• SIM-карты пассажиров московского метро подвергнутся бесконтактному считыванию

      Как известно, название «SIM-карта» получилось сокращением английских слов «subscriber identification module», означающих модуль идентификации клиента сотовой связи.

      Настаёт пора заново припомнить печальную истину: идентифицировать человека по его SIM-карте может не только оператор сотовой связи.

      В сегодняшней статье «За пассажирами в метро будут следить при помощи телефонных SIM-карт» в «Известиях» нетрудно прочесть о том, что руководство столичной подземки планирует оснастить её весьма широкой сетью датчиков для бесконтактного считывания данных с SIM-карт, находящихся в мобильниках у пассажиров. Каждая полицейская видеокамера, ведущая видеозапись в метро, будет оснащена таким датчиком; соответственно, вся система в целом будет способна отследить перемещения некоторой SIM-карты в метро и снабдить этот маршрут записанными видеофрагментами передвижений пассажира (носителя SIM-карты).

      Небезынтересны четыре обстоятельства, которые публикуют «Известия» со слов начальника оперативного отдела УВД на Московском метрополитене — Андрея Мохова — и которые я перечислю под хабракатом.

      Читать дальше →
    • Идентифицировать человека среди 1 500 000 пользователей мобильной связи можно всего по 4 точкам во времени и пространстве

        Каждый из нас изо дня в день бывает в одних и тех же местах примерно в одно и то же время — дом, работа, спортзал, магазин, снова дом… Наш ежедневный маршрут достаточно стабилен и в то же время уникален. Совместное исследование американских и бельгийских учёных продемонстрировало, что степень его уникальности гораздо выше, чем можно предположить.

        Анализ базы данных, в которой была собрана анонимизированная информация о времени и месте звонков и СМС 1 500 000 абонентов на протяжении пятнадцати месяцев показал, что для идентификации 95% людей достаточно знать всего четыре пространственно-временные точки.

        Всего две точки позволяют различить индивидуальный след половины пользователей, а одиннадцати достаточно, чтобы различить все до единого следы. На иллюстрации слева приведены примеры таких индивидуальных следов. Авторы исследования сравнивают уникальность мобильного следа с отпечатками пальцев — в 1930 году французский пионер криминалистики Эдмон Локард показал, что для идентификации по отпечатку пальца достаточно двенадцати совпадений деталей рисунка.

        Таким образом, получив из открытых источников (Facebook, Twitter, Foursquare, LinkedIn и т.п.) всего несколько характерных для человека пространственно-временных точек, можно деанонимизировать абонента мобильной связи среди миллионов записей, не содержащих вообще никакой персональной информации, и отследить все его перемещения.
        Читать дальше →
      • Browser Fingerprint – анонимная идентификация браузеров



          Валентин Васильев (Machinio.com)


          Что же такое Browser Fingerprint? Или идентификация браузеров. Очень простая формулировка — это присвоение идентификатора браузеру. Формулировка простая, но идея очень сложная и интересная. Для чего она используется? Для чего мы хотим присвоить браузеру идентификатор?


          • Мы хотим учитывать наших пользователей. Мы хотим знать, пришел ли пользователь к нам первый раз, пришел он во второй раз или в третий. Если пользователь пришел во второй раз, мы хотим знать, на какие страницы он заходил, что он до этого делал. С анонимными пользователями это невозможно. Если у вас есть система учета записей, пользователь логинится, мы все про него знаем — мы знаем его учетную запись, его персональные данные, мы можем привязать любые действия к этому пользователю. Здесь все просто. В случае с анонимными пользователями все становится гораздо сложнее.
          Читать дальше →
        • Открытые данные показали массовые злоупотребления со штрафами за парковку

            Оказывается, американская полиция тоже выписывает необоснованные штрафы за неправильную парковку. Правда, они берут деньги не себе в карман, а в городскую казну, и не из корысти, а от незнания правил дорожного движения. Но гражданам от этого не легче.

            Автовладелец и программист Бен Веллингтон (Бен Веллингтон) провёл собственное расследование и обнаружил огромные масштабы нарушений. В расследовании ему помог государственный портал открытых данных NYC Open Data и опыт программирования на Python.

            Дело в том, что в Нью-Йорке действует сложная система специфических норм и правил в отношении парковки. Неудивительно, что многие люди не разбираются в них досконально. Например, мало кто знает, что с декабря 2008 года в городе разрешили парковаться на главной дороге у тротуара возле T-перекрёстков и съездов с тротуара, как показано на схеме вверху, даже возле съездов с заниженным боррдюром. Это сделано, чтобы увеличить количество парковочных мест на улицах.

