Как стать автором
Обновить
143
0
Андрей Криницкий @netAn

Руководитель, инженер, яхтсмен

Отправить сообщение

Способ атаковать любой чат в Telegram-мессенджере, или как на меня напали хакеры

Время на прочтение4 мин
Количество просмотров109K

Помните, недавно вышла серия постов про прививки от коронавируса?

Я член команды админов из той системы чатов v1v2 по вакцинации и лично моя зона ответственности – «ЭпиВакКорона», вакцина ГНЦ «Вектор» Роспотребнадзора.

Если коротко, то в процессе независимой проверки вакцин мы выяснили, что Спутник-V отлично работает и побочки приемлемые, а их разработчик центр им. Гамалея говорит правду в СМИ про свою вакцину и её характеристики. Ковивак (им. Чумакова) работает существенно хуже – формирует антитела далеко не у всех и на низком уровне.  А вот «ЭпиВакКорона» вовсе не получилась никак – нулевая эффективность, её даже низкой нельзя назвать. Подробнее у нас на сайте. «ЭпиВакКорона» не даёт никакой защиты от коронавируса. Какие-то антитела  от неё в 70% появляются в организме человека, но они не способны связываться с коронавирусом.

В нашем чате около 8500 человек, интересующихся нашими исследованиями и данным препаратам. И вот вчера на нас напала неизвестная группа лиц весьма своеобразным способом. Проведя небольшое исследование и ряд экспериментов удалось вычислить схему действия. В нашем чате под видом обычного пользователя сидит бот, подключённый к чату через их API. Он следит за сообщениями и как кто-то пишет новое, смотрит id пользователя. Это внутренний номер в Telegram, который не равен вашему нику или номеру телефона. Id не меняется, если вы меняете ник или номер телефона.

Далее по данному id пробивается по базам данных, собранных по публичным источникам. Доступ к ним есть через ботов в Telegram, например @Quick_OSINT или «Глаз бога».

Что же там произошло?
Всего голосов 71: ↑62 и ↓9+75
Комментарии88

Новая дыра в безопасности Мегафона позволяет взламывать счета абонентов

Время на прочтение3 мин
Количество просмотров172K
На один из наших корпоративных сотовых телефонов была совершена почти успешная хакерская атака.
К счастью, довольно быстро удалось разобраться откуда «растут ноги».
Мы обнаружили очередную «дыру» в защите Мегафона, чем с вами и делимся.
Она касается всех абонентов сети.

Несколько дней назад я сообщил в абонентскую службу о «дыре» на сайте Мегафона. На момент 08.04.2013 уязвимость не исправили.
Подробности в студию!
Всего голосов 159: ↑147 и ↓12+135
Комментарии94

Внеплановое первое апреля от Руцентра. Не бойтесь, рассылка была ошибочная

Время на прочтение1 мин
Количество просмотров1.2K
Только что была ошибочная рассылка от Руцентра, что завтра удалят все домены, которые не были оплачены.
Возможно, это касается только зоны РФ.

Ответ от них — это ошибка, не пугайтесь. Домены, не оплаченные вовремя, будут висеть разделегированными ещё месяц. Cпешки нет.

Я ещё успел дозвониться в саппорт, возможно скоро им все линии оборвут. Говорят, несколько сотен тысяч ошибочных писем ушло.

В Багдаде всё спокойно. Пишу этот пост, чтобы снять панику у коллег по цеху.
Всего голосов 75: ↑62 и ↓13+49
Комментарии23

Биотехнологии в производстве печатных плат: грибница вместо травления

Время на прочтение1 мин
Количество просмотров4.3K
То, от чего пытаются избавиться на любом производстве — микробов, пыли, плесени и влаги — решили взять на вооружение канадские ученые.
На плату наносят рисунок из питательного раствора, орошают грибными спорами.

Матрица прорастает вдоль раствора, образуя 90–нанометровые дорожки.
Затем грибы орошают раствором воды с примесью растворенных в ней металлов.
Затем матрицу осушают, и получается волокнистая структура платы по заданной схеме, проводящей ток.
с плавными изгибами — что существенно уменьшает шум от наводки между дорожками.

