Сейчас уже практически в каждом новом коммуникаторе встраивается модуль работы с NFC-тегами. Однако, как это часто бывает, суровые отечественные реалии не поспевают за технологическим прогрессом и обнаружить реальное применение новых технологий в повседневной жизни мягко-говоря, непросто.
Проблем всего две:
1. Люди, которые могли бы технологию популяризовать, либо не видят её преимуществ, либо её внедрение стоит денег, неадекватных отдаче.
2. Люди, для которых технология была придумана, вообще о ней ничего не знают и зачастую даже не слышали о ней.

Поэтому, сегодня я внесу маленькую лепту в копилку идей тех людей, для которых NFC — тёмный лес.

Больше 15 лет мы строим и обслуживаем дата-центры для клиентов. Наш третий собственный дата-центр «Компрессор» — объект, в котором воплотилось многое из накопленного опыта.


<sup>Распределительная


Стойки</sup>

Ниже рассказ про устройство ЦОД в картинках и объяснения, где, что и как работает.

Осторожно, трафик.

Доброе время суток. Прочитав пост решил попробовать себя в таком нелегком деле, как самостоятельная сборка усилителя. Но для начала захотелось попробовать свои силы и потренироваться на чем-то поменьше и я решил собрать DAC. Выбор пал на Mini USB DAC Mk2 от hifidiy.net.

Пост написан из-за появления вчерашних новостей о вирусе-шпионе (например, вот). как ни странно, но проблема защиты промышленных объектов в РФ ставится не так остро, как должна бы… в СМИ очень часто можно услышать про законы о персональных данных, а вот защитой АСУ ТП(системы управления технологическими процессами), похоже, никто особо не занимался (защита критически важных объектов регламентирована документами ФСТЭК, но они имеют гриф и не доступны простым смертным). Для тех же компаний, которые не попали в список этих самых «критически важных», существует только стандарт Газпрома… и все, больше никаких документов и рекомендаций в области защиты АСУ ТП нет.
В США дело обстоит в корне наоборот, и американский US CERT выкладывает в свободный доступ свои рекомендации по защите АСУ ТП. Желающих ознакомиться прошу под кат.

После 3 лет работы с момента выхода 5-ой версий nmap наконец выпущена 6 версия одного из самых популярных сетевых сканеров.

Продолжая собирать свой летательный аппарат делаем раму для коптера.

Статья является частью цикла:
1. Часть первая, описание и выбор деталей
2. Часть вторая, сбор рамы


картинка снова из гугла

Внутри этой части будет много картинок, следите за траффиком.

Сегодня мы расскажем о том, как использовать экран телефона Nokia 1100 в своих DIY-проектах, но сперва мы поделимся небольшой историей об этом телефоне.

Nokia 1100 — самый популярный телефон в мире, который посчастливилось сделать именно нам. С момента старта продаж в конце 2003 года телефон Nokia 1100 был распродан в количестве свыше 250 млн штук — это не только самый продаваемый продукт среди телефонов, но и среди вообще всей потребительской электроники.



Рассчитанный на широкую географию аудитории телефон имел крайне простой, но удовлетворяющий потребности жителей всех континентов практичный дизайн. Nokia 1100 имел монолитную силиконовую клавиатуру и ребристые не скользящие края, защищающие телефон от повреждений во влажных и пыльных климатических условиях, а также встроенный фонарик, предназначенный специально для жителей стран с недостаточным уличным освещением. Внешний вид телефона был разработан в калифорнийском Nokia Design Center болгаро-американским дизайнером Мики Механджийский (Miki Mehandjiysky).

«Единственный способ прийти ко всем этим функциям — это проводить много времени с потребителями, общаться с ними, смотреть на то, как они живут. Возьмём, например, функцию фонарика. Скорее всего вы подумаете „Да кому он вообще нужен?!“, но для потребителей, скажем, из Индии или Африки, где электричества либо нет вовсе, либо оно не всегда доступно, наличие фонарика крайне важно» — вспоминает о разработке Nokia 1100 Алекс Ламбик (Alex Lambeek), вице-президент Nokia, ответственный за сегмент бюджетных телефонов.

