Эта статья о давно известном баге в конфигурации dns-серверов — разрешение на трансфер зоны любому юзеру. И о том, как я написал небольшой сканер для проверки конфигурации dns-серверов самых популярных сайтов. И где уязвимыми оказались банки, гос. сайты, провайдеры и многие другие важные ресурсы.

AXFR-запросы

Передача зоны DNS, AXFR — вид транзакции DNS. Является одним из механизмов репликации баз DNS между серверами © wikipedia

Здравствуйте. В своих статьях я хочу Вас познакомить с основами программирования микрокомпьютера LEGO NXT Mindstorms 2.0. Для разработки приложений я буду использовать платформы Microsoft Robotics Developer Studio 4 (MRDS 4) и National Instruments LabVIEW (NI LabVIEW). Будут рассматриваться и реализовываться задачи автоматического и автоматизированного управления мобильными роботами. Двигаться мы будем от простого к сложному.

Всё время, пока в Голливуде снимали фильмы про хакеров, самым популярным инструментом для «взлома» была утилита nmap. Когда продюсеры фильма пытались добавить немного реалистичности, на экране компьютеров мелькал вывод nmap. Вроде бы первой отличилась Тринити из фильма «Матрица». Также эта утилита появлялась в Elysium, The Bourne Ultimatum, Die Hard 4 и других киношках.



Первый сезон Mr Robot получил одобрение от специалистов по безопасности за попытки реалистичного показа работы хакеров. В показанных эпизодах хакеры общались через IRC, использовали виртуальные машины Linux, а главный герой ходил в толстовке с капюшоном. Естественно, поскольку это телешоу, создателям пришлось проявить толику творчества. И пока им удаётся сохранять неплохой баланс между повествованием и реальными техническими возможностями.

Кратко рассмотрим увиденные нами в сериале средства для взлома.

Kali Linux

Несколько раз можно видеть использование дистрибутива Kali Linux – операционки, изначально снабжённой инструментами для проникновения и тестирования безопасности систем. Если вам интересна тема сетевой безопасности – скачивайте её себе и начинайте пробовать. Естественно, только в учебных целях. Не взламывайте чужие компьютеры – это незаконно!

Эта статья одобрена Григорием bobuk Бакуновым и Чаком Норрисом**


Григорий как бы говорит нам: “01110011 01100101 01100101 00100000 01111001 01101111 01110101 00100000 01101111 01101110 00100000 01110100 01101000 01100101 00100000 01101111 01110100 01101000 01100101 01110010 00100000 01110011 01101001 01100100 01100101“

Вы стопудово прочитали (или, как минимум, видели в лентах) с десяток вангующих статей, но ни одна из них не была написана по материалам выступления “the geekiest geek в России”***

2015 – год фатально разрушенных планов или волшебно возникающих возможностей? Ответов столько же, сколько тех, кто задаёт себе этот вопрос. Ясно только одно – IT проекты имеют больше шансов взлететь, если обратят внимание на то, что рассказал нам Григорий Бакунов.

В предверии Нового года подводим итоги работы над дайджестом и выводим тенденций выявленные в процессе сбора новостей по языку Python.

За год доведен до ума и по максимуму автоматизирован сбор новостей. Ежедневно автоматически мониторится 19 источников и набирается в среднем 10-15 релевантных новостей из которых, в последствии отбираются лучшие и готовятся анонсы для дайджеста.
Ощутимый вклад приносят читатели дайджеста, ни один выпуск не проходит без добавленных ими новостей.
За полгода, прошедшие с тех пор как еженедельный дайджест новостей о языке программирования python и близлежащих технологиях перестал публиковаться на хабре, мы обзавелись постоянной аудиторией читателей, подружились c ведущими русскоязычными python-площадками, нашли и научились обрабатывать новые источники информации о python в сети, стали постоянно публиковаться в популярном паблике на эту тему во вконтактиках, переводили и публиковали интересные статьи.

Интересующихся подробностями и цифрами, милости просим под кат.

