Shared posts
Ошибка Google привела к массовому отключению интернета в Японии
В прошлую пятницу, 25 августа 2017 года, интернет в Японии практически не работал в течение часа. Виной тому стала ошибка компании Google.
Разделяй и властвуй. Используем Open vSwitch для разделения виртуалок между VLAN
Для подписчиков
Виртуализация уже давно стала частью инфраструктуры практически каждого предприятия. Любой администратор использует или хотя бы пробовал сервер виртуализации. Мы уже рассматривали, как развернуть сервер виртуализации, поэтому в сегодняшней статье речь пойдет о другом: об Open vSwitch для объединения физических и виртуальных сетевых узлов и его преимуществах.
Kali Linux 2017: обзор нововведений
Недавно была выпущена новая версия популярного дистрибутива Kali Linux 2017.1. В данной статье мы рассмотрим более подробно, что изменилось в новом релизе и как начать пользоваться нововведениями.
Онлайн курс «Функциональная безопасность компьютерных систем»
Источник
Вашему вниманию предлагается статья о том, как был создан онлайн курс по тематике «Функциональная безопасность». Сервисы онлайн обучения располагают студийным оборудованием для записи высококачественного звука и видео. А если вдруг представить, что доступа у вас к подобным ресурсам нет, а учебный материал надо подготовить для использования в онлайн режиме? Автор решил поделиться собственным опытом и раскрыть следующие вопросы:
— мотивация или зачем и кому это надо;
— инструменты подготовки и записи;
— содержание Massive Online Open Course (MOOC) по функциональной безопасности;
— дальнейшие шаги по развитию продукта.
Читать дальше →
[Из песочницы] Двухфакторная аутентификация при монтировании зашифрованного раздела LUKS с помощью Yubikey 4
Часть 3: Yubikey 4 и LUKS
Введение
В статье рассматривается реализация двухфакторной аутентификации с помощью ключа Yubikey 4 для монтирования зашифрованного раздела LUKS.
Процесс реализации двухфакторной аутентификации с помощью ключа Yubikey 4 для монтирования зашифрованного раздела LUKS можно разбить на три части:
1. Подготовка LUKS раздела.
2. Подготовка к использованию ключа Yubikey 4 в операционной системе.
3. Непосредственно использование ключа Yubikey 4 для двухфакторной аутентификации.
Начальные условия:
- Linux Mint 18 Sarah 64-bit
- Yubikey 4
Генетики переоценили мутагенность CRISPR/Cas9
АнтонComment
Группа ученых из США пришла к выводу, что редактирование генома методом CRISPR/Cas9 может приводить к возникновению значительно большего числа нецелевых мутаций, чем предполагалось.
19 полезных shell-скриптов на все случаи жизни
Для подписчиков
Командная строка и те невообразимые вещи, которые с ее помощью можно творить, — визитная карточка UNIX и всех ее наследников. А где есть командная строка, там есть скрипты. И сегодня... нет, мы не будем учиться писать скрипты, мы рассмотрим наиболее полезные из них, те, что ты сможешь применять ежедневно для решения самого разного круга задач, начиная от сводки погоды и веб-сервера в одну строку и заканчивая ботом для твиттера в десять строк и скриптом для автоматического запуска любого торрент-клиента.
Yandex Data Factory предскажет необходимое количество продуктов со скидкой «Пятёрочке»
X5 Retail Group тестирует систему предсказания спроса на товары со скидками в «Пятёрочках», её разработала Yandex Data Factory. X5 тестировала сервис в Липецкой области в начале 2016 года. Прогноз делался для промоакций типа «регулярные скидки, действующие в течение одной недели», после модель была применена и для всех других типов промоакций. По словам представителя YDF, в 87% случаев прогноз оказался верен с точностью до одной упаковки, в 61% случаев число упаковок было предсказано безошибочно.
О сотрудничестве сообщили «Ведомости» со ссылкой на представителей обеих компаний. Издание отмечает, что большинство других крупных ритейлеров использует системы собственной разработки. Суть системы в том, что товары со скидкой раскупают быстрее обычных и необходимо рассчитать точное количество товара, которое покроет спрос. Клиенты, которые не находят товар с обещанной скидкой, теряют лояльность к компании. С другой стороны избыток акционного товара приведёт к дополнительным расходам на хранение излишков и из-за порчи товара.
Представители X5 отмечает, что товары со скидками составляют около 30% оборота компании. Более точное планирование спроса на промотовары позволяет сократить фактические потери на 2–10% в зависимости от вида товара.
