книги хакеры / журнал хакер / 166_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|||
|
F |
|
|
|
|
|
|
|
t |
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
MEGAm NEWS |
||||||
w Click |
|
||||||||||
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xcha |
n |
e |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
ЧЕТЫРЕХМИЛЛИОННОЕДОМЕННОЕИМЯбылозарегистрировановзоне.RU17сентября2012wгода.Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ЯБЛОЧНЫЕИЗВЕСТИЯ
КОМПАНИЯAPPLEПРЕДСТАВИЛА НОВЫЙIPHONEИНЕТОЛЬКО
сентябрекомпанияAppleпровелапрезентацию,стольожи- В даемуюпоклонникамибрендаповсемумиру.Затаивдыхание,всеждалиновыйiPhone,ионпришел.Тебеуженавернякаизвестенсписокосновныхотличийновогосмартфонаотверсии
4Sиболееранних(темболеечтоникакихсверхинновацийаппарат непринес),однакопозвольнапомнитьоключевыхмоментах.Теперь устройствоосновываетсянановойоднокристальнойсистемеA6,котораяпочтивдваразапроизводительнеесвоейпредшественницы. Устройствосталона18%тоньше(толщина—7,6мм)ина20%легче (масса—112граммов),чемiPhone4S.ИэтонепомешалоiPhone5 получитьчетырехдюймовыйдисплейразрешением1136х640точек. iPhone5такжеполучилулучшеннуюкамеруразрешением8Мп.Она оснащаетсядатчикомстехнологиейобратнойзасветкииобъективомсмаксимальнойдиафрагмойF/2,4.КамерапозволяетзаписыватьвидеоFullHD,поддерживаеттехнологиюраспознаваниялици наделенарежимомсъемкипанорам.
Ещеоднимнововведениемстал8-контактныйразъемLightning (на80%меньшетого,чтоиспользовалсявпредыдущихпоколениях iPhone).Пожалуй,именноонивызвалбольшевсегоспоровинареканий.Деловтом,чтомногиевообщеожидалиувидетьвновом устройстветехнологиибеспроводнойзарядки,авместонихпублике подсунулиновыйразъемпитания,который,ковсемупрочему,не совместимспрежним,азначитипрактическисовсей«старой» периферией.Стоитдобавить,чтоAppleпродаетадаптерна30pinза 29долларовштука,аадаптерLightning-USBстоит19долларов.Не- удивительно,чтонедовольствовкомьюнитибыстродостиглотаких масштабов,чтопредставителиAppleбыливынужденыдатькомментарий,пояснив,чтобезLightningновыеiPhoneиiPodнеудалосьбы сделатьтакимитонкими.Тоестьудобствопользователейпринесли вжертвуминиатюризации,никогоособенноинеспрашивая.
МногихпоклонниковAppleтакжеудивилоирасстроилоотсутствиетехнологииNFCвiPhone5.Технологиядействительноочень активновнедряетсявмобильнуютехнику,позволяяиспользовать гаджетывкачествеэлектронногокошелькадлябесконтактных платежей,вкачествеэлектронныхпропусковитакдалее.Однако старшийвице-президентAppleФилиппШиллерзаявил,чтоNFC врядлиспособнарешитькакую-либоизтекущихпроблемпользо- вателей,ктомужедляскидочныхкартиэлектронныхбилетовесть приложениеPassbook,которое«ничутьнехуже».
Хотяизвышеописанногоскладываетсяощущение,чтомногие ожидалиотiPhone5большего,наделеуAppleвсеидетпрекрасно. ПредварительныепродажиiPhone5прошлисрекорднымуспехом, чтоотразилосьинастоимостиакцийкомпании.Ценаоднойакции Appleвпервыезавсюисториюпревысила700долларов.
Запервыесуткибыло сделаноболеедвух миллионовпредварительныхзаказов наAppleiPhone5,что превышаетпрошлый рекорд,установленныйiPhone4S,более чемвдвараза(тому удалосьвзятьрубеж лишьвмиллион предварительных заказов).
Взавершениестоитотметить,чтопомимоiPhone5корпорация AppleпрезентовалатакжеобновленныеплеерыiPod,наушники EarPods,надкоторымиработавстанекомпаниикипелаболеетрех лет,ифинальнуюверсиюiOS6,бесплатныйпереходнакоторуюуже начался.
ВИЦЕ-ПРЕЗИДЕНТПОКИБЕРБЕЗОПАСНОСТИTRENDMICROСЧИТАЕТ:
«ПРОГРАММЫВОСТОЧНОЕВРОПЕЙСКИХХАКЕРОВ СДЕЛАНЫТАКЭЛЕГАНТНО, ЧТОИХМОЖНОСРАВНИТЬ СЯЙЦАМИФАБЕРЖЕОТ МИРАМАЛВАРИ»
010 |
ХАКЕР 11 /166/ 2012 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
АлексейСинцовw Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
#hackertweets
@0xcharlie
В понедельник я начну работать в security-команде Twitter. Буду рад работать с такой великолеп-
ной командой!
Комментарий:
Чарли Миллер ушел из оффенсив- в дефенсив-стиль. Тренд года ;)
@indi303
Шаг номер 1 для ВСЕХ пентестеров на СОВМЕСТНОМ проекте: «man screen» или «man
tmux».
@ryanaraine
Черт! Apple только что выпустили новый iTunes c патчами для 160+ уязвимостей (CVE).
@garethheyes
JS prо совет: используй Error(). stack вместо try catch.
