порекомендовала Наталья Теплухина, Staff Engineer в Gitlab и Core Team Member фреймворка Vue (Q/A сессия с Наташей прошла в нашем инстаграм, а расшифровку можно прочитать здесь)

Оригинал курса на английском вышел на сайте vuemastery.com, мы подготовили для вас перевод на русский. Освоив первый урок, вы узнаете о том, что такое экземпляр Vue, и о том, как приступить к разработке собственных Vue-приложений.


Читать дальше →
Всего голосов 32: ↑29 и ↓3 +26
Просмотры 53K
Комментарии 18

Байка про то, как я с помощью ZeroTier и USB/IP на VDS/VPS USB-порты МОСТырил

Системное администрирование *IT-инфраструктура *Сетевые технологии *Серверное администрирование *Сетевое оборудование
🔥 Технотекст 2020


Прошла неделя, как завершился внешний проект по миграции части ИТ-инфраструктуры одной компании с локальных на арендуемые вычислительные ресурсы. Проект в котором меня, когда я размышлял над моделью подключения USB-токенов к VDS/VPS и подбирал готовые для этой задачи решения, посетила одна занятная идея — собрать собственное на базе «открытого» ПО.

Поводом для «появления на свет» идеи стало желание продемонстрировать заказчику, что «создать решение или решить проблему можно несколькими способами, но, не всегда самый дорогой или/и популярный способ — самый эффективный!» Ну, и… чуток «завернуть» бюджет проекта, не только по услугам, но и по софту и железу, на себя, «импортозамещая» продукцию: FabulaTech, Digi и подобных компаний. :)

Как ни странно, процесс создания решения поначалу показался занятием непростым и не благодарным, но потом «затянул» так, что побудил собрать такое же решение и для себя, но уже для других целей. О чём и расскажу в этой статье.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 2K
Комментарии 0

Как мы взламывали «умную» фабрику

Блог компании Trend Micro Информационная безопасность *Исследования и прогнозы в IT Искусственный интеллект
image

Хотя процесс подключения предприятий к интернету давно уже носит массовый характер, с точки зрения кибербезопасности каждый такой случай уникален, и охватить все возможные варианты нереально. В рамках нашего нового исследования Attacks on smart manufacturing systems мы сосредоточились на изучении одного производственного объекта, а в этом посте делимся некоторыми важными выводами.

Объект исследования


Сложность интеллектуальных производственных систем настолько велика, что трудно дать им точное формальное определение. На сегодня понятия эталонной производственной инфраструктуры не существует даже в виде концепции. Однако с ростом сложности увеличивается также количество угроз, расширяется периметр, на который могут воздействовать киберпреступники, преследующие различные цели.

Не пытаясь объять необъятное, мы решили сфокусировать внимание на одном экземпляре интеллектуальной производственной системы, в составе которой имеются как аппаратные, так и программные компоненты в виде управляющего ПО, средств разработки и мониторинга.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 3.5K
Комментарии 0

Почему список в кортеже ведет себя странно в Python?

Блог компании ДомКлик Python *Программирование *
🔥 Технотекст 2020
В языках программирования меня всегда интересовало их внутреннее устройство. Как работает тот или иной оператор? Почему лучше писать так, а не иначе? Подобные вопросы не всегда помогают решить задачу «здесь и сейчас», но в долгосрочной перспективе формируют общую картину языка программирования. Сегодня я хочу поделиться результатом одного из таких погружений и ответить на вопрос, что происходит при модификации tuple'а в list'е.
Читать дальше →
Всего голосов 106: ↑104 и ↓2 +102
Просмотры 17K
Комментарии 51

Я есть root. Разбираемся в повышении привилегий ОS Linux

Блог компании Инфосистемы Джет Информационная безопасность *
Tutorial

Первый квартал 2020 года я провел за подготовкой к экзамену OSCP. Поиск информации в Google и множество «слепых» попыток отнимали у меня все свободное время. Особенно непросто оказалось разобраться в механизмах повышения привилегий. Курс PWK уделяет этой теме большое внимание, однако методических материалов всегда недостаточно. В Интернете есть куча мануалов с полезными командами, но я не сторонник слепого следования рекомендациям без понимания, к чему это приведет.