YDF уже сотрудничала с ритейлом. В начале августа стало известно, что компания заключила контракт с ЦУМ. Для ЦУМ Yandex Data Factory разработала систему персональных рекомендаций, которая позволила увеличить средний чек на 7%.
Функциональная безопасность – старшая сестра информационной безопасности
Антон/
Безопасности на хабре посвящен целый хаб, и, пожалуй, никто особенно не задумывается, что именно вкладывается в понятие «безопасность», и так все ясно: информационная безопасность (security). Однако, есть еще и другая сторона безопасности, safety, связанная с рисками для здоровья и жизни людей, а также окружающей среды. Поскольку информационные технологии сами по себе опасности не представляют, то обычно говорят о функциональной составляющей, то есть о безопасности, связанной с правильным функционированием компьютерной системы. Если информационная безопасность стала критична с появлением интернета, то функциональная безопасность рассматривалась и до появления цифрового управления, ведь аварии происходили всегда.
Информационной безопасности АСУ ТП посвящено немало статей на хабре. Функциональной безопасности авторы тоже касались, как в хабе по SCADA, так и в хабе по промышленному программированию АСУ ТП, но, как мне показалось, несколько вскользь. Поэтому я предлагаю короткую информацию об этом важном свойстве, от которого напрямую зависит, получит ли SkyNET контроль над человечеством.
В статье сделаны некоторые обобщения для АСУ ТП, а также для встроенных и кибер-физических систем.
Читать дальше →
Форма вселенной: возможностей много, но реальность одна
Перевод статьи Ask Ethan #87: The Shape Of The Universe
Не пытайтесь стереть прошлое. Оно формирует вас сегодняшнего и помогает вам стать тем, кем вы будете завтра.
Зиад К. Абдельнуар
Вселенная даже больше, чем мы с вами, сформирована условиями, существовавшими во время её рождения. Но какую же форму она приняла? Я выбрал вопрос читателя Тома Берри, который спрашивает:
Я так понимаю, что у вселенной форма седла. Интересно, почему в момент Большого взрыва вся материя не разлетелась равномерно во все стороны и не придала вселенной шарообразную форму?
Начнём с того, что уберём одно измерение, и поговорим о том, что формирует двумерную поверхность. Вы, наверно, представите себе плоскость – типа листа бумаги. Её можно скатать в цилиндр, и хотя поверхность окажется самосвязанной – с одной стороны можно перейти на другую, это всё равно будет плоская поверхность.
Что это значит? Например, можно нарисовать треугольник и сложить размеры внутренних углов. Если мы получим 180 градусов, то поверхность – плоская. Если нарисовать две параллельные линии, они останутся такими на всём протяжении.
Но это лишь один из вариантов.
Читать дальше →
4G LTE в мире: где самая быстрая сеть и наибольшее покрытие — и на каком месте Россия?
Система централизованного управления авторизацией пользователей на FreeIPA в Docker
На волне популярности Docker на Хабре, после участия в некоторых дискуссиях в комментариях относительно Docker, и в связи с недавней необходимостью настроить централизованную авторизацию для кластера Linux машин, я решил написать небольшую заметку. Здесь будет показан яркий, на мой взгляд, пример применения Docker'a для небольшой частной задачи.
Вот так, кстати, выглядит FreeIPA WebUI (официальное демо) (кликабельно):
Какие задачи я хотел решить при помощи FreeIPA:
- Иметь возможность создавать/изменять/удалять акаунты пользователей централизовано, а не на каждом отдельном сервере
- Централизованные плавила для sudo
- В последствии мы подключим к этой системе ещё и VPN авторизацию, а потом может и другие внутриофисные сервисы
Да, скорее всего FreeIPA в нашем случае это выстрел пушкой по воробьям, но с другой стороны — альтернатив что-то не видно. Я рассматривал такие варианты: NIS (по-моему он уже давно должен отправиться на отдых), OpenLDAP +… +… (не очень дружелюбно, да и FreeIPA в итоге под собой имеет LDAP, только нам не приходится с ним иметь дело напрямую), тут перечень заканчивается, я не нашёл ничего больше.
Читать дальше →
99 ресурсов для продвижения стартапов
[Перевод] Рид Хоффман: О руководстве и руководителях
Cтэнфордский курс CS183B: How to start a startup. Стартовал в 2012 году под руководством Питера Тиля. Осенью 2014 года прошла новая серия лекций ведущих предпринимателей и экспертов Y Combinator:
- Сэм Альтман и Дастин Московитц: Как и зачем создавать стартап?
- Сэм Альтман: Как сформировать команду и культуру стартапа?
- Пол Грэм: Нелогичный стартап.