Технология не позволяет сделать слишком миниатюрные платы, зато стоимость изготовления на 30% меньше аналогичных технологий травления.

Первоисточник.

image
Всего голосов 44: ↑42 и ↓2+40
Комментарии12

Хочу апдейта Хабра-Хабра

Время на прочтение2 мин
Количество просмотров585
Через месяц исполняется год, как на Хабре являюсь активным писателем букв и комментатором комментариев.
6 статей ушли в минуса и были мною самим забанены, 14ти остальным повезло больше, лучшие из них — про открытие компании и самодельный кондиционер.

Накопив немного очков опыта, пришел к выводу, чего мне не хватает.
Последовательность случайная, не в порядке убывания или роста важности или приоритета.
Пролистал все 63 страницы блога "Хабр — Идеи для сайта", добавил популярные темы в конец моего списка. Некоторые популярные намеренно пропустил.

  • Рейтинг избранных статей (самые избранные)
  • В вопрос-ответ добавьте плз возможность плюсовать и минусовать комментарии к ответам.
  • Раскрывающиеся части статей блоком (на плюсик нажал — тонна текста вывалилась). Так сказать, внутренний хабракат. Нажал обратно — убралось.

    Анимация, как это могло бы быть

Читать дальше →
Всего голосов 44: ↑42 и ↓2+40
Комментарии9

ВебМани тихо и незаметно усилили защиту. Возможно, у некоторых будут затыки с платежами

Время на прочтение2 мин
Количество просмотров9K
WebMoney усилило безопасность денежных переводов, в связи с чем многие могут потерять время и нервы.
Так как я их уже потерял, пишу этот пост, чтобы получить профит вы эти грабли обошли стороной.

Картинка для привлечения внимания

Итак, если вы пользователь этой системы и планируете в обозримом будущем вывод денег, новая защита может на вас сработать и перестараться.

Подробности, инструкции
под катом
Всего голосов 103: ↑92 и ↓11+81
Комментарии137

Любителям коротких адресов: список пока ещё свободных двебуквы.рф

Время на прочтение2 мин
Количество просмотров2.2K
Сегодня ночью регистраторы снижают цену на регистрацию доменов РФ (дешевле 100р.) для партнеров.
Пользуясь случаем, подобрал для себя несколько хороших адресов, с таким вот простым генератором

<?php
$voc='абвгдеёжзийклмнопрстуфхцчшщьыъэюя0123456789*';
for($i=0;$i<43;$i++){
for($j=0;$j<43;$j++){
echo $voc[$i].$voc[$j].".рф<br/>";
}}
?>


Под катом найденный список свободных доменов, если кому нужно, делюсь.

Буквы-аутсайдеры: ьыъй и разные шипящие.

Читать дальше →
Всего голосов 37: ↑22 и ↓15+7
Комментарии27

Регистрация своей фирмы собственными руками, туду-лист

Время на прочтение12 мин
Количество просмотров51K
Дисклаймер: описываю только свой личный опыт и мнения автора могут не совпадать с мнением автора. Статья огромная, читать много.

Пишу эту статью, и представляю себе тебя, читателя Хабра, которой в обеденный перерыв залез почитать что-нибудь для развития. А этот читатель, т.е. ты (да, не отворачивай глаза от букв, именно ты) давно наслышан, что своё дело – это круто. И, может быть, как раз не хватало лёгкого пинка, чтобы выйти из зоны будничного комфорта и что-нибудь, да предпринять.

Эта статья адресована тем, кто уже «на грани». Она почти лишена философии и туманных ссылок, просто тупо туду-лист. Бери и делай. Намеренно избавляю тебя от объяснений, зачем молодому проекту нужна госрегистрация, такая ли уж это свобода – быть собственником и от куда взять деньги на госпошлину. Статья адресована московским стартаперам, гео-патчи от других городов приветствуются в комментариях.
Будем считать, что с формой собственности определились — это ООО и упрощенка 6%. Если кому нужно ИП – там проще, справишься и без этой статьи.