@dlitchfield
Подождите, что? Qualys BrowserCheck для Chrome на Windows имеет базовый адрес
0x10000000? #DERP #FAIL #ASLR pic.twitter. com/NuDv5IRQ
Комментарий:
Вот так софт, который должен проверять защищенность, по факту делает систему более уязвимой 8)
@Code_Analysis
Что выведет этот код? cout << (sizeof(char *) == 8) ? "64-bit" : "32-bit"; Проверь себя. Ответ:
http://www.viva64.com/en/b/0162/ #cpp
Комментарий:
Интересный вопрос на внимательность 8)
@thomasbeagle
Из инсталлера: «Java предлагает защищенный и безопасный доступ в восхитительный мир
Java-контента». Я насчитал три лжи, а вы?
@WTFuzz
Выровненный HeapSpray @ 0x10000:document. createElement('canvas').
getContext('2d'). createImageData(0x10000000/4-0x20,1); .data = byte[]
Комментарий:
HTML5 дает нам новые инструменты для HeapSpray 8)
@corelanc0d3r
У меня 99 Java-проблем, и одна из них patch.
Комментарий:
Не фанат рэпа, но шутку поддерживаю :)
@fdfalcon
Вы отвечали когда-нибудь на SMS-опрос SQL-инъекцией? 1) Да. 2) Нет. 3); drop table
answers;--
@NTarakanov
Нынче 2012-й, но некоторые ядреные разработчики до сих пор не в теме того, что
METHOD_BUFFERED так же опасен, как и METHOD_NEITHER.
@NTarakanov
Вот, собственно, обещанное (про INFO-BEZ EXPO 2012 Security Awards FAIL ;) ):
#lulz #0-dayz
@NTarakanov
+ к предыдущему твиту: этот продукт сертифицирован! Интересно, как проходила эта сертификация, если я пьяный за минуты вскопал там 0-dayz?
Комментарий:
Вот так легко и непринужденно Никита показывает, что отечественный софт, который должен защищать наше Гос-во, на деле швейцарский сыр.
И это не случайность или (не)везение — это следствие того, как у нас подходят к делу разработки ПО.
@djrbliss
Я только что открыл VOP (Victory-Oriented Programming). Зачем вам ROP/JOP/како-
го_хрена_OP, когда вы сразу можете юзать VOP? Работает всегда.
@noahphex
Если твой аккаунт для твиттера в большинстве своем «ретвитит», то он бесполезен.
ХАКЕР 11 /166/ 2012 |
011 |
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|||
|
F |
|
|
|
|
|
|
|
t |
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
MEGAm NEWS |
||||||
w Click |
|
||||||||||
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xcha |
n |
e |
|
GOOGLEОТКАЗАЛАСЬОТПОДДЕРЖКИIE8ВGOOGLEAPPS,сочтяустаревшимодинизсамыхпопулярныхбраузеров
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
поверсииStatСounter.w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
СТРОКАКОДАСПОСОБНА ОБНУЛИТЬGALAXY
НАЙДЕНАОПАСНАЯДЫРКАВСМАРТФОНАХSAMSUNG
|
X |
акерскаяконференцияEkoparty—ивентнеслишкомизвестный, |
|
однакоэтоназваниебылоувсехнаслуху,послетогокакресерчер |
|
|
|
РавиБоргаонкаризБерлинскоготехническогоуниверситетапроде- |
|
|
монстрировалнаEkopartyуязвимостьфлагмановSamsung.Хакеробнаружил ипоказалдовольнопростуювещь:дыркувПОSamsungTouchWiz,которое установлено,вчислепрочего,инасмартфонахGalaxySIIиSIII.
Деловтом,чтодажетакаяважнаяоперация,какудалениепользовательскойинформации(возвраткзаводскимнастройкам)вэтихаппаратахреализо- ваначерезUSSD-запрос,состоящийизсимволов«звездочка»(*),«решетка»
(#)ицифр.Ктомужеаппаратыавтоматическиобрабатываютссылкинаномера,которыеначинаютсяс«tel:».Выходит,чтодляэксплуатациибагахакерам достаточноскрытькакой-либоUSSD-запросвкодесайта,передатьегона аппаратчерезканалNFCилизашифроватьеговQR-коде. Достаточновообще внедритьвHTML-страницуфреймвида<framesrc="tel:*2767*3855#"/>сUSSD- запросом*2767*3855#,ичерноеделосделано—смартфонбудет«очищен».
Конечно,уданнойуязвимостиестьидругиенеприятныевозможностипри- менения–кпримеру,можносовершатьзвонкинаплатныеномера.Проверить свойаппаратнаналичиеэтойдыркиможнопоадресуhugelaser.com/ac/ussd- test.php?conf=true.ЕслитыувидишьсвойIMEI-номер,значиттвойсмартфон, увы,вчислеуязвимых.
МеждутемпродажиSamsungGalaxySIIIужеперешагнулирубежв20миллионовустройств, чтоделаетSIIIсамымуспешнымсмартфономотSamsungзавсюисторию.
СЕРЬЕЗНЫЙСБОЙ РЕГИСТРАТОРА GODADDY
ХАКЕРЫПОПЫТАЛИСЬПРЕДСТАВИТЬ ТЕХНИЧЕСКИЕНЕПОЛАДКИКАКВЗЛОМ
лительныйсбойпережилвсерединесентября Д крупнейшийвмиререгистраторGoDaddy,под
контролемкоторогонаходятсяболее50миллио- новдоменов.Из-занеполадоквофлайнушлимиллионы сайтов,таккакDNS-серверыCNS1.SECURESERVER.NET, CNS2.SECURESERVER.NETиCNS3.SECURESERVER.NET пересталифункционировать.