- Адора Чьюнг: Продукт и кривая честности;
- Адора Чьюнг: Стремительный рост стартапа;
- Питер Тиль: Конкуренция – удел проигравших;
- Питер Тиль: Как построить монополию?
- Алекс Шульц: Введение в growth hacking [1, 2, 3];
- Кевин Хейл: Тонкости в работе с пользовательским опытом [1, 2].
- Стэнли Тэнг и Уокер Уильямс: Начинайте с малого;
- Джастин Кан: Как работать с профильными СМИ?
- Андрессен, Конуэй и Конрад: Что нужно инвестору;
- Андрессен, Конуэй и Конрад: Посевные инвестиции;
- Андрессен, Конуэй и Конрад: Как работать с инвестором.
- Брайан Чески и Альфред Лин: В чем секрет культуры компании?
- Бен Сильберман и братья Коллисон: Нетривиальные аспекты командной работы.
- Аарон Леви: разработка B2B-продуктов.
- Рид Хоффман: О руководстве и руководителях.
Фальшивый хотспот Wifiphisher автоматически собирает пароли
Программа Wifiphisher с открытым исходным кодом может быть использована для автоматизации фишинговых атак по сбору учётных данных пользователей через WiFi. В отличие от других методов, здесь применяется социальная инженерия и никакого брутфорса. Можно собирать различные секретные фразы, пароли и т.д.
Предназначен для работы в пентестерском дистрибутиве Kali Linux и распространяется под свободной лицензией MIT.
С точки зрения жертвы, атака проходит в три этапа.
1. Жертва отключается от активного хотспота. Wifiphisher постоянно подавляет все устройства, подключенные к целевой точке доступа, рассылая пакеты deauth клиентам от точки доступа и к точке доступа от клиента, а также транслируя адрес.
2. Жертва подключается к враждебному хотспоту. Wifiphisher сканирует округу и копирует настройки точек доступа. Затем создаётся враждебный хотспот, смоделированный на пример настоящего. Также поднимается сервер NAT/DHCP, который перенаправляет нужные порты с нашего компьютера к настоящей точке доступа. В результате, из-за джамминга клиенты начинают подключаться к враждебной точке (правда, это происходит не полностью автоматически: пользователю нужно подтвердить действие в ОС). После этого клиенты становятся жертвой атаки MiTM.
3. Жертве отправляется реалистично выглядящая страница с настройками конфигурации маршрутизатора. Wifiphisher использует минимальный веб-сервер, который реагирует на запросы HTTP и HTTPS. Как только жертва запрашивает страницу из интернета, Wifiphisher отвечает реалистично выглядящей страницей с запросом учётных данных. Например, можно спросить подтверждение пароля WPA по причине апгрейда программного обновления маршрутизатора.
Автор программы обращается к Python-программистам и веб-дизайнерам за помощью в улучшении программы.
Прочитать полностью на сайте: Фальшивый хотспот Wifiphisher автоматически собирает пароли
Простое решение для использования ЭЦП — развитие
В своей предыдущей статье «Простое решение для использования ЭЦП» я описал идею для реализации приложения для использования ЭЦП. С того времени довольно многое изменилось. Самое главное — мы решили перейти к модели без использования промежуточных прокси-серверов и более активно использовать QR-коды. Так-же у нас появился более симпатичный демо-сайт, позволяющий попробовать как работает наше приложение для различных вариантов применения: для подписания петиции, для голосования, для подтверждения своих действий на сайте.
Читать дальше →
Paperwork: свободная альтернатива Evernote
У популярного веб-сервиса для создания и хранения заметок Evernote скоро появится свободная альтернатива — Paperwork. Благодаря открытым исходникам каждый может установить Paperwork на своём сервере и предоставить доступ пользователям по локальной сети или через интернет.
Демонстрационный доступ открыт по адресу demo.paperwork.rocks. После регистрации создаётся демо-аккаунт для создания и редактирования заметок. Базу данных удаляют ежедневно в 3:00 (CET). Для регистрации можно использовать произвольный email, он не проверяется.
Читать дальше →
Цитата #432063
Цитата #432079
ммм: о боги, это у меня женщина спрашивает!
жжж: серьезно!
ммм: что случилось-то?
жжж: поставила кастрюлю с супом подогреваться, пока курить ходила. возвращаюсь - вонь-огонь, армагеддец в отдельно взятой кухне!
ммм: закурилась штоле?
жжж: слушай дальше! смотрю - я оказывается не ту ручку повернула! и стоит себе тихонько холодная кастрюлька с супом, а на дальней конфорке жарятся мандарины в пакете!
