Как стать автором
Обновить
-19
0.6
Евгения @decomeron

Студентка

Отправить сообщение

Hashicorp Vault — собираем непрямую репликацию через ведро

Уровень сложностиСложный
Время на прочтение15 мин
Количество просмотров5.8K

Hashicorp Vault - прекрасный продукт для централизованного хранения всех паролей и других секретов компании. При этом, многие знают, что удобная ключница - это идеальный способ потерять все ключи одновременно. Когда я работал в крупном телекоме, то DRP-протоколы с восстановлением данных учитывали даже запрет на сбор более двух Хранителей Ключей в одном месте. Чисто на случай очень неудачного корпоратива с совместным полетом на воздушном шаре, дегустацией домашних грибов или другими подобными факторами. Короче, если вы внедряете подобную систему, то вам надо очень внимательно подходить не только к вопросам эксплуатации, но и резервного копирования и восстановления.

Сегодня я не буду глубоко касаться темы организации правильного хранения фрагментов ключей Шамира. Вместо этого, я попробую рассказать о том, как развернуть с нуля отказоустойчивый кластер Hashicorp Vault в community edition. Для этого поднимем основной и тестовый кластер Vault в нескольких регионах и датацентрах. Тестовый кластер у нас одновременно будет служить и резервным в рамках процедуры DRP.

Чтобы было совсем интересно, настроим процесс таким образом, чтобы тестовый кластер был односторонней репликой продуктивного с отставанием в несколько суток. Разумеется, все развертывание мы будем проводить в парадигме Infrastructure-as-a-code с Terraform и Ansible в качестве основных инструментов.

Сейчас расскажу, когда это может пригодиться и какими ansible-модулями можно для этого воспользоваться. Сразу предупреждаю - это будет лонгрид, так как я не люблю разбивать на кучу мелких постов единый туториал.

Читать далее
Всего голосов 22: ↑22 и ↓0+22
Комментарии16

Парадокс вращения монеты — иллюзионист от мира математики

Уровень сложностиПростой
Время на прочтение2 мин
Количество просмотров24K

Дэвид Копперфильд мог заставить исчезнуть самолет или статую Свободы. Наш герой тоже мастер исчезновений. Ему удалось обмануть 300 тысяч американских студентов во время вступительного теста. Хотите поучаствовать в его представлении?

Тогда прошу под кат!
Всего голосов 39: ↑38 и ↓1+51
Комментарии53

Проверяем контакты: OSINT и иные методы

Время на прочтение14 мин
Количество просмотров19K

Всем привет! Сегодня у нас большая обзорная статья о различных способах проверки контактов. Кратко пройдемся по всевозможным методам для сбора информации, составим список полезных в каждом случае сервисов и затронем ограничения того или иного способа. Начнем с самых азов для начинающих любителей OSINT и дойдем до неочевидных вариантов проверки потенциальных контактов. За подробностями добро пожаловать под кат!

Читать далее
Всего голосов 7: ↑3 и ↓40
Комментарии2

NFT всё? На аукционе по продаже первого твита Джека Дорси за $2,9 млн самая высокая ставка — $1850

Время на прочтение4 мин
Количество просмотров9.6K


Лучшая инвестиция десятилетия!


Наглядная иллюстрация того, насколько сильно за последние два года упал рынок NFT. Знаменитый невзаимозаменяемый токен, показывающий первый в истории твит от тогдашнего гендиректора Twitter Джека Дорси, который в 2021 году стоил 2,9 миллиона долларов, выставлен на аукцион. Текущая самая высокая ставка составляет 1850 долларов.

Читать дальше →
Всего голосов 29: ↑28 и ↓1+32
Комментарии29

Название имеет значение: как получить оптимизацию, переименовав браузер

Время на прочтение4 мин
Количество просмотров37K

Всем привет! Меня зовут Максим Смирнов, я руковожу командой, которая работает над производительностью Яндекс Браузера и отвечает за его графическую подсистему. В этой статье я расскажу об одном неочевидном улучшении, которое наша команда внедрила в Браузер для Windows. Если описать его в двух словах, то нам удалось улучшить стабильность и производительность браузера, убедив драйверы видеокарт, что наше приложение — это Google Chrome.

Читать далее
Всего голосов 137: ↑136 и ↓1+172
Комментарии78

Программисты проверили, насколько тяжело жить девушкам с длинными ногтями

Время на прочтение2 мин
Количество просмотров7.9K

Команда парней KTS нарастила ногти и посоревновалась с девушками в скоростной печати, открывании жестяных банок и других повседневных задачах.

