Как стать автором
Обновить
78
0
Anton Piskunov @antonydevanchi

CTO

Отправить сообщение

Создаём HoneyBot в Telegram

Время на прочтение4 мин
Количество просмотров7.6K

Всем привет! В этой статье мы рассмотрим, как создать Telegram HoneyBot для идентификации анонимных пользователей «самого безопасного» мессенджера. А на примере такого бота заодно и наглядно покажем, как избегать деанонимизации в Telegram, и напомним о необходимости сохранять бдительность, кликая по подозрительным кнопкам и ссылкам в нём. За подробностями добро пожаловать под кат!

Читать далее
Всего голосов 14: ↑4 и ↓10-1
Комментарии9

Kasm — инструмент для исследования безопасности и тестирования веб-приложений

Время на прочтение3 мин
Количество просмотров4.1K

Kasm Workspaces – это DaaS (Desktop as a Service) использующий контейнеры Docker вместо виртуальных машин.

https://kasmweb.com

Этот перспективный проект уже получил популярность в кругах исследователей безопасности и разработчиков.

В этой статье я расскажу вам об основных возможностях этого инструмента.

Читать далее
Рейтинг0
Комментарии2

Поговорим о смерти

Время на прочтение13 мин
Количество просмотров71K

Люди не делятся на гарантированных самоубийц и на тех, кому это не грозит. Люди делятся на тех, кто совершил самоубийство, и тех, кто этого не сделал.


В момент слабости важно знать, что с тобой происходит и как грамотно действовать.


Наша IT-работа сопряжена с нервными перенапряжениями, пограничными психическими расстройствами, эмоциональным и профессиональным истощением, порой встречающимися начальниками нарциссами и садистами, и многим, многим другим. Да и наше расчудесное общество, постулирующее «Без успеха и денег ты никто», уже никак не стимулирует либидо, скорее уж мортидо.


По данным Всемирной организации здравоохранения (ВОЗ), каждые 40 секунд кто-то из жителей Земли уходит из жизни сознательно, кончая жизнь самоубийством. Посмотрите на часы — секундная стрелка обошла круг. Ещё одна человеческая жизнь оборвалась.


Согласно приводимой ВОЗ статистике, среди причин смерти молодых людей (в возрасте 15—29 лет) в мировом масштабе самоубийства занимают второе место — не автокатастрофы, не наркотики, не алкоголь, не экстремальные виды спорта. Суицид.


Ежедневно в мире совершают самоубийства 3 тысячи человек, а ежегодно – около 1 миллиона человек (1,5 % всех смертей).


Что интересно, мужчины совершают самоубийство в 4 раза чаще, чем женщины, хотя женщины совершают в 4 раза больше попыток самоубийства. Ох уж эти театральные натуры.



Читать дальше →
Всего голосов 166: ↑117 и ↓49+105
Комментарии367

Утечка данных сайтов BI.ZONE: результаты расследования и процесс реагирования

Уровень сложностиСредний
Время на прочтение12 мин
Количество просмотров29K

30 апреля телеграм-канал DumpForums объявил о взломе наших ресурсов, выложив скриншоты конфигов с персональными данными. Последние двое суток мы работали над тем, чтобы оценить масштабы инцидента и свести ущерб от него к минимуму. Теперь мы готовы публично рассказать о первых результатах этой работы.

Читать
Всего голосов 54: ↑51 и ↓3+60
Комментарии22

От пентеста до АРТ-атаки: группа киберпреступников FIN7 маскирует свою малварь под инструментарий этичного хакера

Время на прочтение22 мин
Количество просмотров5.7K

Статья подготовлена командой BI.ZONE Cyber Threat Research


Мы не первый раз натыкаемся на киберпреступные группировки, которые прикидываются легальными организациями и маскируют свою малварь под инструменты для анализа защищенности. Сотрудники таких компаний могут даже не подозревать, что работают на злоумышленников и используют самый настоящий вредоносный пакет.


FIN7 (также именуемая как Carbanak и Navigator Group), одна из знаменитых АРТ-группировок, для разведки и закрепления на зараженных системах разработала Lizar — якобы инструмент для пентеста сетей Windows. Мы заинтересовались им и провели исследование, результатами которого поделимся в статье.