            Изменение официально внесли в ПДД Нью-Йорка, но о нём почти никто не знает. Бен Веллингтон сам недавно узнал о таком правиле — и сразу нашёл свободное место в Бруклине возле своего дома. Вскоре он обнаружил квитанцию о штрафе за неправильную парковку.
            Читать дальше →
          • Python: вещи, которых вы могли не знать

            Python — красивый и местами загадочный язык. И даже зная его весьма неплохо, рано или поздно находишь для себя нечто такое, что раньше не использовал. Этот пост отражает некоторые детали языка, на которые многие не обращают внимание. Сразу скажу: многие примеры являются непрактичными, но, оттого, не менее интересными. Так же, многие примеры демонстрируют unpythonic стиль, но я и не претендую на новые стандарты — я просто хочу показать, что можно делать вот так.
            Читать далее
          • Играем мускулами. Методы и средства взлома баз данных MySQL



              MySQL — одна из самых распространенных СУБД. Ее можно встретить повсюду, но наиболее часто она используется многочисленными сайтами. Именно поэтому безопасность базы данных — очень важный вопрос, ибо если злоумышленник получил доступ к базе, то есть большая вероятность, что он скомпрометирует не только ресурс, но и всю локальную сеть. Поэтому я решил собрать всю полезную инфу по взлому и постэксплуатации MySQL, все трюки и приемы, которые используются при проведении пентестов, чтобы ты смог проверить свою СУБД. 0day-техник тут не будет: кто-то еще раз повторит теорию, а кто-то почерпнет что-то новое. Итак, поехали!
              Читать дальше →
            • Бекап аудиозаписей с плейлиста ВКонтакте (до 6000) средствами Python и Vk API

              Здравствуйте.

              Раньше часто слушал музыку средствами «Вконтакте» (далее ВК). После перехода на Ubuntu 14.10 возникли проблемы в виде полного зависания компьютера во время прослушивания аудиозаписей через браузер Google Chrome для linux систем. В связи с этим возникла необходимость забекапить свой плейлист для прослушивания музыки в оффлайн режиме. Для этих целей решил написать маленький скрипт на языке Python, которым можно будет не только скачивать музыку с нуля, но и обновлять существующую библиотеку.

              Я использовал такие модули:
              • Selenium webdriver
              • requests
              • json
              • os

              Собственно, начнем.
              Читать дальше →
            • Исследование защиты игры Limbo. Кейген

              • Tutorial


              Всем привет. Многие знают об этой замечательной игре — LIMBO! Вы даже наверняка покупали ее в Стиме, или качали с торрентов…
              Я тоже ее купил когда-то (что и вам советую!), и прошел). Но, как всегда, мне было этого мало, и я, из спортивного интереса, решил изучить ее защиту. Так и появился кейген к игре LIMBO.
              Читать дальше →
            • [ В закладки ] Алгоритмы и структуры данных в ядре Linux, Chromium и не только

              • Перевод
              Многие студенты, впервые сталкиваясь с описанием какой-нибудь хитроумной штуки, вроде алгоритма Кнута – Морриса – Пратта или красно-чёрных деревьев, тут же задаются вопросами: «К чему такие сложности? И это, кроме авторов учебников, кому-нибудь нужно?». Лучший способ доказать пользу алгоритмов – это примеры из жизни. Причём, в идеале – конкретные примеры применения широко известных алгоритмов в современных, повсеместно используемых, программных продуктах.



              Посмотрим, что можно обнаружить в коде ядра Linux, браузера Chromium и ещё в некоторых проектах.
              Читать дальше →
            • Современный троянский конь: история одного расследования


                Всем привет!

                Сегодня я расскажу вам об одном троянском коне, забредшем в огород моего очень хорошего знакомого, о том, как я выгонял незваного гостя, о том, что у него внутри и какие уроки из всего этого я вынес.