Оперативноустранитьпроблемуневышло—потратив четыреслишнимчасанатщетныепопыткиреанимации, компанияперевелавсехклиентовнасерверыVerisign, итолькопослеэтогосайтывернулисьвстрой.Темвреме-
немвтвиттерепоявилосьсообщениеотхакераAnonymous Own3r,принявшегоответственностьзавзломнасебя.
Хакеробъяснилсвойпоступокпросто—мол,онхотел проверить,какработаетсистемазащитысайтаоткибератак,иякобыимелпричины,окоторыхговоритьпокане может.Ноналавраххакерпочивалнедолго—черезсутки компанияGoDaddyопубликовалаофициальноеобъяснениеслучившегося.Сталоясно,чтоздесь,какивслучаес AntiSec,якобывзломавшиминоутбукагентаФБР,хакер выдалжелаемоезадействительное.
GoDaddyсообщила,чтопричинойсбояпослужилане хакерскаяатакаиневмешательствоизвне,абанальная ошибкавтаблицахмаршрутизации.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
NVIDIAПОКИНУЛГЛАВАМО- |
ПОСТАВКИПАМЯТИDRAM |
|
MICROSOFTМОЖЕТПРАЗД- |
39%СОТРУДНИКОВИТ- |
INTELСООБЩАЕТ,ЧТО |
|||||
БИЛЬНОГОПОДРАЗДЕЛЕНИЯ |
ДЛЯПКВПЕРВЫЕОПУСТИ- |
|
НОВАТЬ—Windows7стала |
ОТДЕЛОВИМЕЮТДОСТУП |
НАЧАТОПРОИЗВОДСТВО |
|||||
МайкРэйфилд, отвечавший |
ЛИСЬНИЖЕОТМЕТКИ50%и |
самойраспространеннойОСв |
ККОНФИДЕНЦИАЛЬНЫМ |
ЧИПОВINTELWIRELESS |
||||||
зачипсетыTegra—свое- |
составили49%,сообщаетIHS |
мире(42,76%),поданнымNet |
ФАЙЛАМ,ккоторымдоступа |
CHARGINGTECHNOLOGY.Сих |
||||||
образныйIntelмираARM- |
iSuppli.Смартфоныипланше- |
Applications.Длясравнения: |
унихбытьнедолжно.Каж- |
помощьюреализуютбеспро- |
||||||
процессоров. |
тыотвоевалинемалуюдолю |
MacOSXдосталось7,13%. |
дыйпятыйужепользовался |
воднуюпередачуэнергиис |
||||||
|
|
|
|
рынка. |
|
|
|
этойвозможностью. |
одногоустройстванадругое. |
012 |
ХАКЕР 11 /166/ 2012 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
ОГРАНИЧЕНИЕMICROSOFTIDтеперьраспространяетсяинаHotmailтоже—нельзяустановитьпарольдлиннее16символов.w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
МНОГОЛИРЕКЛАМЫ ВGOOGLE?
ЖУТКОВАТЫЙРЕЗУЛЬТАТПРОСТОГОИССЛЕДОВАНИЯ
абавноеигрустноеодновременноисследованиепровелблогер
ЗАлексЮмашев(blog.jitbit.com),иповторитьегоопытлегкосможет каждый.ДляэкспериментабудетдостаточновыключитьAdblock
(илидругиеподобныерешения)ипростозайтивGoogle.Оказывается,рекламанастраницерезультатовпоисканепростоприсутствует,нозанимает львинуюдолюпространства—Юмашевнасчитал81,5%площадидляноутбу- касразрешением1280х960!Тоестьполезнаяинформацияинепосредственнорезультатыпоискаютятсянажалких18,5%экрана.Мыповторилиопыт намониторесразрешением1920х1080иполучилиприблизительнототже печальныйрезультат,которыйтывидишьнаскриншотерядомстекстом.Стоитлиговоритьотом,сколькополезногоместапожираетрекламанаэкранах смартфонов,нетбуковипрочихмобильныхдевайсов?
НоЮмашевтакженеполенилсяподсчитать,скольковсегоссылокпользовательвидитвокнеисколькоизнихдействительноявляютсярезультатамипоиска.Этицифрывыглядятедвалинестрашнеепредыдущих.Из45 ссылоктолько5—результатыпоиска(еслисчитатьсадресамисайтов,то соотношениесоставляет10из57)!
Стоитсказать—такбылоневсегда.Некогда,встародавниевремена,поисковаявыдачаGoogleбыла информативнаиаскетична—ещев2007году,еслисудитьпостарымскриншотам,результатыпоис- казанималипримерно50%площади.