Хочу поделиться сценарием работы с приложениями Microsoft Office, не требующем ни поиска дистрибутива, ни установки пакета, ни обновления. Уже несколько лет для подписчиков Office365 предлагается версия Click2Run офисного пакета, которая скачивает, по сути уже установленный Office с последними обновлениями. Неприятный момент в том, что Click2Run версия распространяется лишь в Retail варианте, требующем специального ключа и ручной активации, или подписки на Office365. Однако, что-то повлияло на политику компании, и без особой помпезности стала доступна для скачивания и Volume (корпоративная) версия Office 2013, которая активируется вашим KMS сервером, или другим методом активации, и которую хотя и нельзя использовать как Click2Run, можно штатно сконвертировать в виртуальное приложение APP-V 5.0. Сейчас я расскажу о том, как легально скачать полный набор установленных и обновленных продуктов Microsoft Office, и как оптимально им пользоваться, не засоряя системы. Если будет интерес, впоследствии расскажу и об аналогичном сценарии для более новой версии Office, которая сейчас в стадии бета тестирования, — как получать обновленные сборки из первых рук и пользоваться ими не мешая своим локальным стабильным версиям продукта.

^{Источник: Spacefacts.de}

Эта история произошла в 1985 году, но в последствии постепенно забылась. Шли годы — многие подробности были искажены, кое-что было выдумано. Даже те, кто первыми рассказал об этих событиях, допускали явные ошибки. Операция «Союза-13» по спасению орбитальной станции «Салют-7» была впечатляющей попыткой проведения ремонта в открытом космосе. Писатель Николай Белаковский собрал все факты воедино и готов впервые за все время предоставить нам полноценный рассказ о тех событиях.

В данном посте я попытаюсь описать основания и особенности использования аппаратной поддержки виртуализации компьютеров. Начну с определения трёх необходимых условий виртуализации и формулировки теоретических оснований для их достижения. Затем перейду к описанию того, какое отражение теория находит в суровой реальности. В качестве иллюстраций будет кратко описано, как различные вендоры процессоров различных архитектур реализовали виртуализацию в своей продукции. В конце будет затронут вопрос рекурсивной виртуализации.

Когда вы выросли настолько, что появились узлы в разных городах, возникает задача распределения нагрузки между ними. Задачи такой балансировки могут быть разными, но цель, как правило, одна: сделать так, чтобы было хорошо. У меня дошли руки рассказать о том, как это делают обычно, и как это сделано в ivi.ru.

В предыдущей статье я рассказал, что CDN у нас свой, при этом тщательно избегал подробностей. Пришла пора поделиться. Рассказ будет в стиле поиска решения, каким он мог бы быть.

Чуть больше года назад я опубликовал сравнение российских облачных операторов: статья многим понравилась и была полезна. Примерно через полгода я начал получать много отзывов и просьб о том, что неплохо было бы сделать новый обзор, актуализировав данные по ценам, добавив в запрос дополнительные сервисы и дополнив его новыми компаниями. В этот раз в сравнение вошли уже 34 компании (в прошлом году их было более, чем в 2 раза меньше), включая зарубежные сервисы Amazon и Rackspace, а сбор информации занял более двух месяцев.



Как и в прошлый раз была выбрана определенная обновленная конфигурация ресурсов и услуг, так же для разнообразия и по просьбам трудящихся, я добавил ряд новых вопросов. Поскольку я имел опыт работы в компании, оказывающей услуги комплексного ИТ-аутсорсинга, то и запрашиваемая конфигурация выбиралась исходя из наиболее востребованных услуг.

Облачный рынок в России формируется весьма динамично и уже сейчас можно выделить отдельный сегмент в нише аренды виртуальной инфраструктуры – так называемый «корпоративный» IaaS. Его отличает, в первую очередь, использование коммерческих гипервизоров и управляющего ПО, высокие требования к аппаратной составляющей, при относительно более высокой стоимости облачных ресурсов. При этом, переплачивая за лицензии гипервизора и за использование high-end оборудования, корпоративный заказчик получает необходимые ему функциональные возможности, например, функциональность HA (высокая доступность), поддержку любых гостевых ОС, возможность интеграции с собственной виртуальной инфраструктурой и пр.

Безусловным лидером виртуализации серверных ресурсов для корпоративного сегмента сегодня является VMware. В этом посте я поделюсь информацией из реального проекта по развертыванию виртуального дата-центра, в ходе которого сравнивались все официально существующие и реально действующие на сегодняшний день в России VMware сервис-провайдеры. Ниже будет приведена подробная информация по отличительным особенностям таких компаний и мои соображения по этому поводу.