Раньше инструмент назывался Tirion, но дальше по тексту мы будем использовать только новое название Lizar

Читать дальше →
Всего голосов 6: ↑6 и ↓0+6
Комментарии0

ДИТ Москвы, коронобесие, большие данные: преступление и наказание

Время на прочтение8 мин
Количество просмотров52K
За неделю Роскомнадзор дважды составил административные протоколы на Департамент информационных технологий Москвы: за незаконную обработку ПД и наглое вранье надзорному органу.


Во время пика прошлогоднего коронабесия, когда власти вводили пропуска, комендантский час, патрули с собаками чумными докторами и это все, я развлекал себя, измываясь над московской системой оформления электронного «пропуска на передвижение», который якобы требовался для обуздания пандемии.

Гипотеза состояла в том, что вся эта система – сплошная профанация и нужна лишь для распила бюджета и построения «цифрового профиля» москвичей, а любой гражданин, располагая толикой изворотливости и информацией из открытых источников, может ее легко обойти. Проверка носила бескорыстный характер, так что я был целиком в белом жабо white hat.
Читать дальше →
Всего голосов 254: ↑247 и ↓7+338
Комментарии121

Как мы взломали шифрование пакетов в BattlEye

Время на прочтение5 мин
Количество просмотров9.6K

Недавно Battlestate Games, разработчики Escape From Tarkov, наняли BattlEye для реализации шифрования сетевых пакетов, чтобы мошенники не могли перехватить эти пакеты, разобрать их и использовать в своих интересах в виде радарных читов или иным образом. Сегодня, в преддверии старта нового потока курса Этичный хакер, на котором мы учим студентов искать уязвимости, делимся с вами кейсом взлома их шифрования за несколько часов.

Читать далее
Всего голосов 15: ↑15 и ↓0+15
Комментарии18

HTTPWTF. Необычное в обычном протоколе

Время на прочтение10 мин
Количество просмотров20K

Прим. перев.: эту статью написал автор Open Source-утилиты HTTP Toolkit, предназначенной для исследования и модификации HTTP(S)-трафика для нужд отладки и тестирования. В материале собраны примечательные особенности стандарта HTTP, которые долгие годы живут вместе с нами, однако не каждый догадывается об их существовании.

Протокол HTTP имеет огромное значение для всей современной разработки — от фронтенда до бэкенда и мобильных систем. Но, как и у любого другого  широко распространенного зрелого стандарта, у него в шкафу запрятано несколько любопытных скелетов.

Часть из этих скелетов — малоизвестные, но вполне полезные функции, другие — странности, унаследованные от прошлых реализаций (на них ежедневно полагаются миллиарды соединений), а некоторые вообще не должны существовать. Что ж, давайте заглянем за занавеску…

Читать далее
Всего голосов 111: ↑111 и ↓0+111
Комментарии2

Сага о том, как мы писали консоль

Время на прочтение8 мин
Количество просмотров21K
            Если посадить тысячу мартышек за тысячу пишущих машинок, то за тысячу лет они напишут эмулятор терминала. — вместо эпиграфа.

Извините фальстарт, это не я, это андроидный смартбук.

Когда мы только запускали облако, первой проблемой было «как нам получить консоль». Штатный механизм XCP поразумевает, что консоль рисуется с помощью VNCTerm, а желающий её увидеть должен сначала пойти в XenAPI, получить там session-id консоли, пойти на порт консоли, передать session-id, получить RFB, завёрнутый в HTTP, развернуть HTTP, вынуть RFB (он же VNC), отдать её локальному рендереру VNC (VNC-клиенту или java-апплету с тем же функционалом). При этом консоль закрывалась (сессия рвалась) при каждой перезагрузке виртуальной машины. Она рвалась даже при миграции виртуальной машины. Другими словами, это была технология, которая подразумевала «глянул одним глазком, починил ssh/iptables и забыл». Неудобно, медленно, сложно. Выкатывать такое в продакт совсем не хотелось.