ДОВЕРСИИ2.0ОБНОВИЛСЯПОПУЛЯРНЫЙBLACKHOLEEXPLOITKIT
АВТОРЫУВЕРЯЮТ,ЧТОВНОВОМBLACKHOLEСНУЛЯПЕРЕПИСАНОПРАКТИЧЕСКИВСЕ, ВКЛЮЧАЯАДМИН-ПАНЕЛЬ ИВЫДАЧУЭКСПЛОЙТОВ
НОВОЕСЛОВО ВЗАЩИТЕБАНКОМАТОВ
ЦЕНТРАЛЬНЫЙБАНКГОТОВИТСВЕЖИЕ РЕКОМЕНДАЦИИПОБЕЗОПАСНОСТИ
|
Н |
еумолимаястатистикаотсамыхразныхиссле- |
|
довательскихкомпанийгласит—скиммингв |
|
|
|
Россиипроцветаетиотэтоговидамошенниче- |
|
|
ствапрактическинезащищеныбанкоматымножества банков.Кпримеру,тольковпервомкварталетекущего годабылозафиксировано362случаяустановкискимме- ровнабанкоматыиужевовторомквартале2012-гоэта цифравозрослана30%!Оспособахзащитыотэтойнеприятнойразновидностикардингаговорятмногоидавно, но«серебрянойпули»досихпорнепридумали.Вэтом месяцегазета«Коммерсантъ»рассказала,чегонамстоит ожидатьвскоромбудущемвэтойсфере.
Поинформации«Ъ»,ЦБсейчасзанимаетсяподготовкойновыхрекомендацийпозащитебанкоматов.Речьв готовящемсядокументе,вчастности,идетобоснащении банкоматовнетолькопассивнымисредствамизащиты, которыеширокоприменяютсяужесегодня,ноиактивными.Чтоэтозначит?Предполагается,чтобанкоматы можнооснащатьспециальнымиприборами,создающими электромагнитноеполе,котороенепозволитникакому другомуустройству,кромесамогобанкомата,считывать данныескарт.Воттакойsci-fi.Кактивнымзащитным устройствамЦБтакжеотноситдетекторы,определяющие,чтонабанкоматустановленскиммер,иинформирующиеобэтомбанк.Стоитсказать,чтоактивнаязащита тожепридумананевчераивнастоящиймоментуже используется,нолишьна5%банкоматов,что,конечно, ничтожномало.Оснащениеодногобанкоматаактивной защитойобходитсябанкамв1,5–2тысячидолларов(в Россииихболее80тысяч).
Впрочем,дажеактивнаязащитанеубережетгарантированноотскимминга.Экспертыпредупреждают, чтомошенникитакжемогутустановитьсчитывающее устройствоненасамбанкомат,но,например,назамок, пропускающийклиентавотделениепокартевночное время.Возможнымвыходомизданнойситуациимогбы статьпереходбанковначипованныекарты,однакоэтот
вариантобойдетсябанкамзначительнодороже,азначит, ониврядлинаэтопойдут.
Нуи,конечно,нестоитзабыватьотом,чтоским- минг—неединственнаяпроблематакогорода.Кпримеру, в Россииужепоявилсядостаточномолодой,ноужепопу- лярныйнаЗападешимминг—посути,этоболееизящный иминиатюризированныйспособскимминга.Вотверстие банкоматаустанавливаетсясверхтонкаяигибкаяплата, котораяприкрепляетсякконтактам,считывающимданныескарт.Достойныхспособовборьбысэтойнапастью покавообщенепридумали.
ХАКЕР 11 /166/ 2012 |
013 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
||
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
|
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|||
|
|
|
|
to |
MEGAm NEWS |
||||
w Click |
|
||||||||
|
|
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
.c |
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
ПЛИМУТСКИЙУНИВЕРСИТЕТвВеликобританииприсвоилЕвгениюКасперскомустепеньпочетногодоктора.w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ЭКСПЛОЙТCRIME— РАСШИФРОВКАДАННЫХ TLSИSPDY
АВТОРЫBEASTПРЕДСТАВИЛИНОВУЮРАЗРАБОТКУ
Авторыэксплойтазаранеепредупредиливсехпроизводителейбраузеровосвоей разработке,нопатчиустановленыпокатольковпоследнихверсияхChromeи Firefox.
сследователиДжулианоРиццоиТхайДыонг—известные
Иличностинасовременнойсцене.Всвоевремяименноони разработалитехникуBEAST,используемуюпротивSSL/
TLS-соединений.НовоедетищеРиццоиДыонгаполучилонеменее звучноеназваниеCRIME(CompressionRatioInfo-leakMadeEasy)и используетсяужедляканаловсвязиSSL/TLSиSPDY.Припомощи новогоэксплойтаможнорасшифроватьтрафикTLSпослеисполненияатакующимскриптавбраузерепользователя.Такжетребуется, чтобыиспользовалосьсжатиепередаваемыхданных.ВсвоейработеCRIMEопираетсянафункциикомпрессиизаголовковспомощью zlibиявляетсяпродолжениемидей,ранеевоплощенныхвBEAST.
Всясользаключенаввозможностивыделенияиззашифрованного трафикаблоковданныхсметками,отправляемымиподставным JavaScriptнасайт,длякотороготребуетсяперехватитьcookie,в рамкахобщегошифрованногоканаласвязи.Деловтом,чтоданные сжимаютсянаэтапедошифрованияинеподвергаютсядополнительнойрандомизации.Определить,гдевзашифрованномфайле находятсяcookies,можно,исходяизтого,чтовэтомместеzlibлучше сожметтрафик,ссылаясьнапредыдущийблок.Защититьсвой сервакоттакой«радости»можно,простоотключивсжатиеSSL/TLS. Тожесамоекасаетсяибраузеров,длякоторыхпоканетпатчей.