Мне хочется поделиться с вами тем, что удалось узнать за время подготовки и успешной сдачи экзамена (включая периодические набеги на Hack The Box). Я испытывал сильнейшее ощущение благодарности к каждой крупице информации, которая помогала мне пройти путь Try Harder более осознанно, сейчас мое время отдать должное комьюнити.


Я хочу дать вам мануал по повышению привилегий в OS Linux, включающий в себя разбор наиболее частых векторов и смежных фишек, которые вам обязательно пригодятся. Зачастую сами механизмы повышения привилегий достаточно несложные, трудности возникают при структурировании и анализе информации. Поэтому я решил начать с «обзорной экскурсии» и далее рассматривать каждый вектор в отдельной статье. Надеюсь, я сэкономлю вам время на изучение темы.


Читать дальше →
Всего голосов 54: ↑49 и ↓5 +44
Просмотры 34K
Комментарии 26

BLE под микроскопом (ATTы GATTы...)

Беспроводные технологии *Стандарты связи
🔥 Технотекст 2020
image

BLE под микроскопом (ATTы GATTы...)

Часть 1, обзорная

Уже прошло довольно большое время, с тех пор, когда вышла первая спецификация на Bluetooth 4.0. И, хотя тема BLE очень интересна, она до сих пор отталкивает многих разработчиков, из-за своей сложности. В своих предыдущих статьях я рассматривал в основном самый нижний уровень Link Layer и Physical Layer. Это позволяло не обращаться к таким сложным и запутанным понятиям как протокол атрибутов(ATT) и общий профиль атрибутов (GATT). Однако деваться некуда, не понимая их, невозможно разрабатывать совместимые устройства. Сегодня я хотел бы поделиться с вами этими знаниями. В своей статье я буду опираться на учебник для начинающих с сайта Nordic-а. Итак, давайте приступим.
Читать дальше →
Всего голосов 27: ↑27 и ↓0 +27
Просмотры 11K
Комментарии 20

Основы надежной передачи данных

Сетевые технологии *Go *Учебный процесс в IT Карьера в IT-индустрии
Tutorial

КПДВ


Тем, кто стремится разобраться в сетях и протоколах, посвящается.


Кратко

В статье рассматриваются основы надежной передачи данных, реализуются примеры на Go, в том числе UDP и TCP. По мотивам раз, два, три и книги "Компьютерные сети. Нисходящий подход", а то все обсуждают только Танненбаума и Олиферов.

Рассматриваем транспортный протокол, открываем сокет
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 15K
Комментарии 4

Сети для начинающего IT-специалиста. Обязательная база

Системное администрирование *IT-инфраструктура *Учебный процесс в IT Карьера в IT-индустрии
Из песочницы
🔥 Технотекст 2020

Примерно 80% из нас, кто заканчивает университет с какой-либо IT-специальностью, в итоге не становится программистом. Многие устраиваются в техническую поддержку, системными администраторами, мастерами по наладке компьютерных устройств, консультантами-продавцами цифровой техники, менеджерами в it-сферу и так далее.


Эта статья как раз для таких 80%, кто только закончил университет с какой-либо IT-специальностью и уже начал мониторить вакансии, например, на должность системного администратора или его помощника, либо выездного инженера в аутсорсинговую фирму, либо в техническую поддержку 1-й/2-й линии.


А также для самостоятельного изучения или для обучения новых сотрудников.


За время своей трудовой деятельности в сфере IT я столкнулся с такой проблемой, что в университетах не дают самую основную базу касательно сетей. С этим я столкнулся сначала сам, когда, после окончания университета, ходил по собеседованиям в 2016 году и не мог ответить на простые (как мне сейчас кажется) вопросы. Тогда мне конечно показалось, что это я прохалтурил и не доучил в университете. Но как оказалось дело в образовательной программе. Так как сейчас, я также сталкиваюсь с данным пробелом знаний, когда обучаю новых сотрудников.


