Pull to refresh
260
0
Sergey Belov @BeLove

Пользователь

Send message

OpenConnect: недетектируемый VPN, который вам понравится

Level of difficulty Medium
Reading time 15 min
Views 212K

Я уже написал здесь много статей на тему прокси-протоколов и прокси-клиентов, которые очень сложно детектировать и заблокировать, и которые используют пользователи в Китае, Иране, Ираке, Туркменистане, и теперь вот в России (мы здесь в отличной компании, правда?). Но довольно часто мне в комментариях писали, мол, это все отлично, но мне нужен именно VPN для целей именно VPN - доступа в частные локальные сети, либо для соединения клиентов между собой, и желательно так, чтобы его не заблокировали обезьяны с гранатой. Поэтому сегодня мы поговорим именно о VPN.

Классические OpenVPN, Wireguard и IPSec отметаем сразу - их уже давно умеют блокировать и блокировали не раз. Модифицированный Wireguard от проекта Amnezia под названием AmneziaWG — отличная задумка, но есть одно но...

Читать далее
Total votes 325: ↑324 and ↓1 +323
Comments 340

20 лет проблем приема платежей

Reading time 11 min
Views 21K
image
За логотип спасибо yarbabin

Электронные системы расчетов существуют в интернете уже давно, а баги на них встречаются двадцатилетней давности. Мы находили критические уязвимости, позволяющие угнать деньги и накрутить баланс. Сегодня мы разберем типовые реализации приема платежей и связанные с ними проблемы безопасности.
Читать дальше →
Total votes 133: ↑132 and ↓1 +131
Comments 20

Обход средств защиты в iOS-приложениях

Reading time 8 min
Views 6.9K

В прошлой статье мы рассмотрели базовые уязвимости и способы их обнаружения. Но что делать, если в приложении используются дополнительные средства защиты (например, Jailbreak Detection или SSL-pinning), которые не позволяют нам изучить его? В этой статье расскажем, как и с помощью каких инструментов можно обходить данные средства защиты.

Читать далее
Total votes 25: ↑25 and ↓0 +25
Comments 4

Держи свой трафик в тайне. SSL Pinning — ещё раз о том же самом

Reading time 25 min
Views 44K

Всем привет! Меня зовут Юрий Шабалин, я один из основателей компании Stingray Technologies. Мы разрабатываем платформу анализа защищенности мобильных приложений iOS и Android.

Сегодня я хотел бы снова затронуть тему безопасности сетевого взаимодействия между приложением и его серверной частью. На эту тему написано немало, но комплексной статьи, отвечающей на самые разные вопросы, начиная от того, что же такое SSL, до того, как работает атака MiTM и как от нее можно защититься, я еще не встречал (а может, просто плохо искал). В любом случае, мне бы хотелось поделиться своими мыслями на этот счет и внести свою малую долю в русскоязычный контент на эту тему.

Статья может быть полезна для разработчиков, которые хотят понять, как устроен процесс прикрепления (пиннинга) сертификатов и специалистам по анализу защищенности мобильных приложений.

Читать далее
Total votes 20: ↑20 and ↓0 +20
Comments 14

Взламываем ТВ-приставку, чтобы получить плацдарм для хакерских атак

Reading time 8 min
Views 34K

Под катом вас ждет профессиональный экскурс в безопасность низкоуровневого ПО от одного из наших сотрудников. Вы узнаете, как получить доступ к Nand-памяти без программатора, обмануть загрузчик нулевого уровня и превратить Android-приставку в зомби за десять секунд.

Читать далее
Total votes 64: ↑61 and ↓3 +58
Comments 18

Взлом и внедрение своего кода в чужое iOS-приложение

Reading time 15 min
Views 15K


В жизни хакеры не так всесильны и эффектны, как в голливудских фильмах. Но это не значит, что iOS-разработчик может вообще не думать о безопасности своего приложения. Пусть оно и не хранит тайны Пентагона, взломать его всё равно могут хотя бы для того, чтобы получить платные функции бесплатно.