ПАРАДОКС:«ЯНДЕКС» ОБОГНАЛGOOGLE
ЭКСПЕРТЫНЕПОНИМАЮТ,КАК«ЯНДЕКС»СУМЕЛОБСТАВИТЬ GOOGLEНАИХЖЕПОЛЕ.КТОСКАЗАЛ«ЗАЩИТНИК»?
траннуюновостьпринеслаопубликованнаявэтоммесяце
СстатистикаLiveinternetзаиюль2012года.Оказывается, вбраузереChromeпопоисковомутрафикувРоссиилиди-
руетсовсемнеGoogle,какможнобылобыподумать,а,внезапно, компания«Яндекс»—44,5%против43,2%.
Какимобразом«Яндексу»этоудалось,доподлиннонеизвестно. Ностоитсказать,чторезультатвдвойнеудивителен,еслипомнить
отом,чтосавгуста2011годаGoogleзапретиладляпользователейрядастран(включаяРоссию)выборпоисковикаприпервой загрузкебраузера.ВChromeпоумолчаниюиспользуетсяименно собственныйпоискGoogle.Нет,разумеется,возможностьвыбора поисковика,которыйпользовательхочетюзатьпоумолчанию, осталасьгде-товнедрахнастроек«Хрома»,нотудадоберется далеконекаждый.
Теперьэкспертыуверены,чтоу«Яндекса»появилсянекий каналпродвижениявбраузере,нокакойименно—сказатьне могут.Намкажется,чтоэкспертынемноголукавятилинехотят озвучиватьочевидное—делоявнонеобошлосьбезмногочис- ленныхикрайненавязчивыхтулбаровот«Яндекса».УGoogleсвой тулбар,конечно,тожеесть,нотолькодляIEиэффектотнегов Россиидовольнослабый.Ведьпрактическивесьбесплатныйсофт, популярныйвнашейстране,предлагаетзаодноссобойустановить и«Яндекс.бар».Притомвчислопартнеров«Яндекса»входяттакие популярныеинструменты,какuTorrent,DaemonToolsитакдалее. Плюс,пожалуй,нестоитзабыватьиотом,чтоумногихпользователейРунета«Яндекс»попростуназначендомашнейстраницей.
|
|
|
|
|
|
|
|
|
|
КОМПАНИЯEINKПРОДЕМОН- |
|
|
|
|
|
|
|
|
|
|
|
|
|
СТРИРОВАЛАИНТЕРЕСНЫЙ |
|
|
|
|
|
|
ПРОТОТИПСМАРТФОНАС |
|
|
|
|
|
|
ДВУМЯЭКРАНАМИнавы- |
|
|
|
|
|
|
ставкеIFA2012:соднойсто- |
|
|
|
|
|
|
ронырасположилсяобычный |
|
|
|
|
|
|
дисплей,асобратнойсторо- |
|
|
|
|
|
|
ныустройства—вспомога- |
НАФИЛИППИНАХЗАПРЕТИ- |
IPV4ДЕЙСТВИТЕЛЬНОЗА- |
|
|
|
|
тельныйe-ink-дисплейдля |
ЛИКИБЕРСЕКСврезультате |
КАНЧИВАЕТСЯ.Последний |
|
|
|
|
чтенияиэкстренныхслуча- |
принятиязаконаопредот- |
блокIP-адресовизадрес- |
|
|
|
|
ев.Отличнаяидея,надеемся, |
вращениикиберпреступ- |
|
ногопространстваIPv4/8 |
|
|
|
онадоберетсядоприлавков |
ности,запретившеготакже |
|
вЕвропебылраспределен |
|
|
|
магазиновинеостанется |
прослушкуикиберсквот- |
|
вконцесентября,сообщил |
|
|
|
прототипомнавечно. |
тинг. |
|
RIPENCC. |
014 |
ХАКЕР 11 /166/ 2012 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
KICKSTARTERОБЪЯВИЛАВОЙНУФАНТАЗЕРАМ.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
m |
|
Взаявкахбольшенедопускаютсярендерыустройств—толькореальныепрототипы.w Click |
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
МОБИЛЬНЫЕНОВИНКИОСЕНИ
КРУПНЫЕАНОНСЫВЕДУЩИХПРОИЗВОДИТЕЛЕЙ
е только компания Apple презентовала этой осенью свои
Нновинки. Другие производители, похоже, подстроились под цикл «яблочного» гиганта, и в стане Android тоже
произошло несколько примечательных событий, которые заслуживают внимания.
Компания Amazon обновила свои Kindle, и это касается не только ридеров на базе e-ink, но и планшетов, на которых мы остановимся подробнее.
Первый Kindle Fire оказался очень популярным благодаря низкой цене и высокому качеству. На смену ему пришли сразу три новых планшета на базе модифицированной Android 4.0. Основной Kindle Fire носит прежнее название, но получил ускоренный на 40% процессор, вдвое больше оперативной памяти (1 Гб) и аккумулятор помощнее. Цена планшета по-прежнему остается низкой — всего 159 долларов. Второй планшет уже является не апгрейдом существующей модели, но совершенно новым девайсом. Kindle Fire HD выходит в двух версиях: с 7- и 8,9-дюймовым экраном (разрешение 1280 х 800 и 1920 x 1200 соответственно). Интересно, что покрытие у дисплеев антибликовое. Планшет работает на процессоре OMAP 4.470 от Texas Instruments, который, по данным Amazon, легко оставляет позади Tegra 3, а объем его оперативной памяти составляет 1 Гб. Есть HD-камера, HDMI-выход, Bluetooth и другие радости жизни. Но у новинки будет и еще одна разновидность: Kindle Fire HD LTE. Как нетрудно догадаться, эта версия оснащена мощной двойной антенной для сотовых сетей и не менее мощным Wi-Fi-приемником. Компания обещает прирост
в скорости загрузки контента на 40%. Эта «игрушка» выступает флагманом всей серии и обойдется уже недешево — придется выложить 499 долларов.