В среднем 247 рабочих дней в году мы в KTS проводим за разработкой цифровых продуктов в HRTech, EduTech, мобильной разработкой и DevOps. Месяц назад мы поспорили: правда ли, что с нарощенными длинными ногтями сложнее выполнять повседневные действия. Девушки согласились, парни — нет. Выяснить правду решили честным экспериментом.

Дисклеймер: цель нашей статьи — поздравить девушек с 8 марта и напомнить всем мужчинам, насколько прекрасны и изобретательны девушки.

Читать далее
Всего голосов 37: ↑22 и ↓15+9
Комментарии13

История краха банка Silvergate и как он повлияет на криптоиндустрию. Кто следующий?

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров12K

2 марта крупнейший американский крипто банк Silvergate сообщил о задержке с публикацией годового финансового отчета, а затем и вовсе заявил о своей “возможной несостоятельности” по причине резкого снижения уровня капитализации. После этого, как и следовало ожидать, все партнеры стали поочередно отказываться от работы с банком, что сразу же создало дополнительное давление на капиталлизацию Silvergate. За сутки цена на акции банка упала на 57% на Нью-Йоркской фондовой бирже (NYSE), а на Лондонской фондовой бирже (LSE) — на 54%.

К моему удивлению, не так много криптанов вообще слышали название Silvergate. И как следствие, многие и бровью не повели после новостей о возможном банкротстве банка. И это зря. Silvergate был второй по величине банк в США, работающий с криптоактивами и один из основных мостов между криптовалютами и фиатом для институциональных и ритейл инвесторов в стране. В данном материале мы расскажем о Silvergate, подробно разберем историю его краха, проанализируем, как эта ситуация повлияет на криптовалютный рынок и порассуждаем, что дальше ждет криптоиндустрию. Поехали!

Читать далее
Всего голосов 9: ↑5 и ↓4+4
Комментарии21

Сыграем в ещё одну игру, дорогой друг?

Время на прочтение12 мин
Количество просмотров16K

Не прошло и года, а у нас уже вовсю идёт новый хакерский квест. В этот раз мы не стали делать явного анонса и пошли по более интересному пути, с привлечением аудитории извне. Рояль, азот и котики показался нам слишком простым и было принято решение немного усложнить задачу :)

Вы думаете, что квест только начался, но нет, он вовсю уже идёт. Всё началось с неприметной раздачи визиток в разных городах России — 10 февраля. На визитках не было ничего, совсем ничего, только рисунок черепа и спектр на другой стороне.
Читать дальше →
Всего голосов 28: ↑27 и ↓1+42
Комментарии6

Детальная настройка браузера Firefox

Время на прочтение15 мин
Количество просмотров138K

Вот уже пару лет, как я рекомендую всем моим знакомым использовать Firefox, как браузер для повседневного серфинга в интернете. Я люблю этот браузер за его гибкость в настройке, скорость и заботу о приватности. Много раз на форумах меня спрашивали про какие-то отдельные случаи по настройке, поэтому я решил написать статью с подробным описанием настроек, как шпаргалку для себя и чтобы делится ею, в случае новых вопросов.

Надеюсь она немножко поможет в популяризации этого чудесного браузера.

Читать далее
Всего голосов 43: ↑40 и ↓3+47
Комментарии96

Реверс-инжиниринг исходного кода коронавирусной вакцины от компаний BioNTech/Pfizer

Время на прочтение11 мин
Количество просмотров105K
Добро пожаловать. В данном посте мы посимвольно разберём исходный код вакцины BioNTech/Pfizer SARS-CoV-2 мРНК.

Да, такое заявление может вас удивить. Вакцина – это ведь жидкость, которую вводят человеку в руку. При чём тут какой-то исходный код?

Хороший вопрос. Начнём мы с небольшой части того самого исходного кода вакцины BioNTech/Pfizer, также известной, как BNT162b2, также известной, как Tozinameran, также известной, как Comirnaty.


Первые 500 символов мРНК BNT162b2.

В сердце вакцины находится вот такой цифровой код. Его длина составляет 4284 символа, так что его вполне можно уместить в несколько твитов. В самом начале процесса производства вакцины кто-то закачал этот код в ДНК-принтер (ага), который, в свою очередь, превратил байты с накопителя в реальные молекулы ДНК.
Всего голосов 238: ↑232 и ↓6+304
Комментарии366

Долгосрочная безопасность вакцин от коронавируса. Вопросы

Время на прочтение7 мин
Количество просмотров39K

В этой статье я хотел бы обсудить возможные долгосрочные последствия вакцинации. Судя по проведенным клиническим испытаниям, в целом вероятность каких-то долгосрочных побочных явлений очень низкая. Однако, несмотря на огромный интерес к данной теме, информации о том, какие именно побочные эффекты могут возникнуть, пусть даже теоретически, крайне мало. Единственное, что встречал - антителозависимое усиление инфекции (ADE эффект), а также некий антигенный импринтинг, но вроде бы в нашем случае с этим проблем нет. Векторная технология вакцины и аденовирусы, на основе которых она сделана, также хорошо изучены и не представляют опасность. В этой статье хотелось бы порассуждать о возможности долгосрочных аутоиммунных реакций на так называемый Spike-белок, выделяющийся после вакцинации.