ммм: ааааа, мать, ты зачем мандарины на плите хранишь?)))))
жжж: чтобы сын не дотянулся! так это не все! я конфорку-то выключила, а мандарины-то жарятся, пакет горит и все это воняет! вот скажи....зачем я все это супом решила залить?((
ммм: *уполз рыдать*
Знакомство с парадигмами построения моделей предметной области
Введение
Возможно, кто-то задаст вопрос, а причем тут математика? Отвечу сразу: все, что здесь изложено, относится непосредственно к математике.
Изучая литературу по теории построения моделей предметной области, я обнаружил серьезный пробел. Авторы статей и книг сразу берут одну из нотаций моделирования: ER-диаграммы, или диаграммы классов, и в быстром темпе начинают их использовать для описания предметной области. При этом описание парадигмы, в которой производится это моделирование остается вообще не раскрытым. А следовательно, не раскрытыми остаются ограничения той или иной нотации. Увы, мы все умеем строить модели, но мало кто умеет объяснить то, что он построил в одной из существующих парадигм. Поэтому я часто слышу дикие с точки зрения любой парадигмы термины: класс типов, типы классов, виды типов и так далее, но ни разу не слышал корректный термин «класс классов». Этот пробел в нашем образовании очень серьезен. И я объясню почему.
Давайте зададим аналитикам простой вопрос.
Те, кто моделировал процессы, наверно, знакомы с нотацией BPMN. Очень часто при моделировании операции по заключению договора я встречаю такой фрагмент диаграммы:
Видно, что в результате заключения договора рождается нечто, что передается в другую операцию. Но что обозначает элемент диаграммы в виде листа с загнутым уголком? Нам надо точно знать, что именно передается из одной операции в другую, иначе трудно будет объяснить другим, что от них требуется. Итак, что создается на выходе из операции «Заключить договор»?
Варианты ответов, которые я слышал, следующие:
- Бумажка с печатью
- Бумажки с печатью
- Класс бумажек с печатью
- Договор
- Договоренность
- Информация о договоренности
- Файл MS Word с названием договор
- Запись в базе данных
- Поток каких-то объектов
Пока я наблюдаю отсутствие согласия между аналитиками на предмет того, что же все-таки передается, и что значат термины «договор», «поток», «договоренность», «информация», «данные». Чтобы ответить на этот вопрос, мне пришлось копать глубоко и в сторону парадигм. Причем, ответ потребовал разбиения вопроса на два. Первый вопрос был: «Как корректно сформулировать вопрос?» А второй был: «Как на него ответить?». Для правильной формулировки нужно было выбрать подходящую парадигму. Эта статья посвящена рассказу о двух парадигмах: Аристотелевской и логической, и почему я выбрал логическую в качестве рабочей. Ответа на поставленный вопрос в этой статье я не дам. Ответ я дам в другой статье.
Читать дальше →
Не забывай свои поддомены
Исследователи из шведской компании Detectify изучили довольно распространённую угрозу безопасности: забытые поддомены. Многие крупные компании открывают на основном домене десятки поддоменов, связывая DNS-записи с посторонними доменами для служебных целей, а потом забывают про них. Со временем срок регистрации сторонних доменов истекает — и их может подобрать любой посторонний. В результате перед ним открывается сразу несколько векторов атаки.
Во-первых, на зарегистрированном домене можно поднять вредоносный сайт, куда заманивать жертв, показывая им вызывающий доверие адрес.
Авторы исследования продемонстрировали такую атаку на практике. Они обнаружили, что компания Microsoft много лет назад запустила поддомен racing.msn.com и связала его DNS-запись с доменом msnbrickyardsweeps.com. С тех пор прошло много времени, и срок регистрации указанного домена истёк. Соответственно, шведы зарегистрировали адрес msnbrickyardsweeps.com и перенаправили его на поиск Bing. Так что если вы попробуете сейчас набрать в адресной строке racing.msn.com, то попадёте на поиск Bing. Это просто proof-of-concept, а на месте Bing могло быть что-нибудь гораздо более опасное.
Кроме того, почти всегда можно использовать забытый поддомен для рассылки почты с адреса @racing.msn.com. Опять же, ценная возможность для фишинга.
Проведённое сканирование выявило более 200 крупных организаций, подверженных этой уязвимости, говорит Шимон Грушецки (Szymon Gruszecki) из компании Detectify. Среди них есть довольно крупные корпорации и сайты, входящие в топ-100 самых посещаемых сайтов по версии Alexa.
Для проверки домена на подобную уязвимость, которой дали название Red October, исследователи запустили онлайновый сканер redoctober.detectify.com.