Для создания фирмы необходимо:

Минимальный реквизит для создания своей компании
Подробности под кОтом.
Всего голосов 372: ↑351 и ↓21+330
Комментарии248

Lastfm: Последние дни последнего радио, или закручиваем гайки

Время на прочтение1 мин
Количество просмотров1.3K
Хотели песен? Нет их у нас...

Не стреляйте в пианиста...

Сегодня меня постигла печальная новость — с 17 ноября Last.FM закрывает наши любимые радиостанции.
Да, новость касается только платных подписчиков. И, кстати, деньги не вернут:
Возврат стоимости подписки

С 17 ноября 2010 г. Last.fm закрывает несколько станций, доступных для подписчиков. Мы понимаем, что эти изменения могут разочаровать наших подписчиков. Поэтому если ты стал подписчиком до того, как мы объявили об этих изменениях, а срок твоей подписки истекает после того, как изменения вступят в силу, ты можешь попросить вернуть тебе стоимость подписки.

Мы дико извиняемся, но запрашивать возврат стоимости подписки могут подписчики, имеющие право на возмещение.
Но в английской версии сайта кнопка «refund» все же работает.
Кто не знаком ещё с этим сайтом — почитайте, на хабре много писали. Раз и два.
На сайте PayPal сказали, что претензии по платежам принимаются не позднее 45 дней с момента платежа, и в Россию они деньги не отправляют.
Не то, чтобы большие деньги, но как-то не приятно задним числом правила менять и отрубать самый «вкусный» функционал.

Вопросы:


Есть аналоги? Что делать с возвратом денег за платеж через пайпал? Буржуйским подписчикам возвращают.
Под катом сразу начинаются ваши комментарии
Всего голосов 82: ↑72 и ↓10+62
Комментарии160

Прохлаждаемся: кондиционер своими руками

Время на прочтение4 мин
Количество просмотров223K
Статья даже для тех, у кого руки не от туда растут.

Мечта москвичаПреамбула: меня 5 недель не было в Столице всея России. По возвращении жара меня встретила ещё в Пскове, а дым – в Твери. Но в Москве меня ждал ещё один сюрприз – ажиотаж на вентиляторы и кондиционеры. Внимание! Под катом куча картинок и трафика.

Вентиляторов нигде не оказалось, кондиционеров тоже. Даже если и удастся что-то найти – наценка будет x4 и более. А очередь на установку кондишена – перевалила за 3 недели ожидания.

Ну не безобразие, скажете? Нет, не безобразие. Пораскинув мозгами, в день приезда простенький кондиционер уже стоял у меня в квартире.

Кликайте же скорее все, кто тоже хочет себе прохладу домой.
Всего голосов 271: ↑247 и ↓24+223
Комментарии337

Сторожевой пёс следит за вами (мониторинг хостинга)

Время на прочтение4 мин
Количество просмотров15K
Внимание! Данная статья для web-программистов — содержит исходники и техн. подробности.

На страже у качестваУ Вас было такое – что простой вопрос повергал Вас в ступор и глубокие раздумья? У меня такое случается каждый раз, когда клиенты или друзья спрашивают меня:

— Андрей, какой хостинг порекомендуешь для нашего сайта?


И ответить нечего, потому что все (все!) наши замеры не в пользу хостинговых компаний, даже никого конкретно приводить не буду — сами сможете проверить, выполнив рекомендации в этой статье.

Казалось бы, где зарыта собака? Ведь для нас хостинг – это одна из любимейших мозолей, на которую часто наступают, потому что мы – SEOнизаторы. Мы трудимся – чтобы выводить свои сайты и клиентов в топы, а плохой и нестабильный хостинг распугивает сканирующих роботов Яндекса, Гугла и иже с ними. Впрочем, часто хостинг валится и днём, особенно во время пиковых нагрузок около 18:00 из-за наплыва в Интернете зевак под вечер.