Читать далее
Всего голосов 39: ↑29 и ↓10+36
Комментарии264

Какое шифрование лучше: Signal или Telegram?

Время на прочтение3 мин
Количество просмотров56K
Пару дней назад Илон Маск в твиттере порекомендовал использовать мессенджер Signal, не без последствий.


Однако в декабре 2020 года по средствам массовой информации прошла новость, что известная хакерская компания Cellebrite взломала шифрование этого криптомессенджера.

А читатели Хабра для секретной переписки предпочитают вовсе не Signal, а секретные чаты Telegram (по крайней мере, из принявших участие в нашем опросе).
Всего голосов 34: ↑31 и ↓3+41
Комментарии84

HackTheBox endgame. Прохождение лаборатории Hades. Пентест Active Directory

Время на прочтение15 мин
Количество просмотров8.7K


В данной статье разберем прохождение не просто машины, а целой мини-лаборатории с площадки HackTheBox.

Как сказано в описании, Hades предназначен для проверки навыков на всех стадиях атак в небольшой среде Active Directory. Цель состоит в том, чтобы скомпрометировать доступный хост, повысить привилегии и, в конечном итоге, скомпрометировать весь домен, собрав при этом 7 флагов.

Посмотреть разборы других лабораторий:

  1. Professional Offensive Operations.
  2. XEN.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ.

Организационная информация
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Читать дальше →
Всего голосов 7: ↑6 и ↓1+8
Комментарии2

Пентест вебсайта с помощью Owasp Zap

Время на прочтение7 мин
Количество просмотров51K


Сегодня защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. О мощном фреймворке WPScan для пентеста WordPress мы уже писали, но сайты бывают и на других движках. Именно поэтому сегодня разберем более универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).


Что такое OWASP ZAP?


OWASP (Open Web Application Security Project) — всемирная некоммерческая организация, деятельность которой направлена на повышение безопасности ПО.


OWASP ZAP (Zed Attack Proxy) — один из самых популярных в мире инструментов безопасности. Это часть сообщества OWASP, а значит, что этот инструмент абсолютно бесплатный.


Почему многие выбирают OWASP ZAP?


Он предназначен для пользователей с широким спектром опыта в области безопасности, поэтому отлично подходит для разработчиков и функциональных тестировщиков, которые плохо знакомы с пентестами.


ZAP создает прокси-сервер между клиентом и вашим сайтом. Пока вы перемещаетесь по своему веб-сайту, он фиксирует все действия, а затем атакует сайт известными методами.


Открытый исходный код!


Проект был запущен в 2010 году, но до сих пор дорабатывается и регулярно обновляется.


Настройка среды ZAP


ZAP является кроссплатформенным и для своей работы требует только наличия JAVA 8+. Поэтому можно обойтись без Kali Linux или других ОС для белого хакинга.

Читать дальше →
Всего голосов 6: ↑6 и ↓0+6
Комментарии1

Проверяем безопасность приложений с помощью Drozer

Время на прочтение4 мин
Количество просмотров3.5K


Drozer – обязательный инструмент в арсенале каждого пентестера. С его помощью можно быстро получить информацию о приложении и его слабых местах.


Drozer предустановлен в Kali Linux и других ОС для белого хакинга.


Возможности Drozer:


  1. Получение информации о пакете
  2. Определение поверхности атаки
  3. Запуск активностей
  4. Чтение от поставщиков содержимого
  5. Взаимодействие со службами
  6. Дополнительные опции

1. Получение информации о пакете


Мы можем получить пакеты, присутствующие на подключенных устройствах, а также информацию о любом установленном пакете.