Главный конкурент Amazon — Barns and Noble тоже не дремлет. Не прошло и пары недель, как компания, вслед за Amazon,
Motorola,HTCиLGтакжеанонсировалиновыепродукты,притомMotorola представиласмартфонRAZRiнабазеплатформыAndroid4.0ичипаIntel Atomстактовойчастотой2,0ГГц.ЭтопервыйплодальянсаMotorola— Intel,которыйкомпаниясчитаеточеньважным.Вочереднойразжаль, чтоMotorolaофициальнонепредставаланароссийскомрынке.
презентовала обновленные планшеты. Цена на устройства серии NOOK осталась на прежнем уровне, а вот начинка значительно изменилась. Младшая, наиболее популярная модель NOOK HD с 7-дюймовым экраном получила двухъядерный процессор TI OMAP 4470 с частотой 1,3 ГГц, 1 Гб оперативки, а также 8 или 16 Гб встроенной памяти. Нужно сказать, что в тесте GL Benchmark планшет показал 60 кадров в секунду, что в два раза больше, чем у Kindle Fire HD. Цена на NOOK HD с 8 Гб памяти составила 200, с 16 Гб —
230долларов.
Амежду компаниями Google и Acer тем временем разгорелся конфликт. Поисковый гигант пригрозил тайваньской компании прекращением всяческого взаимодействия по платформе Android, в том числе и отказом в технической помощи, в случае если Acer не откажется от выпуска смартфона Acer CloudMobile A800. Что не так с этим аппаратом? Он должен был базироваться на платформе Aliyun, разработанной китайской фирмой Alibaba Cloud Computing. Данная ОС основана на ядре Linux, и Alibaba анонсировала ее еще летом 2011 года. На Aliyun OS уже вышел ряд устройств от китайских компаний (Tianyu и Haier). В Acer угрозу
Google, судя по всему, восприняли серьезно —компания отменила презентацию устройства без каких-либо объяснений. Официальных комментариев от обеих сторон до сих пор не последовало.
BLIZZARDШПИОНИТЗАПОЛЬЗОВАТЕЛЯМИ
ВСКРИНШОТАХ WORLDOFWARCRAFT НАШЛИСКРЫТЫЕ ВОДЯНЫЕЗНАКИ, СОДЕРЖАЩИЕДАННЫЕОUSERID,TIMEИ REALMВВИДЕASCII
ХАКЕР 11 /166/ 2012 |
015 |
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|||
|
F |
|
|
|
|
|
|
|
t |
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
HEADERm |
||||||
w Click |
|
||||||||||
|
|
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xcha |
n |
e |
|
КОЛОНКА СТЁПЫИЛЬИНА
ДЕСАНТ
FACEBOOK’АВМОСКВЕ
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
МАРК, ПРИХОДИ |
|
|
модуль — Differential — предназначен как |
Можноприменитьихдлясебя—програм- |
Марк Цукерберг, по духу истинный хакер |
раз для организации процесса code review. |
миствэтомслучаеоценитвсесвоиправки |
||
(в самом хорошем смысле этого слова), мог бы |
Второй модуль — Maniphest — представ- |
нареальномпродукте—Facebook’е,откры- |
||
стать отличным героем нашего интервью. Увы, |
ляет собой продвинутый таск-менеджер. |
томнадесктопеилимобильномтелефоне. |
||
уловить его хотя бы на полчасика для разговора |
Модуль Heraldу отправляет уведомления |
Или,кпримеру,разрабатываемуюфичу |
||
не удалось — ничего, получится в следующий |
об изменениях в коде. С его помощью мож- |
можнорасшаритьдлякоманды,состоящей |
||
раз. Зато с Марком в Москву высадился целый |
но, к примеру, сказать: «Если в этом куске |
изгруппыпрограммистов.Затемпойти |
||
десант сотрудников Facebook ’а, включая самую |
кода что-то изменится, дайте знать» — и |
дальшеисделатьнебольшойlaunchдляча- |
||
интересную для нас категорию людей — раз- |
таким образом быть уверенным, что никто |
стипользователем,причемспродвинутым |
||
работчиков. Жизнерадостные парни, сияющие |
не напортачит в том коде, за который ты |
таргетингом(например,для10%юзеровиз |
||
от причастности к разработке сервиса, который |
несешь ответственность. Наконец, модуль |
России). |
||
в буквальном смысле меняет мир, с упоением |
Diffusion представляет собой продвинутый |
5. Большинствоновыхфичтестируютсяна |
||
рассказывали много интересных вещей. Девело- |
code-браузер, который в наглядной форме |
сотрудниках(имвсегдадоступнасамая |
||
перы мобильных приложений и приложений |
покажет историю изменений. Тулкит |
последняяверсияFacebook’а),которые |
||
для социальных сетей наверняка почерпнули |
по-настоящему полезен — это подтверж- |
становятсяпервымитестерами.Приэтом |
||
для себя, как увеличить свою аудитории, если |
дается тем, что на вооружение его берут |
вкомпаниисделаливсе,чтобыкаждыймог |
||
использовать все возможности технологии Open |
все больше и больше сервисов, включая, |
максимальнопростоибыстроотправить |
||
Graph. К слову, в последней версии iOS Apple |
например, Dropbox. К слову, Facebook от- |