В Nokia 1100 использовался недорогой монохромный графический экран с зеленой светодиодной подсветкой, обеспечивая полную читаемость даже на очень ярком солнце. Разрешение экрана составляло 96x65 точек, отображая одну служебную и три пользовательских строки. Некоторые умельцы даже научились использовать дисплей Nokia 1100 в своих целях, и сейчас мы расскажем, как это делается.

Как и было обещано организаторами конкурса Google Science Fair, 21 мая объявлены региональные победители.

Планета поделена на три региона:
— Северная и Южная Америка;
— Европа, Ближний Восток и Африка;
— Азиатско-Тихоокеанский регион.
В каждом регионе представлены три возрастные группы:
— 13-14 лет;
— 15-16 лет;
— 17-18 лет.
В каждой группе выбрано по 10 проектов, итого получилось 90 научных трудов.

В этой небольшой заметки хочу коснуться некоторых интересных моментов и особенностей управления трафиком (или попыток управления трафиком) в случае использования протокола BGP. Статья не даст ответ на вопрос о том, как сделать счастье в сети!

Изложенная информация носит познавательный характер и будет похожа на легкое чтиво для специалистов в области телекоммуникаций. Сведения будут изложены в достаточно свободной форме, без излишнего насыщения спецификой. Попробуем ответить на вопрос: «почему трафика нет там, где он должен быть, и есть там, где быть его не должно».

Добрый день!
В этом посте я хочу поделится с хабр сообществом о принципе работы сделанного мной
бесконтактного выключателя. Выключатель планируется использовать в системе умный дом.

Основой выключателя является недавно купленный мной улучшенный клон контроллера Arduino, продающегося под названием Carduino Nano V.7

У великого русского поэта Тютчева не было компьютера и сети, иначе он бы не писал: «Люблю грозу в начале мая». В последние годы актуальность грозозащит стала поменьше — оптика, беспроводные технологии, но все же все же.
Если к вам в квартиру заходит кабель, и этот кабель — не оптический, гроза представляет угрозу для вашего оборудования.

Если у вас есть телевизор и он подключен к общей сети — кабельное ТВ, коллективная антенна (вдруг) — к чему угодно, что находится за пределами квартиры, гроза представляет угрозу для телевизора, (причем даже бОльшую, чем для компьютера).

Еще не так давно казалось, что беспроводная сеть, защищенная с помощью технологии WPA2, вполне безопасна. Подобрать простой ключ для подключения действительно возможно. Но если установить по-настоящему длинный ключ, то сбрутить его не помогут ни радужные таблицы, ни даже ускорения за счет GPU. Но, как оказалось, подключиться к беспроводной сети можно и без этого — воспользовавшись недавно найденной уязвимостью в протоколе WPS.

Добрый день.

Так получилось, что у себя дома в качестве шлюза использую обычный компьютер на Атоме под управлением Debian. Из-за этого он исполняет ряд дополнительных функций: файлопомойка, качалка торрентов, личный репозиторий и т.д. Но не это важно. Наличие торрент клиента подразумевает относительно большое количество соединений, и возникла идея: «а не визуализировать ли все это?».
Довольно быстро было найдено решение: xplanet (позволяет рисовать изображение земли с маркерами на ней) + geoip (IP -> координаты).

Недавно пострадал от потери NTUser.dat и с ним всего HKCU под Windows7 да так, что Windows Restore не помог — пришлось подниматься из бакапа месячной давности. В результате сильно озаботился вопросом резервирования реестра. Как выяснилось, Win7/Vista никакого резервирования «чисто» реестра (в отличии от XP) не предлагают. В этом посте расскажу о том, что можно сделать своими руками по этому поводу с помошью утилиты ERUNT и User Profile Hive Cleanup Service (UPHClean). В завершение привожу пример того, как это сделал я.