И я залез в дебри serial-howto, console-howto и ещё несколько ужасных документов, рассказывающих о том, как правильно нужно конфигуриовать прерывания на ISA плате у мультикарт, а так же специфику настройки linux-2.2 для работы с оными. Параллельно изучалось устройство консоли в зене (внимательный читатель мог даже заметить, когда именно я более-менее разобрался в этом вопросе — я писал на хабре краткий обзор того, что происходит с консолью).

После этого пришла мысль: нужно писать своё, потому что готового чужого хорошего нет.

Сначала мы хотели взять хотя бы готовые компоненты и сделать из них своё. Я помню до сих пор ту замечательную схему, в которой мы планировали сохранять в БД вывод anyterm'а, делать двойное туннелирование последовательного порта с использованием UDP… Выглядело это, мягко скажем, неприглядно.

Потом пришла в голову мысль выпилить anyterm. Для этого нужно было посмотреть, как работают терминалки. Это было очень забавно и поучительно (желающие могут изучить исходный текст PuTTY). Главной проблемой в этом изучении было то, что они много рисуют на экран. Прямо в процессе обработки ввода. Отделить специфику DC от, собственно, того, что является консолью, было сложно.

Через некоторое время мы пришли к идее «нам нужен свой эмулятор терминала».
Задача казалась относительно простой, пока мы не прикоснулись к бездне, именуемой «escape-коды и типы терминалов...».

Пишущие машинки


Итак, в начале была пишущая машинка. В какой-то момент возникло желание совместить телеграф с пишущей машинкой. Так возник телетайп
Разумеется, инженерам, создававшим телетайп, не было никакого резона делать все с нуля. Они просто приделали коды к каждой клавише пишущей машинки. После некоторых боёв в стиле MS VS Netscape, был создан стандарт html5 на коды для оных машинок, то бишь телетайпов. Если мне память не изменяет, то это ASCII, где предусмотрены все комбинации клавиш, характерные для американской пишущей машинки. Включая код BELL, который, кстати, должен вовсе не делать BEEP, а делать «дзыньк», ибо у пишущих машинок был именно колокольчик, а не спикер.

Читать дальше →
Всего голосов 133: ↑126 и ↓7+119
Комментарии91

Постдок в Германии

Время на прочтение8 мин
Количество просмотров9.9K
Наконец то я смог победить свою природную лень и подготовил пост о том, как я искал постдок по всему миру и получил позицию в Германии. Данный пост для тех, кто подумывал о постдоке, но ещё его не нашёл / не искал.

Небольшое отступление: я уже выполнил 2-годичный постдок в Израиле, но так получилось, что постдок был по новому для меня направлению, которое, хоть и не совпадало с моим опытом, мне очень понравилось, и я решил найти второй постдок именно в данной сфере, чтобы получить больше опыта.

По пунктам. Первые два посвящены поиску и интервью, третий пункт о том, как я устраивался после приглашения в Германский университет.

1. Поиск позиций и подача заявок


На этом этапе отсеивается большое количество соискателей, так как получив пару отказов, люди впадают в депрессию и идут жалеть себя. На самом деле, нужно отправлять большое количество заявок. На половину вам не ответят, на большую часть ответов придутся отказы, и, возможно, несколько пригласят вас на интервью. Также следует учитывать, что многие позиции открываются под конкретного человека, но правила требуют размещения позиции на сайтах. В целом, я отправил чуть менее 100 заявок, мне пришло (все ещё приходят) более 50 отказов. На интервью пригласили только 8 организаций.
Читать дальше →
Всего голосов 10: ↑9 и ↓1+16
Комментарии9

Создаем plugin для IDEA для мониторинга транзакций в Spring

Время на прочтение5 мин
Количество просмотров4.2K

В статье показано, как быстро можно создать свой plugin для облегчения работы с Transactional в Spring. Писать будем на Kotlin и Java

Читать далее
Всего голосов 11: ↑11 и ↓0+11
Комментарии0

8-битный Тьюринг-полный компьютер в Factorio

Время на прочтение13 мин
Количество просмотров21K

Хочу поделиться своим проектом, созданным в Factorio на основе предлагаемой этой игрой логики. На этот проект меня вдохновил великий ум, записавший пошаговое руководство по созданию практически такой же машины, но в реальном мире. Рекомендую посмотреть его, оно поможет вам понять и воссоздать этот проект: 8-bit computer

Я преклоняю голову перед Беном Итером, с помощью своего канала научившему меня столь многому, и хочу посвятить этот небольшой проект ему. Отличная работа, Бен!