Asterisk — свободное решение компьютерной телефонии с открытым исходным кодом от компании Digium. Приложение работает на таких операционных системах, как Linux, FreeBSD, OpenBSD, Solaris. Asterisk в комплексе с необходимым оборудованием обладает всеми возможностями классической АТС, поддерживает множество VoIP-протоколов и предоставляет богатые функции управления звонками.

В данной статье будут рассмотрены результаты проверки Asterisk, полученные с помощью PVS-Studio 5.18.

Проект, по всей видимости, проверяется анализатором Coverity, о чём свидетельствуют комментарии вида:

/* Ignore check_return warning from Coverity for ast_exists_extension below */

Тем не менее, я заметил некоторые досадные опечатки. Попробуем разобраться в них и в других подозрительных местах. Исходный код взят из SVN репозитория проекта.

Вы можете спросить себя: зачем мне это читать, если я и так пользуюсь сервисом Airbnb? Вы можете спросить себя: кто это такие и зачем мне читать о них? Мы не сможем ответить на второй вопрос — в этой статье нет ни слова о том, что такое Airbnb, зачем и кому он нужен. И здесь не будет FAQ по использованию сервиса. Но мы можем поделиться интересными советами с теми, кто уже пользовался нашими услугами или знает о них достаточно, чтобы быть готовыми ими воспользоваться. Советы у нас от очевидных до завуалированных, но все они в едином стиле направлены на то, чтобы сделать вашу работу эффективной интереснее ваше путешествие в любую из 190 представленных у нас стран.

В этой статье я кратко расскажу, как именно преобразуются координаты точек при повороте камеры в 3D играх, css-преобразованиях и вообще везде, где есть какие-то вращения камеры или предметов в пространстве. По совместительству это будет кратким введением в линейную алгебру: читатель узнает, что такое (на самом деле) вектор, скалярное произведение и, наконец, матрица поворота.

Когенерационная газопоршневая установка цехового исполнения номинальной электрической мощностью — 1 МВт. Нижегородская область, г. Бор


Внешний вид энергоцентра, Нижегородская область, г. Бор. Номинальная электрическая мощность энергоцентра -3,6 Мвт, тепловая мощность – 14 МВт

В позапрошлом году я писал про энергоцентры. За это время мы сдали еще несколько объектов, в частности, сейчас на разной стадии проработки находится 3 объекта. Где-то это полностью целые проекты, где-то – отдельные узлы. Спрос на энергоцентры сейчас в самом разгаре, и нашу команду просто засыпали вопросами. Поэтому вот FAQ ниже.

— В двух словах, что это за энергоцентры?
Автономная мини-электростанция, работающая на газе или другом топливе. Как и любой генератор, она выделяет некоторое количество тепла, которое используется для отопления объекта и других задач. Летом тепло можно не выбрасывать в атмосферу, а утилизировать через абсорбционную холодильную машину, что даёт ресурс для систем охлаждения ЦОДов и кондиционирования тех же торговых центров. Энергоцентр способен производить электроэнергию, тепло и холод.

— Есть пример объекта?
Да, пожалуйста. Например, сейчас работаем над энергоцентром для ЦОДа и нескольких административных зданий во Владикавказе. Всё это нуждается в электричестве, тепле и холоде. Они находятся на окраине города и довести туда электрические и тепловые сети недешево и долго, а газ уже проведён. Было принято решение построить собственный энергоцентр. Он небольшой по мощности — 3 Мегаватт электрической мощности и 1,6 Мегаватт тепла и холода. Холод необходим для центрального кондиционирования помещения и для подачи в машзал ЦОДа, а тепло для ГВС и отопления, это достаточно распространенная ситуация.

Во многих западных странах IT-аутсорсинг регулируется либо отраслевыми стандартами, либо вообще на госуровне. У нас такого нет. Поэтому за несколько лет был собран документ, который детально определяет термины в IT-аутсорсинге и расписывает, что в какой тип работ конкретно входит. С его помощью мы документируем работы, а потом чётко и прозрачно считаем, что сколько стоит.