багрепорт.Прямовинтерфейсесоциальной |
||
встроил интеграцию с Facebook’ом из коробки. |
крыл исходники тулкита (phabricator.org), |
сетиестьэлементы,которыенедоступны |
||
Но что было интереснее всего мне — так это |
как и для многих других своих внутренних |
обычнымсмертным.Можнобыстроот- |
||
доклад о том, как к разработке подходят внутри |
разработок. |
правитьбагрепорт,назначитьзаданиедля |
||
самого Facebook’а. Как создается самая большая |
4. ВFacebook’енепризнаютпонятияfeature |
инженеров(котороеотобразитсявтомже |
||
социальная сеть? Я вынес для себя пять инте- |
brunch—когдадляразработкиновойфичи |
самомPhabricator),приложитьскриншот, |
||
ресных моментов. |
создаетсяотдельная,независимаяветка |
увидетьсписокнедавноотправленныхба- |
||
|
|
|
кода.Почему?Потомучтоэтопорождает |
говитакдалее.Врезультатеотоднихтолько |
|
|
|
проблемывовзаимодействии,покафича |
сотрудниковFacebook’уудаетсяполучить |
5 ПОДХОДОВ К РАЗРАБОТКЕ |
|
|||
|
небудетзарелизена.Какоерешениенашли |
колоссальныйфидбек—причемнетолько |
||
1. Путьотзавершенияразработкифичидо |
вFacebook’е?Программистпишеткод, |
сописаниембагов,ноискачественной |
||
ееразвертываниядлямиллиардапользо- |
далееэтоткодпопадаетвтакназываемый |
оценкойновыхфич. |
||
вателейзанимаетнеболеедевятидней! |
GateKeeper—иужеспомощьюэтогоин- |
|
||
Приэтомкоддеплоитсянабоевыесерверы |
струментаможнолегковыбиратьсреду,для |
Разумные подходы и правильные инструменты. |
||
непрерывно,каждыйдень.Самыйбольшой |
которойбудутпримененыизменениявкоде. |
Попробую использовать на практике. z |
||
коммит(применениеизмененийвкоде)—по |
|
|
||
вторникам.Самыйосторожный,чтобыне |
|
|
||
напортачитьпередвыходными,—впятницу. |
|
|
||
2. Любые изменения — пусть даже самые |
|
|
||
микроскопические и незначительные — |
|
|
||
обязательно проходят процесс code review. |
|
|
Другим словами, любые изменения на разных этапах просматриваются кем-то еще на правильность и адекватность.
Чтобы упростить процесс взаимодействия и упростить то же самое обсуждение изменений в коде, было разработано специальное решение — тулкит Phabricator. Он состоит из четырех частей. Самый главный
016 |
ХАКЕР 11 /166/ 2012 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
АнатолийАлизар(alizar@gmail.com)w Click |
|
|
|
|
|
m |
|||||
|
|
|
|
|
|
||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Proof-of-Concept
BYZANTIUM LINUX: ИНТЕРНЕТ БЕЗ ПРОВАЙДЕРА
ЗАЧЕМ ЭТО НУЖНО
Мы ведь не хотим потерять связь в случае ядерной войны, верно? Увы, современный интернет не так надежен, как кажется. Топология Cети на самом деле лишь частично ячеистая, а во многом основана на иерархической парадигме. Другими словами, выходит из строя несколько узлов обмена трафиком — и вашему сегменту интернета приходит каюк. На случай природного катаклизма, техногенной катастрофы, аварии в системе электроснабжения или другого бедствия (авторы проекта Byzantium упоминают зомбиапокалипсис) нужно обеспечить резервный вариант. Нужна некая рабочая сеть между пользователями, без посредничества провайдера. Вместо иерархической структуры нужно создать истинную ячеистую топологию, которая поддерживает множество альтернативных маршрутов между узлами.
КАК ЭТО РАБОТАЕТ
Проект Byzantium предусматривает создание ячеистой сети (mesh network) на протоколе 802.11 в качестве бэкапа для традиционного иерархического интернета. Проект отличается использованием дешевого оборудования, максимально быстрым развертыванием сети, надежностью, расширяемостью, безопасностью и дешевизной в обслуживании.
Авторы идеи из хакерской группы HacDC (hacdc.org) предлагают использовать для OSI layer 2 протокол 802.11, где возможность пиринга предусмотрена стандартом. Практически каждое Wi-Fi- устройство может переключиться в пиринговый режим. Для OSI layer 3 (маршрутизация) существует около 70 протоколов с различ-
Рис.1.Массовоеотключениепользователей |
Рис.2.Отключениепровайдераили |
из-застихийногобедствия,отключения |
умышленноевмешательствонауровне |
электричества |
магистральныхканалов |
ным функционалом: см. bit.ly/SHaSBa. Авторы предлагают использовать Open 802.11s, который поддерживается на уровне ядра операционных систем Linux и FreeBSD, а также OLSR (Optimized Link State Routing), BATMAN-Advanced (Better Approach To Mobile Ad-hoc Networking) и Babel. Эти низкоуровневые протоколы обеспечивают необходимую надежность, безопасность и расширяемость сети.