Вот компьютер, вычисляющий число Фибоначчи, после превышения лимита 8 бит (числа 255) он выполняет условный переход и начинает заново:

image

Давайте разберёмся, как работает этот компьютер. И не бойтесь — уверен, что, разобравшись с основами, вы тоже сможете его сделать! Начнём с общей схемы компьютера. Здесь я выделил важные области. Ниже я объясню, как создал их.
Всего голосов 32: ↑32 и ↓0+32
Комментарии15

Используем Terraformer для адаптации действующей инфраструктуры в AWS для деплоев с Terraform

Время на прочтение13 мин
Количество просмотров10K

Рассказываем про наш опыт импорта и адаптации конфигураций инфраструктуры, ранее развернутой вручную в AWS, в формат Terraform. Зачем? Причин может быть много: и отказоустойчивость, и упрощение горизонтального и вертикального масштабирования, и многие другие. С них и начнем эту статью.

Проблематика

Без каких-либо процессов автоматизации управления инфраструктурой вы неизбежно столкнетесь с известными ограничениями: невозможно быстро пересоздать инфраструктуру; нет истории изменений, произведенных в инфраструктуре; нет контроля используемых версий ПО…

Читать далее
Всего голосов 49: ↑49 и ↓0+49
Комментарии2

Интервью с техдиректором ElectroNeek: от написания кода к управлению процессами

Время на прочтение17 мин
Количество просмотров4K
image

Я пообщался с основателями стартапа ElectroNeek: Сергеем (CEO), Дмитрием (CIO) и Михаилом (CTO). В конце интервью — видео, где в прямом эфире собирают робота.

— Дмитрий, пришли, пожалуйста фотку для КДПВ, где вы все вместе.
— Не поверишь, мы так вживую и не встретились еще все за два года)

ElectroNeek разрабатывает экосистему программных продуктов, с помощью которых можно создать роботов, которые повторяют любые действия офисных сотрудников за компьютером с любыми приложениями, которые на нём установлены. Таким образом можно полностью или частично роботизировать процессы в компании. Специализацией ElectroNeek является работа с системными интеграторами и IT-командами, создающими центры компетенций RPA, иными словами, их продукты предназначены для тех, кто разрабатывает роботов в большом количестве, а не решает несколько конкретных локальных автоматизационных задач.   

RPA  (роботизированная автоматизация процессов) — это технология, которая помогает автоматизировать повседневные, повторяющиеся задачи. RPA позволяет эмулировать действия обычного пользователя за компьютером, в буквальном смысле. Вы навели мышку на кнопку и кликнули, потом клавиатурой ввели текст и нажали «Enter». Ровно это и есть RPA. По мере увеличения спроса RPA-вендоры стали развивать свои решения, чтобы предоставить более гибкие механизмы автоматизации. Появились интеграции с языками программирования, с технологиями вроде OCR, всерьез думают о внедрении машинного обучения. Роботов теперь можно запускать одновременно, по расписанию, удаленно и т.д. Примеры кейсов: раз, два, три, четыре, пять.

— Что такое робот?

Михаил: Роботизация — это эмуляция человека. Человека можно эмулировать в разных ипостасях. Можно физически. Робот ходит как человек. Робот кликает по монитору как человек. Набирает текст как человек. Никогда нет полной эмуляции человека. Но аспект эмуляции человека и есть роботизация.
Всего голосов 15: ↑12 и ↓3+11
Комментарии0

Как я нашел способ отследить всех водителей «Ситимобил»

Время на прочтение5 мин
Количество просмотров144K
В субботу вечером я, как всегда, сидел и снифил трафик со своего телефона. Внезапно, открыв приложение «Ситимобил» я увидел, что один интересный запрос выполняется без какой-либо аутентификации.

Это был запрос на получение информации о ближайших машинах. Выполнив этот запрос несколько раз с разными параметрами я понял, что можно выгружать данные о таксистах практически в реалтайме. Вы только представьте, сколько интересного можно теперь узнать!