В одном из предыдущих тематических постов о .htaccess для нубов я хотел предложить свой вариант с разными обработками и запретами, ну и определённой логикой структурирования, но так как карма была в минусе, то выкладываю сейчас.

Вашему вниманию мой вгляд на правила обработки URL с объяснениями и коментариями «почему так?».

Сперва логика

Объясню сперва логику:
1) все страницы имеют .html окончания.
2) все языки для страниц имеют вид pagename.en.html или pagename.html для языка по умолчанию. Никто, конечно, не запрещает иметь ссылки, где язык идёт вначале как /en/
3) «входной» скрипт только один в docroot.
4) Разрешены запросы на другие скрипты только в docroot
5) Соглашение по определению окончаний в url:
# site.com/
# site.com/index -> site.com/
# site.com -> site.com/
# site.com/file/ -> site.com/file.html
# site.com/file -> site.com/file.html
# site.com/dir/file ->site.com/dir/file.html
# site.com/dir/file/ -> site.com/dir/file.html
Но это можно менять.

На этой неделе известный набор эксплойтов Blackhole обновился до версии 1.2.3 и в его составе появился новый эксплойт для Java на уязвимость CVE-2012-0507 (Java/Exploit.CVE-2012-0507). Первыми обратила внимание общественности на актуальность этой уязвимости компания Microsoft, которая опубликовала в своем блоге сообщение об интересном способе выполнения Java-кода за пределами песочницы JRE (Java Runtime Environment).

Первые упоминания о боевом эксплойте для этой уязвимости появились от компании Immunity, которая выпустила специальный модуль для своего продукта Immunity CANVAS еще в начале марта 7.03.2012. Эта уязвимость была закрыта 15 февраля в рамках критического обновления от Oracle. Буквально вчера поздним вечером, на момент подготовки этой публикации, появился публичный эксплойт для CVE-2012-0507 в составе Metasploit Framework. Отдельно стоит отметить его кроссплатформенность и возможность эксплуатации на системах Windows, Linux, Solaris и OSX (обновление безопасности от Apple появилось вчера). Последняя особенно интересна в свете увеличения количества вредоносных программ для нее, распространяющихся в том числе и посредством эксплуатации Java уязвимостей. Эксплойт из Metasploit Framework выглядит очень похожим на тот, что был обнаружен в обновленном Blackhole и складывается впечатление, что он был рипнут по большей части оттуда…

В последнее время я часто писал об эксплойтах для Java и они действительно в последний год самые пробивные в инцидентах массового распространения вредоносных программ. Разработчики наборов эксплойтов, таких как Blackhole, используют только так называемые 1-day уязвимости, т.е. уже содержащие официальное исправление от разработчиков. Потому что использование 0-day слишком дорого для их целей и совершенно себя не окупает, но бывают исключения, когда 0-day попадает на паблик вместе с PoC. Использование уязвимости нулевого дня на данный момент можно чаще всего увидеть в целенаправленных атаках. Кстати, довольно занимательный пост о ценах на 0-day и карме ресечеров можно почитать тут.

Вернемся к нашему эксплойту, на этой неделе снова было замечено распространение Win32/TrojanDownloader.Carberp через популярные веб-ресурсы, посредством внедрения iFrame конструкций для перенаправления на ресурс с набором эксплойтов.

Первым нам попался ресурс lifenews.ru, на котором содержался следующий iFrame:



Как видно из внедренного кода, сразу происходила атака именно CVE-2012-0507, а доменное имя, на котором был расположен Blackhole, очень схоже с именем атакованного веб-ресурса. Результат выполнения кода в iFrame можно увидеть даже визуально на модифицированной оригинальной странице.

Доброго времени суток, Хабр! Хочу представить интересный, по моему мнению, способ создания msi-инсталляторов для любого программного обеспечения и, как следствие, развертывание его средствами GPO. Подчеркну, что описанный метод не подразумевает создание «слепков» системы, а использует нативные инсталляторы софта, при чем для создания msi применяются только бесплатные для коммерческого использования продукты.

