В ноябре прошлого года компания «Яндекс» провела конкурс на тему поиска уязвимостей в своем сервисе. Мне посчастливилось найти там пару дырочек и получить за это второе место. Так как за эти полгода я так и не опубликовал деталей (кроме как на встрече Defcon-Russia, но это было в устной форме для узкого круга посетителей), я решил восполнить этот пробел сейчас. Так что тут будет рассказ об одной из дырок, которая была обнаружена в рамках конкурса и оперативно закрыта компанией «Яндекс». Считаю, что конкурс полностью оправдал себя и позволил предотвратить страшные последствия, так что идея явно удачна, одни плюсы. Собственно рассказ будет о банальном отсутствии проверки авторизации в одном из скриптов, что могло привести к частичной компрометации более миллиарда писем лишь на одной ноде…
Вот за что уважаю американцев — так это за талант красиво преподнести и довести до промышленного производства всякую простейшую штуку.
Посмотрел видео, порадовался за ребят. Но где-то сразу зудеть начало. Полез за резюками. Через 15 минут (из которых пять минут ушло на перекур) получился вот такой девайс:
Протеиновая оболочка генетически модифицированного варианта M13 и его код
Всем знаком пьезоэлектрический эффект — создание электрического поля под действием механического напряжения. Например, нажимаете кнопку — и в пьезозажигалке образуется искра. Отличная система, казалось бы, пьезоэлементы можно внедрять повсеместно для сбора механической энергии — в каблуки ботинок, компьютерную клавиатуру, напольные покрытия, дверные коробки и так далее — куда угодно, ведь это практически вечный источник «бесплатной» энергии. Но в реальности подходящие пьезоэлектрики дороги и токсичны для повсеместного использования.
Группа учёных из Национальной лаборатории им. Лоуренса в Беркли нашла решение этой проблемы: они сконструировали вирус, который справляется с задачей гораздо лучше, чем неорганические пьезоэлектрики, и при этом безопасен.
Разработчики из OpenSignalMaps визуализировали статистику по скачиваниям своего приложения для мониторинга сетевого трафика. За полгода его скачали на 681900 Android-устройств из 195 стран мира.
Картина получилась красивая: зарегистрировано 3997 моделей различных Android-девайсов. Самое популярный — GT-i9100 (Galaxy SII), 61389 пользователей.
На сайте Groklaw публикуется текстовая трансляция судебных слушаний Oracle против Google, где речь идёт о возмещении ущерба $150 тыс. за «воровство» для Android функции rangeCheck и тестовых файлов. В обсуждении встречаются интересные моменты. Например, вчера судья Алсуп, ведущий это дело, вступил в небольшую перепалку с адвокатом Дэвидом Бойзом, который представляет интересы Oracle: см. запись разговора.
Oracle: Вопрос не в том, насколько велик ущерб. Вопрос в том, можно ли закрыть глаза на коммерческую выгоду нарушителя исходя из того, что объём нарушений мал.
Кроме того, для меня не ясно, что справедливо сравнение девяти строк кода и 15 миллионов, потому что из них 10 миллионов составляет ядро Linux. Но всё равно, девять строк — это небольшой процент. Тестовые файлы гораздо больше, но они не присутствуют, по крайней мере, в текущей версии Android.
В предыдущем посте “Cascadeur — можно ли заменить каскадеров?” мы обещали подробнее рассказать про концепцию программы и про инструменты, позволяющие аниматорам создавать физически корректные движения персонажей.
В понедельник, 14 мая, в московском офисе РосНано прошёл первый из трёх (Москва, Дрезден, Кембридж) TechOpenDay компании PlasticLogic. Ввиду обилия материалов (1, 2, 3), посвящённых данному событию и описывающее его, на мой взгляд, несколько поверхностно, попытаемся разобраться, что же было презентовано пару дней назад.
Журнал Forbes назвал Стива Баллмера «без сомнения, худшим CEO из тех, кто управляет современными крупными компаниями в США». По мнению Forbes, Баллмер упустил развитие рынка мобильных платформ и планшетов, что отрицательно сказалось не только на прибылях Microsoft, но и на бизнесе компаний, образующих «экосистему», таких как Dell, Hewlett Packard и даже Nokia.
Бывают SQL-инъекции! А возможны ли NoSQL-инъекции? Да! Redis, MongoDB, memcached — все эти программные продукты относятся к классу нереляционных СУБД, противоположному популярным MySQL, Oracle Database и MSSQL. Так как интерес к перечисленным базам данных в последнее время значительно возрос, хакеры всех мастей просто не могли пройти мимо них.
Корпорация Google не только создает интересные сервисы и продукты, но и старается объяснять принцип работы своих сервисов. На днях было создано интерактивное руководство, показывающее путь обычного электронного сообщения от отправителя к адресату. При этом попутно объясняется, откуда берется дополнительная энергия на нужды дата-центров компании, как ящик пользователя оберегается от вирусов и спама, плюс еще несколько интересных моментов.
В ноябре прошлого года компания «Яндекс» провела конкурс на тему поиска уязвимостей в своем сервисе. Мне посчастливилось найти там пару дырочек и получить за это второе место. Так как за эти полгода я так и не опубликовал деталей (кроме как на встрече Defcon-Russia, но это было в устной форме для узкого круга посетителей), я решил восполнить этот пробел сейчас. Так что тут будет рассказ об одной из дырок, которая была обнаружена в рамках конкурса и оперативно закрыта компанией «Яндекс». Считаю, что конкурс полностью оправдал себя и позволил предотвратить страшные последствия, так что идея явно удачна, одни плюсы. Собственно рассказ будет о банальном отсутствии проверки авторизации в одном из скриптов, что могло привести к частичной компрометации более миллиарда писем лишь на одной ноде…