To get list of all packages present in the device.
dz> run app.package.list

To search for a package name from the above list
dz> run app.package.list -f <your_string>

To get basic info about any selected package
dz> run app.package.info -a <package_name>

2. Определение поверхности атаки


Это та часть, с которой мы начинаем исследовать уязвимости. В первую очередь проверим количество экспортированных:


  • Активностей
  • Поставщиков содержимого
  • Служб
Читать дальше →
Всего голосов 4: ↑3 и ↓1+6
Комментарии2

Как быстро прокачать свою беспроводную сеть

Время на прочтение6 мин
Количество просмотров7.1K
Беспроводные технологии передачи данных плотно заняли своё место в нашей жизни. Ежедневно, зачастую не отдавая себе отчёт, мы пользуемся благами этого достижения цивилизации дома, в офисе, по дороге домой или отдыхая на пляжах солнечных тёплых стран. Наш голос, наши изображения, все кусочки цифрового мира, которые так дороги нам, почти всегда на том или ином этапе своего пути пролетают по беспроводному каналу, будь то магистральная радиорелейная линия передачи данных, сегмент «точка-многоточка» провайдера или банальный и немного смешной в своей наивности Wi-Fi.

Но часто ли мы задумываемся о том, какими силами молчаливые герои Интернета позволяют нам смотреть на котиков и женские (или мужские) ноги, не испытывая при этом неудобств и получая удовольствие от процесса?

image
Читать дальше →
Всего голосов 9: ↑6 и ↓3+3
Комментарии3

Разработка кода не глядя

Время на прочтение5 мин
Количество просмотров28K

Я думаю, что большинство читателей не имеют проблемы со зрением, но задумываются, что случится, если зрение откажет. Здесь должна быть картинка, но я её не вижу, поэтому интересующихся, как кодить, не глядя на экран, прошу под кат.

Читать дальше →
Всего голосов 134: ↑132 и ↓2+130
Комментарии70

10 лет в IT с диагнозом шизофрения, советы по выживанию

Время на прочтение8 мин
Количество просмотров168K
Мой диагноз параноидная шизофрения. Заболел я через год после окончания университета. Вот уже 10 лет я работаю в IT, сейчас моя должность — старший инженер-программист. Хочу рассказать, с какими проблемами может столкнуться человек с серьезным психическим заболеванием при построении карьеры.

Это практическая статья. В ней я почти не буду касаться моих симптомов и описывать свой опыт. Таких статей и без меня не мало, и на хабре они тоже есть. Есть целое издательство, которое специализируется на книгах о шизофреническом опыте.
Читать дальше →
Всего голосов 410: ↑402 и ↓8+393
Комментарии284

Нейросети и глубокое обучение, глава 2: как работает алгоритм обратного распространения

Время на прочтение23 мин
Количество просмотров31K

В прошлой главе мы видели, как нейросети могут самостоятельно обучаться весам и смещениям с использованием алгоритма градиентного спуска. Однако в нашем объяснении имелся пробел: мы не обсуждали подсчёт градиента функции стоимости. А это приличный пробел! В этой главе я расскажу быстрый алгоритм для вычисления подобных градиентов, известный, как обратное распространение.

Впервые алгоритм обратного распространения придумали в 1970-х, но его важность не была до конца осознана вплоть до знаменитой работы 1986 года, которую написали Дэвид Румельхарт, Джоффри Хинтон и Рональд Уильямс. В работе описано несколько нейросетей, в которых обратное распространение работает гораздо быстрее, чем в более ранних подходах к обучению, из-за чего с тех пор можно было использовать нейросеть для решения ранее неразрешимых проблем. Сегодня алгоритм обратного распространения – рабочая лошадка обучения нейросети.
Читать дальше →
Всего голосов 18: ↑16 и ↓2+14
Комментарии9

Дуров не имеет никакого отношения к TON

Время на прочтение10 мин
Количество просмотров99K


Недавно TechCrunch анонсировало начало продаж «грамов» 10 июля на японской бирже Liquid. Удивительно, но мир поверил в полностью выдуманную историю о финансовом инструменте Telegram.

Эпиграф


Крупные издания зачастую публикуют слухи (информацию от проверенных источников), но такого многосерийного сюжета, как с TON, построенного исключительно на сливах без какой-либо официальной информации, вы больше не найдете.

Да, могла промелькнуть новость про автомобиль Apple. Но никто не писал, что компания представит его весной, уже разработан шильдик для руля, релиз переносится на осень, в новый тип двигателя по секрету вложились немецкие и французские автоконцерны, предзаказы начнутся на выставке в Японии и прочее.

Эта история не для того, чтобы уберечь каждого от мошенников. Я оптимист, но не настолько. Поэтому эта история про постправду и журналистику, про маркетинг и манипуляцию, про РБК, «Коммерсантъ», «Ведомости», The Bell, TechCrunch и всех остальных.
Всего голосов 152: ↑107 и ↓45+62
Комментарии120
1

Информация

В рейтинге
Не участвует
Зарегистрирована
Активность