                Если вам интересно — добро пожаловать под кат!
                Читать дальше →
              • zsh и bash: что выбрать

                Для тех, кто ещё не знаком с Z Shell, а так же тем, кто находится на распутье в выборе шелла для повседневных задач, посвящается эта заметка.
                Надо сказать, о преимуществах zsh написано уже достаточно много материалов. Что касается этой скромной заметки, она призвана показать читателю возможности обеих оболочек на конкретных примерах конфигурационных файлов. Упор сделан таки на zsh, ибо в понимании автора bash, как правило, пригоден к использованию изначально, zsh без собственных настроек лучше не использовать вовсе.
                Полные конфигурационные файлы автора можно забрать с github.
                Читать дальше →
              • Скачивание музыки из vk.com

                После недавней шумихи вокруг аудиозаписей на сайте vk.com решил подстраховаться и скопировать всю свою коллекцию на жесткий диск. Для решения мною была написана простенькая утилита на Java. Ниже — её код c комментариями. Статья предназначена для читателей, знакомых с любым языком программирования общего назначения и умеющих компилировать и запускать написанные на нем программы.

                Важное замечание: если Ваши аудиозаписи уже изъяты, то скачать их таким образом скорее всего не получится.
                Читать дальше →
              • Назад в будущее, или Hello World сегодня и тридцать лет назад



                  Так как сегодня исполняется 30 лет ожиданию знаменательного будущего, обещанного нам в эпохальной киноэпопее «Назад в будущее», мы решили тоже немножко вспомнить, как раньше выглядели наши продукты и сравнить с тем, что мы имеем сегодня.

                  Наш отдел работает с разработчиками и один из наших ключевых продуктов на сегодня – это Windows 10, точнее развитие экосистемы вокруг нашей новой операционной системы и, в частности, создание универсальных приложений.

                  Поэтому мы решили немножко перенестись в прошлое и посмотреть, как изменились инструменты разработки, примеры кода и SDK за 30 лет. А что может быть более показательным, чем сравнить создание оконного приложения “Hello World”?
                  Читать дальше →
                • Первые шаги для пауэршельшиков

                    Приди ко мне брате в Консоль!
                    — Админ Долгорукий.

                    Много ярлыков улетело в корзину со времён выхода в свет 2008 Windows. Люди попроще дивились новому синему окошку, которое ребята из Майкрософт зачем-то вставили в свои новые продукты. Люди, которые сидят на блогах и знают программирование начали изучать это окошко.



                    В итоге к народу начало приходить осознание того, что Майкрософт действительно разработали что-то новое и интересное.
                    И так, зачем вам это нужно? В основном, программа под названием PowerShell (в дальнейшем PS) предназначена для администраторов и программистов. Она позволяет автоматизировать примерно 99% всех действий в системе. С помощью неё вы можете настраивать удалённые компьютеры, запускать и перезапускать сервисы и производить обслуживание большиства серверных приложений. Как выяснилось, возможности у программы потрясающие.

                    Конечно же, продвинутые пользователи найдут множество способов использования этого восхитительного синего окошка.

                    Задача этой статьи проста — показать вам малую долю возможностей PS и дать вам концептуальное понимание предмета. В действительности документации по предмету написано несметное количество, так что я не стремлюсь охватить всё. Я так же ознакомлю вас с набором утилит, которые позволят не вылезать из PS в принципе.

                    Читать дальше →
                  • IPv6 под прицелом



                      Казалось бы, зачем сейчас вообще вспоминать про IPv6? Ведь несмотря на то, что последние блоки IPv4-адресов были розданы региональным регистраторам, интернет работает без каких-либо изменений. Дело в том, что IPv6 впервые появился в 1995 году, а полностью его заголовок описали в RFC в 1998 году. Почему это важно? Да по той причине, что разрабатывался он без учета угроз, с той же доверительной схемой, что и IPv4. И в процессе разработки стояли задачи сделать более быстрый протокол и с большим количеством адресов, а не более безопасный и защищенный.
                      Подробности
                    • Первоначальная настройка Raspberry Pi без монитора

                      Решил присоединиться к клубу любителей малины, чтобы заняться домашней автоматизацией и робототехникой. Купил стартовый набор и много дополнительных железок, способных работать с Raspberry (надеюсь позже написать о 4tronix Initio 4WD Robot Kit). По получении начал все это дело осваивать. Телевизора и отдельного монитора у меня нет, но я не считал это большой проблемой — в комплекте была MicroSD карта с NOOBS и wifi адаптер. Подключив Raspberry к домашней сети по витой паре и посмотрев ip адрес на маршрутизаторе, я попытался подключиться по ssh, но у меня ничего не вышло — на 22 порту меня никто не ждал. В Raspberry Pi B+ используется MicroSD — но ни соответствующего ридера, ни SD адаптера у меня под рукой не было. В наборе был последовательный порт с USB интерфейсом.

                      Под катом рассказ о том, как я все-таки завел Raspberry Pi через последовательный порт и поставил туда x2go сервер.
                      Читать дальше →