Вот глоссарий терминов, а вот каталог IT-услуг. Эти документы можно свободно скачивать и использовать. Особенно рекомендую руководителям IT-подразделений.

Ниже я расскажу, зачем мы всё это сделали, и для каких случаев документ будет очень полезен.

^{Вот как-то так это хитро работает}

Про вашего будущего ребёнка – это, конечно, утрировано, но все может быть. На практике мы помогаем рознице бороться за каждый рубль с помощью математического аппарата. Вот, например, у вас в бумажнике есть карта лояльности, либо вы расплачиваетесь кредиткой. Это значит, что в целом магазин знает, сколько и каких продуктов вам надо. Дальше можно построить оптимальную модель вашего путешествия по магазину и понять, в какой ситуации вы купите больше. Что где должно стоять, какое молоко вы предпочитаете (вдруг вы готовы брать дорогое и натуральное без колебаний?) и так далее. Смоделировать вас по совокупности данных легко.

Такую же аналитику можно применять ко всем аспектам работы розницы.

Из смешного — один раз система просчитала, что будет выгодно уничтожить примерно полтонны бумаги. Сначала думали, что баг — но начали копать и выяснили, что поставщик даёт скидку за определённый порог закупки. А сеть может не успевать продавать нужное количество бумаги. С учётом стоимости склада, поставки и уровня скидки начиная с порога — проще взять и уничтожить кучу товара, чтобы получать его по цене ниже. Скидка минимум вдвое компенсирует убытки от его потери.

3 сентября 2012 года, прочитав на сайте Habrahabr новость о соревнованиях летающих роботов, мы поняли – вот оно, дождались! К тому моменту мы уже несколько месяцев думали о том, что пора переводить свой многолетний интерес к робототехнике в профессиональное русло, и искали для этого повод.

Поэтому вопросов об участии не возникало – начались обсуждения. Сразу же решили использовать готовый дрон, сосредоточившись на программном обеспечении. На первый взгляд, условия казались простыми, поэтому иллюзий, что мы сможем победить, не было – команд много, приз всего один. Решили, что будем использовать только камеру, продемонстрировав, таким образом, свою компетентность в области компьютерного зрения.

Забегая вперед, хочется отдельно отметить высокий уровень организации соревнований. Такого в России еще не было. Мы рады, что приняли участие в этом мероприятии и рады, что смогли победить.

Для начала – совсем простая модель. Есть три концептуальных угрозы безопасности конкретных данных: нарушение целостности, доступности и конфиденциальности информации.

Когда хакер Вася находит в мусорнике письмо вашей любовницы – это нарушение конфиденциальности, когда хомяк Билл перегрызает кабель сервера с репозиторием — это нарушение доступности, а когда админ Пупкин заливает бекап в обратную сторону — это нарушение целостности.

При этом эти три примера связаны с тремя разными факторами: хакер Вася специально охотился за вашим мусором; хомяк Билл показал нам отказ оборудования; а администратор Пупкин просто клинический раздолбай. За последний год только 37% проблем с данными были результатом действий запланированных атак. 29% случаев пришлось на сбои систем. И оставшиеся примерно 34% – на человеческий фактор, то есть халатность персонала.

Поэтому не надо представлять героя, в одиночку отбивающего хакерские орды, когда вам говорят «информационная безопасность».

^{EMC Avamar в ЦОД КРОК}

Вот этот здоровенный шкаф из нескольких серверов называется EMC Avamar. Он стоит у нас в дата-центре, занимается резервным копированием, и делает это очень интересно.

Что внутри шкафа?

Технологически – это блок x86-серверов, сейчас их 10 штук. Архитектура следующая: есть запасной узел и узел управления, а на остальные 8 пишутся данные. Учитывая избыточность (принцип кода Хэмминга, равномерное распределение RAIN – Redundant Array of Independent Nodes), при выходе из строя любого из узлов, данные сохраняются. Запасной узел в этот момент заменяет убитый. Итого в системе непосредственно используется только 50% каждого узла — резервный узел, узел четности и вторая половина уходит на нужды обеспечения сохранности данных. Физическая ёмкость массива 200 Тб превращается в 62,5 Тб.