Читать дальше →
Всего голосов 362: ↑359 и ↓3+470
Комментарии300

Как я делал самый популярный сайт о выборах

Время на прочтение10 мин
Количество просмотров15K
Статистика President2012.ru Друзья, я хочу вам рассказать историю развития проекта president2012.ru. Сайт является лидером по тематике выборов президента России, за 3 месяца его посетило около 2 млн. человек, в пике имел до 20 тыс. посетителей онлайн и более 1 млн. хитов в сутки, задействовано было 3 сервера облака.

Интересных моментов в процессе работы над проектом набралось столько, что держать в себе эти знания я не могу, и хочу поделится с вами. Я понимаю, что многое, о чем я сейчас собираюсь рассказать, уже описано качественнее в специализированных разделах, и ничего нового я не открою. Моя задача скорее в том, чтобы через отдельные нюансы передать ту атмосферу, в которой проходила работа над проектом. А так же в миллионный раз с помощью success story показать таким же как я людям, что всё возможно и всё в их руках.

Кому это может быть интересно? Всем, кто так или иначе занимается созданием тематичных веб-сайтов и рассчитывает работать с высоконагруженными проектами.
Читать дальше →
Всего голосов 274: ↑253 и ↓21+232
Комментарии214

Собеседование в Яндекс: театр абсурда :/

Время на прочтение14 мин
Количество просмотров514K

Привет, Хабр!

В прошлой статье меня знатно разбомбили в комментариях, где-то за дело, где-то я считаю, что нет. Так или иначе, я выжил, и у меня есть чем с вами поделиться >:)

Напомню, что в той статье я рассказывал, каким я вижу идеальное собеседование и что я нашёл компанию, которая так и делает - и я туда прошёл, хотя это был адский отбор. Я, довольный как слон, везде отметил, что я не ищу работу, отовсюду удалился и стал работать работу.

Как вы думаете, что делают рекрутеры, когда видят "Alexandr, NOT OPEN FOR WORK"? Правильно, пишут "Алексей, рассматриваете вариант работать в X?" Я обычно игнорирую это, но тут мне предложили попытать счастья с Яндекс.Лавкой, и я не смог пройти мимо - интересно было, смогу ли я устроиться куда-нибудь, когда введут великий российский файерволл. К тому же за последние 3 года я проходил только два интервью, и мне показалось, что я не в теме, что нынче требуется индустрии. Блин, я оказался и вправду не в теме. И вы, скорей всего, тоже - об этом и статья.

Читать далее
Всего голосов 531: ↑504 и ↓27+610
Комментарии1270

Самые необычные вышки сотовой связи — нестандартные решения стандартных задач

Время на прочтение4 мин
Количество просмотров16K


Промышленный дизайн всегда ставил во главу функционал. Формы, контуры и материалы создаваемого предмета должны были быть лишь вспомогательными составными той производственной функции, что ложилась на объект исполнения. В 60-70х годах прошлого века, во времена особо бурного роста населения индустриальных стран промышленный дизайн стал той палочкой-выручалочкой, которая позволила, забыв о эстетических излишествах, создавать не только новые жилые районы в существующих городах, а собственно и сами города, нередко вообще с нуля. Расплатой за вожделенные квадратные метры стала серость и уныние густонаселенных спальных районов. Осознание проблемы и попытки изменить в лучшую сторону организацию пространства наших городов это тренд последних десятилетий. Вкладываются огромные средства в озеленение, в дорожную инфраструктуру, наши многоэтажки перекрашиваются во все цвета радуги только лишь с одной целью — убежать от типичной серости постсоветских пейзажей, так легко угадываемых на случайных фотографиях.

Путешествуя по заграницам, нередко можно встретить пространной формы сооружения, функционал которых не всегда сразу очевиден. Лишь присмотревшись, с изумлением понимаешь, что перед тобой не что иное как искусно закамуфлированная вышка сотовой связи. Формы и виды последних порою откровенно заставляют улыбнутся. Почему в наших широтах до сих пор не взят на вооружение столь оригинальный способ преобразования пространства — загадка. Опыт урбанистов из заграницы под катом.
Читать дальше →
Всего голосов 52: ↑52 и ↓0+52
Комментарии27

Вторая главная обязанность CEO стартапа

Время на прочтение13 мин
Количество просмотров4.6K
image

Али Рогани — работал в Pixar 9 лет (из них 6 лет — CFO, коммерческим директором). 2 года работал CFO в Twitter и еще 2 года COO. Руководит YC Continuity — программа для успешных выпускников YC.