Вот самое простое, что бывает – сайт исправно работает днём, пока бдит саппорт хостера. А ночью иногда исправно «лежит» в нокдауне. Например, скрипты хостера делают бекапы и все перегружено. Клиенты спят, покупатели спят, сайт спит. Все довольны, кроме поисковых пауков.

Первое, что мы сделали – купили свой дорогой сервер и отвезли его к Каравану (спасибо ребятам за отличное качество колокейшн). Но сервер у нас не резиновый, и как услугу хостинг мы не предоставляем. Поэтому пустить всех наших и не можем.

Чтобы как-то контролировать ситуацию – я написал пару лет назад монитор стабильности хостинга. Сейчас, когда у нас уже много других конкурентных преимуществ – мы готовы выложить исходники и алгоритм работы для Хабраобщественности, чему и посвящен этот пост.

Итак, ближе к делу.
Всего голосов 75: ↑64 и ↓11+53
Комментарии29

Билайн, полгода спустя: всё ещё планирует передавать ваши персональные данные компаниям-коллекторам, если Вы задолжали

Время на прочтение2 мин
Количество просмотров4K
Билайн, такой би лайн.

С полгода тому назад я опубликовал свой первый пост на хабре про холодный лицемерный оскал корпорации по отношению к своим абонентам (т.е. к тебе, %юзернейм%). 1 мая 2010 года, на этот раз молча, Пчелайн выкатил очередной апдейт договора, и все те же грабли в силе, +1 ОДНА БОНУСНАЯ ГРАБЛЯ, о чем и пойдет речь дальше.

Если вкратце — то в договоре был пункт про передачу ваших личных персональных данных долгосборникам (коллекторам), и другой пункт — про передачу твоих личных данных вообще кому попало. От первого можно было избавиться, притопав лично ногами в офис Полосатого оператора и заполнив от руки заявление не установленного образца. Если ты, я надеюсь, это сделал, то теперь могу смело сказать, что совершенно напрасно :)

Да, те, у кого нет Интернета, но есть желто-черная симка — тебя это тоже касается.

Продолжение банкета под катом
Всего голосов 189: ↑169 и ↓20+149
Комментарии168

Кража доменов: Что делать, если во время этой массовой атаки у вас его увели

Время на прочтение2 мин
Количество просмотров3.1K
Мы партнеры руцентра, и домен одного из наших клиентов «увели».
Вот тут была первая «молния» про эту атаку habrahabr.ru/blogs/infosecurity/95705

Косяк руцентра — при смене ДНС никаких уведомлений мне не пришло.
Что руцентр сделал хорошего — заблокировал временно смену партнера.

Хакеры сменили пароль доступа и нс-сервера.

НО! Этим он не ограничился. ВНИМАНИЕ! Зло хитро и противно.
В качестве ns-серверов хакер прописал ns.имясамогодомена.ru и такой же ns2, через пробел прописал айпи транспарентного прокси-сервера 62.122.75.80

Т.е. на лицо первый уровень маскировки.
Следующий фронт мимикрии — сервер по указанному адресу транспарентно брал контент со старого айпи-адреса (уж не знаю как).
Не знаю, сколько бы это всё продолжалось, но сервер хакеров начал давать сбои и перестал выдерживать нагрузку.

Тормоза сайта и отказ аутлука работь с почтой поднял панику сначала на стороне клиента, потом уже у нас в офисе.

Какое было недоумение и ощущение мистики, Вы бы знали ) Быстрый гуглинг айпишника вывел на статью в рунете про массовый взлом доменов (спасибо, %юзернейм%!).

Дальше действовали быстро (после постановки диагноза).

Читать дальше →
Всего голосов 74: ↑65 и ↓9+56
Комментарии32

Дыры в безопасности веб-интерфейса mail.ru

Время на прочтение2 мин
Количество просмотров4.1K
Ты, %username%, наверняка доверяешь свою приватную почту гуглу. Но для тех из нас, кто сидит на mail.ru (как, увы, я), это сообщение может сподвигнуть на переезд.

В прошлом году я уже натыкался на проблемы с безопасностью мейл.ру — там в письме присылали хитрую ссылку с выполнением ява-скрипта злоумышленников через редирект на сервис проверки орфографии на серверах mail.ru. С тех пор не проверял — закрыли ли дырку, но в саппорт написал.