На прошлой неделе прошла конференция «РусКрипто». Насколько я знаю, это старейшая из ныне здравствующих конференций по информационной безопасности.

Несмотря на почетный возраст, конференция живет и развивается, за что огромное спасибо организаторам: Ассоциации «РусКрипто» и АИС. В свое время именно на этой площадке я обкатывал свои идеи, которые позже привели к появлению Positive Hack Days. Именно тут прошел первый масштабный CTF под руководством Дмитрия Евтеева. В общем, отношение к «РусКрипто» у меня крайне теплое и в некоторой степени даже ностальгическое.

В этом году конференция проходила на площадке загородного отеля «Солнечный». Кстати, на веб-сайте отеля уютно расположилась mobile malware – расценил это как тест на профпригодность =)

    Сложность программного обеспечения растет – программы становятся более динамическими, и их поведение возможно оценить только в процессе выполнения. Производить оценку безопасности (поиск уязвимостей, недокументированных возможностей и т.д.) таких приложений значительно сложнее. Использовать только статические подходы анализа становится невозможным, так как из-за динамически генерируемого кода мы даже не можем гарантировать полное покрытие кода при анализе. На помощь приходят динамические методы анализа.

    Есть такая замечательная технология, как динамическая бинарная инструментация (Dynamic Binary Instrumentation, DBI), которая заключается во вставке в бинарный исполняющийся код анализирующих (в общем случае) процедур. Основная прелесть данного подхода заключается в том, что нет необходимости в исходном коде анализируемого приложения – работа происходит непосредственно с бинарным файлом.

Я потратил несколько лет на изучение архитектуры компьютеров, и уж если одну вещь я выучил крепко, так это любовь компьютерных проектировщиков к изящным именам, используемым при инициализации или другой работе с памятью. Долгие часы своей жизни я истратил на придумывание забавно выглядящих адресов памяти для употребления в домашней работе или тестировании. Из подобных названий лучше других известен 0xDEADBEEF, а список некоторых других вы можете видеть вон там и там. Можно даже предположить, что этакие названия (особенно с подстановкою символов: например, «1» вместо «i» или «5» вместо «s») стали предтечами псевдо-крутого интернетовского жаргона, известного как leetspeak.

Всё это напомнила мне недавно попавшаяся мне статья о веб-дизайне (извините, я не помню её в точности). Автор статьи приводил пример CSS-кода, и выбранный им для примера цвет был #BADA55. Оказалось, что это даёт несколько безобразный зелёный цвет, но всё равно он побудил меня призадуматься о том, какие ещё английские слова можно сделать шестнадцатеричными кодами цвета.

Набросав краткий PHP-скрипт, получаем довольно обширный список для подбора таких цветов. Разумеется, годятся все коды, полностью состоящие из букв, но я также дозволил подстановку «1» вместо «i», «5» вместо «s» и «0» вместо «o». Та статья Википедии, на которую я выше сослался, также предлагала использовать «7» вместо «t» и «9» вместо «g», но мне кажется, что при этом не получаются сколько-нибудь легко читаемые «шестнадцатеричные слова» (да к тому же тогда список слов, и без того длинный, оказался бы гораздо длиннее).

Итак, когда вам в следующий раз понадобится цветовая гамма для веб-страницы, вы сможете воспользоваться следующей таблицею и достигнуть субкультурного звучания выбранных вами цветов:

████████████████ #ABACA5 → abacas
████████████████ #ABA5ED → abased
████████████████ #ABA5E5 → abases
████████████████ #ABA51A → abasia
████████████████ #ABBE55 → abbess
████████████████ #AB1DED → abided
████████████████ #AB1DE5 → abides
████████████████ #AB0DED → aboded
████████████████ #AB0DE5 → abodes
████████████████ #ACAC1A → acacia
████████████████ #ACCEDE → accede
████████████████ #ACCE55 → access
████████████████ #ACED1A → acedia
████████████████ #AC1D1C → acidic
████████████████ #AD0BE5 → adobes
████████████████ #AD0B05 → adobos
████████████████ #A5D1C5 → asdics