Успешные‌ ‌стартапы‌ ‌по‌ ‌мере‌ ‌своего‌ ‌роста‌ ‌проходят‌ ‌три‌ ‌основных‌ ‌этапа,‌ ‌и‌ ‌CEO‌ ‌стартапа‌ ‌кардинально‌ ‌меняется‌ ‌на‌ ‌каждом‌ ‌из‌ ‌них.‌ ‌

  • Первая‌ ‌задача‌ ‌CEO‌ ‌-‌ ‌создать‌ ‌продукт,‌ ‌который‌ ‌понравится‌ ‌пользователям.
  • Вторая‌ ‌задача‌ ‌-‌ построить‌ ‌компанию,‌ ‌чтобы‌ ‌максимизировать‌ ‌возможности,‌ ‌которые‌ ‌открывает‌ ‌продукт.
  • Третья‌ ‌- получение‌ ‌прибыли‌ ‌от‌ ‌основного‌ бизнеса,‌ ‌чтобы‌ ‌инвестировать‌ ‌в‌ ‌трансформирующие‌ ‌идеи‌ ‌новых‌ ‌продуктов.‌ ‌

Этот‌ ‌пост‌ описывает,‌ ‌как‌ справляться со второй задачей‌ ‌CEO,‌ ‌сосредоточившись‌ ‌с‌ максимальной‌ ‌отдачей‌ ‌на‌ ‌задачах,‌ которые‌ ‌может‌ ‌выполнить‌ ‌только‌ ‌CEO.‌ ‌

Как‌ ‌команда‌ ‌преемственности‌ ‌YC,‌ ‌мы‌ ‌видели,‌ ‌как‌ ‌многие‌ ‌CEO‌ ‌справлялись с первой задачей и ‌ ‌успешно‌ ‌переходили‌ ко ‌второй,‌ ‌а‌ ‌некоторые‌ ‌-‌ ‌нет.‌ ‌Будущее‌ ‌вашего‌ ‌стартапа‌ ‌зависит‌ ‌от‌ ‌того,‌ ‌к‌ ‌какому‌ ‌типу‌ ‌вы‌ ‌относитесь.‌

Ваше первое творение — это продукт, ваше второе творение — это компания

Читать дальше →
Всего голосов 16: ↑12 и ↓4+12
Комментарии1

Ультимативный гайд по собеседованию DevOps-инженеров — что спрашивать и к чему готовиться

Время на прочтение7 мин
Количество просмотров87K


Я начал заниматься сетями еще в школе, а работаю за деньги больше 16 лет. Я много куда устраивался, в большие компании и маленькие, потом открыл свой бизнес и регулярно сам нанимаю людей. С годами и опытом у меня, да и у многих, вырабатывается интервьюшная интуиция.

Это когда никакого четкого алгоритма нет. Ты просто разговариваешь с человеком и что-то для себя понимаешь. Спрашиваешь, что кандидат делал на прошлой работе, цепляешься за тему — и вот вы уже просто обсуждаете инженерные темы, примерно на том же уровне, что и с коллегами. Если беседа клеится и человек нравится, то все хорошо.

Такой интуиции вряд ли научишься по книгам и текстам, она приходит сама с опытом. Вместе с ней в мышление просачиваются фразы вроде «мне не так важны конкретные знания, как общий кругозор, способность искать информацию, понимание, сработаемся ли» и все такое.

Но иногда, чтобы не терять хватку, надо все же напоминать себе, какими знаниями должен обладать инженер и какими вопросами можно максимально объективно оценить человека, которого видишь впервые в жизни.
Читать дальше →
Всего голосов 60: ↑40 и ↓20+37
Комментарии141
1
23 ...

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Дата рождения
Зарегистрирован
Активность

Специализация

Software Architect, Pentester
Lead
От 350 000 ₽