Вчера наткнулся на очередную пробему в безопасности вебинтерфейса. Сейчас коллектив мейл.ру активно совершенствует юзабилити, честь им и хвала, но пролезают совсем дурные недоделки.

Мне пришел очередной спам вот этих ребят: h.visaconcord.ru — обычное красочное письмо с рекламой то ли туров, то ли ещё чего.
Вирусов-троянов вроде нет по этому адресу.

Спамеры что-то перемудрили, и включили какой-то активный код в скрипт письма, который интерфейс мейл-ру выполнил, и в итоге ВСЕ ссылки на странице мейл.ру поменялись на ссылки на этот сайт, причем ссылки стали вида h.visaconcord.ru/msglist?204003361&f=2 — т.е. поменялся только домен.

Это письмо быстро само исчезло из ящика, сохранить я его не успел. Что тоже не понятно — движек Mail.ru позволяет себе сам удалять письма из ящика уже после того, как пользователь его увидел и получил.

Если разбираетесь в серверном ПО -
Всего голосов 68: ↑48 и ↓20+28
Комментарии91

Выступаем публично. Подготовка к твоему первому выступлению на конференции

Время на прочтение4 мин
Количество просмотров6.9K
AHTUNG!!!!Приветствую, коллеги по цеху. Начну с отказа от ответственности. Сам я не опытный рассказчик, а только учусь. Возможно, именно поэтому мой опыт будет интересен другим новичкам. Опытных презентаторов, кому есть что добавить — прошу отписаться в комментах или в личку — что можно было бы сделать лучше.

Началось всё с того, что на РИФ+КИБ нашей компании выступить не удалось, в силу разных причин, а давно хотелось. Следующее интересное отраслевое событие — "Неделя электронной торговли", и наши доклады включили в программу мероприятия (не без помощи razmolot).

Начитавшись на Хабре статей (раз, два, три и т.д.), начал готовиться к первому своему публичному выступлению.

Итак. Первое: Цели. Как правильно писали умные люди на Хабре — презентация это не "о чем", а "зачем".

Мои цели были следующие:
Всего голосов 101: ↑84 и ↓17+67
Комментарии67

Перевод нового фильма «День Триффидов», The Day Of The Triffids (Часть Вторая)

Время на прочтение2 мин
Количество просмотров1.5K
Вот первая серия с субтитрами — там же можно почитать подробнее о фильме.Обложка

Сегодня в торрентах появилась отдельно вторая серия экранизации этой замечательной книги, и отдельно перевод на нотабеноиде, но со слабой оцифровкой. Сшил первое и второе вместе для вашего удобства.

Описание под катом
Всего голосов 34: ↑19 и ↓15+4
Комментарии15

Билайн планирует передавать ваши персональные данные компаниям-коллекторам, если Вы задолжали

Время на прочтение2 мин
Количество просмотров1.3K
Как уже писали на Хабре, Билайн успешно поедает остатки Корбины-телеком.
Уже закрыли старый личный кабинет, халявное телевидение и некоторые другие гайки подзакрутили.

На этой волне Билайн перевёл всех корбиновцев с 1 декабря 2009 года на новый договор-офёрту пользования услуг Интернета.

По сложившийся традиции, договора у нас читать не любят, но я решил пойти против шерсти, и внимательно почитал. При желании, вы тоже можете найти этот текст, в конце статьи я размещу прямую ссылку.

Чтобы сэкономить ваше время, привожу самую вкусную часть договора — пункт про публикацию ваших личных персональных данных и передача их в компании-сборщики долгов.

Читаем п. 3.12. — в нем Компания разрешает себе распространять ваши личные и персональные данные, назвав это их «обработкой». По телефону операторы коллцентра оправдывались, что «имели ввиду распространения только в пределах себя».

Дальше — круче.
Читать дальше →
Всего голосов 84: ↑80 и ↓4+76
Комментарии47

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Дата рождения
Зарегистрирован
Активность