КАК ИСПОЛЬЗОВАТЬ
Это самое интересное. Система работает практически на любых Wi-Fi-маршрутизаторах и не требует их аппаратной или программной модификации. Достаточно лишь загрузить операционную систему с соответствующим стеком протоколов. Для демонстрации проекта разработчики выпустили дистрибутив Byzantium Linux v0.2a со всеми необходимыми настройками (project-byzantium.org/ download). Весит ISO-файл около 460 Мб.
Очевидно, каждый пользователь должен записать LiveCD и при наступлении апокалипсиса быстро загрузить эту систему.
А до тех пор LiveCD пусть висит на стенке с напоминанием о возможной смерти нашего мира. Как говорится, memento mori.
Резервный вариант для связи с миром может пригодиться не только если разразится катастрофа (рис. 1), но и в случае централизованной блокировки магистральных каналов (рис. 2),
введения государственной цензуры и глубокой инспекции пакетов с фильтрацией трафика определенного типа (например, SSL).
Это так называемый египетский вариант, который возможен
влюбой стране мира: в странах с «неразвитой демократией» могут быть политические причины для введения инспекции трафика, а на Западе власти могут начать крестовый поход против интер- нет-пиратства. Причины разные, но пользователи будут страдать
влюбом случае. Поэтому неудивительно, что появляется все больше проектов ячеистых сетей для альтернативного способа связи между пользователями по принципу P2P.
Спомощью Byzantium Linux развернуть в стране «резервный интернет» способна небольшая группа активистов с минимальной технической квалификацией. Они должны раздавать людям заранее подготовленные диски Byzantium Linux LiveCD.
Проект в альфа-версии, поэтому разработчики убедительно просят пока не использовать его в критичных для жизни ситуациях, а лучше проверять и исправлять код: https://github.com/ Byzantium/Byzantium/issues. z
ХАКЕР 11 /166/ 2012 |
017 |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
||||
|
|
|
|
|
m |
||||
w |
|
df-xchanCOVERSTORY |
|||||||
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
e |
|
БеседовалСтепанИльин
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
ГЛАВНАЯ
ЗАГАДКА SPHINX
АНДРЕЙ
АКСЕНОВ
СОЗДАТЕЛЬПОИСКОВОГО ДВИЖКАSPHINX
Хабрахабр, The Pirate Bay, AVITO.ru, Craigslist, Tumblr, Dailymotion — что у них общего? Оказывается, все они используют один и тот же поисковый движок — Sphinx. Этот продукт с исходным кодом разрабатывается командой талантливых ребят из разных городов и стран, однако началось все в городе Воронеже. Как устроен поиск и чем замечательны песни Depeche Mode, как зарабатывать на бесплатном продукте и как работать с людьми, не видя их лиц, — обо всем этом читателям ][ расскажет создатель Sphinx Андрей Аксенов.
ПЕСНИ В ТЮРЬМЕ FREEBSD
300 миллионов поисковых запросов в сутки — ровно столько обращений к поиску
приходится выдерживать Sphinx’у на крупнейшем в США ресурсе бесплатных объявлений Craigslist. Это самый большой известный нам пример использования нашего движка по количеству обрабатываемых запросов.
Из искры разгорелось что-то. Впрочем, как обычно — жизнь всегда большая череда случайностей. У меня был никому не интересный сайтик с коллекцией из 130 тысяч текстов песен, на котором не было поиска. Последний факт особенно возмущал, потому что когда по радио ты слышал какую-то песню, то улавливал пару-тройку слов, которые разбирал с пятнадцатого прослушивания, — но поискать по этим словам текст песни не было возможности. Я посмотрел, какие годные решения существуют для этого, — на тот момент таких не оказалось.
Передо мной стояли жесткие ограничения по железу. Сайт подпольным образом хостился у местного провайдера, в жестко ограниченном виртуальном частном сервере (jail в терминологии FreeBSD). В 128 Мб памяти и 200–300 Мб на диске нужно было уместить и базу, и поиск, и фронтенд, и все прочее.
Япопробовалиспользоватьдляэтого mnoGoSearch— один из древнейших движков, написанных на C++. Он изначально предназначался для индексации веб-страниц, и механизм индексации базы у него был (в те годы) крайне дурацкий. Он делал кучу лишних запросов к базе и зверски тормозил на одном только этом. Плюс формат индекса на тот момент был просто адский. Индексировать базу было практически невозможно. Сто мегабайт индексировалось 24 часа — это же курам на смех!
Выхода не было, и я принялся хардкорно патчить mnoGoSearch. Оптимизировал использование диска временными файлами, оптимизировал выборку данных из базы.
В конце концов пришел к такому состоянию, что «патчу» больше не нужен и сам mnoGoSearch :).
Было важное требование: все должно было помещаться в определенные жесткие лимиты. То есть делаем вид, что мы — жуткие control freaks, контролируем вообще все. Прогнозируем, сколько памяти сожрем. Если сказано, что буфер памяти под индексацию должен быть восемь мегабайт, то ровно восемь мегабайт и должно быть — и мы из кожи вылезем, чтобы не использовать больше. Понятно, что все это пришлось оптимизировать, чтобы втиснуться в лимиты, обусловленные физически — железом.
Еще один ключевой момент — с ранжированием тоже нужно было что-то делать.
Ведь все песни состоят примерно из одинаковых семи слов — я, ты, он, она, вместе целая страна, я люблю тебя, ты люби меня. Плюс предлоги в разнообразных комбинациях.
018 |
ХАКЕР11 /166/ 2012 |