И что тогда, мне пришлось изучить множество статей в интернете, прежде чем я понял базовые моменты, и что сейчас, задавая молодым специалистам темы для изучения, они с трудом находят и усваивают необходимое. Это происходит по причине того, что в Интернете огромное количество статей и все они разрозненны по темам, либо написаны слишком сложным языком. Плюс большинство информации в начале своих статей содержат в основном просто научные определения, а дальше сразу сложные технологии использования. В итоге получается много того, что для начинающего пока совсем непонятно.


Именно поэтому я решил собрать основные темы в одну статью и объяснить их как можно проще «на пальцах».

Читать дальше →
Всего голосов 77: ↑66 и ↓11 +55
Просмотры 180K
Комментарии 98

Вопросы к собеседованию Java-backend, Java core (60 вопросов)

Java *Карьера в IT-индустрии
🔥 Технотекст 2020
image

Добрый день! Представляю вашему вниманию список вопросов к собеседованию Java Backend, которые я оформлял на протяжении около 2х лет.

Вопросы разбиты по темам: core, collections, concurrency, io, exceptions, которые задают основные направления хода технического собеседования. Звездочками отмечен субъективный (с точки зрения автора) уровень сложности вопроса, в сноске спойлера — краткий ответ на вопрос. Ответ представляет для интервьювера правильное направления развития мысли кандидата.
Читать далее
Всего голосов 31: ↑23 и ↓8 +15
Просмотры 128K
Комментарии 76

[Прогноз] Motornet — сеть обмена данными для роботизированного транспорта

Блог компании НПП ИТЭЛМА Децентрализованные сети Исследования и прогнозы в IT Научно-популярное Транспорт
Перевод
image

Хотя умные машины должны быть автономными и полагаться не более чем на внешние данные GPS (если они вообще используют GPS), все же лучшим решением будет объединить их общей сетью данных. Эта сеть появится в скором времени, и в отличие от современных облачных сервисов, не остановится на первоначальной версии, а на протяжении нескольких лет будет еще совершенствоваться.

Предположительно, это будет высокоуровневая система передачи данных. Информация будет передаваться по каналам широковещания в городе, на улицах и перекрестках. Вдобавок сигнал от машины к сетевым сервисам будет идти по двухточечной линии PPP. Также в планах IT-сообщества проложить прямую коммуникацию между транспортными единицами (V2V) и между транспортной единицей и придорожной инфраструктурой (V2I).

Поскольку умные автомобили должны учитывать всё, от дорожных знаков до пешеходов, то для безопасного функционирования одной передачи данных недостаточно. Хотя плюс от нее определенно есть.

В этой статье изложены перспективы развития Motornetа и умных автомобилей (или других современных сетевых авто).
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.6K
Комментарии 5

Невыразимо привлекателен: как мы создали ханипот, который нельзя разоблачить

Блог компании Trend Micro Информационная безопасность *
image
Антивирусные компании, ИБ-эксперты и просто энтузиасты выставляют в интернет системы-приманки — ханипоты, чтобы «поймать на живца» свежую разновидность вируса или выявить необычную хакерскую тактику. Ханипоты встречаются так часто, что у киберпреступников выработался своеобразный иммунитет: они быстро выявляют, что перед ними ловушка и просто игнорируют её. Чтобы исследовать тактику современных хакеров, мы создали реалистичный ханипот, который в течение семи месяцев жил в интернете, привлекая самые разные атаки. О том, как это было, мы рассказали в нашем исследовании «Caught in the Act: Running a Realistic Factory Honeypot to Capture Real Threats». Некоторые факты из исследования — в этом посте.
Читать дальше →
Всего голосов 32: ↑32 и ↓0 +32
Просмотры 12K
Комментарии 17

Информация

В рейтинге
Не участвует
Откуда
Ковров, Владимирская обл., Россия
Дата рождения
Зарегистрирован
Активность