На нашей конференции Mobius разработчик Мурад Татаев рассказывал о взломе iOS-приложений — и о том, что разработчики могут делать для защиты от него. А теперь мы расшифровали этот доклад (видеозапись также прилагаем). Далее повествование идёт от лица спикера.

Total votes 27: ↑27 and ↓0 +27
Comments 16

Видео вещание с OvenMediaEngine, до свидания nginx rtmp module

Reading time 8 min
Views 25K


Когда Роман Арутюнян (rarutyunyan) выпустил модуль nginx-rtmp-module, это сильно перевернуло взгляд на доступность организации видеовещания. До этого, это казалось каким-то дорогим и сложным делом.

31 декабря Adobe официально хоронит флешплеер и убирает ссылки на скачивание с сайта. Это, конечно, не может не радовать. Эти засранцы то и дело подсовывали включенные по умолчанию галочки, так что даже продвинутому пользователю прилетал вместе с флешплеером еще и какой-то антивирус в лучшем случае. То, что это чудовище бесконечно просило обновлений ручками через браузер, знают все. Ходил даже анекдот, предлагающий создателям флешплеера законодательно ограничить паспорта сроком на 1 неделю с возможностью бесконечной перевыдачи.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Comments 34

Йога глазами дата-сайентиста: как мы строили computer vision в мобильном приложении

Reading time 10 min
Views 12K

Привет! Я Денис Соколов, руковожу R&D в Zenia Yoga — первом приложении для йоги на основе ИИ. В этой статье я расскажу, из чего состоит современная система, работающая с компьютерным зрением: как влияет каждый элемент пайплайна на конечный результат, который видит пользователь. Мы пошагово разберем создание модели для human pose estimation и сравним ее с готовыми «коробочными» решениями от производителей мобильных платформ, а также открытыми аналогами.

Читать далее
Total votes 38: ↑38 and ↓0 +38
Comments 27

Logstash + ClickHouse + Grafana: Как сделать Logger для логов ИБ умнее и эффективнее?

Reading time 17 min
Views 16K

В этой статье постараемся рассказать, как на базе всем доступного open-source можно построить эффективный Logger, поддерживающий интеграцию со всеми SIEM системами, и как можно модернизировать уже существующий Logger с помощью алгоритмов машинного обучения, сделав его умнее и эффективнее.

Читать далее
Total votes 6: ↑6 and ↓0 +6
Comments 3

Burp и его друзья

Reading time 11 min
Views 17K

В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили список тех, которые сами чаще всего используем в работе.


img

Читать дальше →
Total votes 27: ↑27 and ↓0 +27
Comments 3

Современные стандарты идентификации: OAuth 2.0, OpenID Connect, WebAuthn

Reading time 13 min
Views 73K
Пускать или не пускать? Вот в чем вопрос…

Сейчас на многих сайтах мы видим возможность зарегистрироваться или войти с помощью соцсетей, а некоторые сайты предлагают использовать внешние ключи безопасности или отпечатки пальцев. Что это? Стандарты с хорошо проработанной безопасностью или проприетарные реализации? Можем ли мы доверять этим технологиям и использовать их для разработки сайтов и в повседневной жизни? Давайте разбираться. Итак, сейчас существуют несколько стандартов и технологий для идентификации пользователей OAuth 2.0,OpenID Connect, WebAuthn, SAML 2.0, Credential Management API и др. В статье я расскажу о трех наиболее перспективных протоколах OAuth 2.0, OpenID Connect и WebAuthn. И чтобы понять как их применять на практике, сделаем три лабораторные работы. В качестве платформ для идентификации пользователей будем использовать GitHub и Google, на которых у большинства есть аккаунты.

image
Читать дальше →
Total votes 19: ↑19 and ↓0 +19
Comments 21

Копирайтинг и дизайн табличек для милостыни. Обзор научных исследований

Reading time 5 min
Views 26K


Как-то я увидела благотворительный проект от дизайнеров из Америки. Они переписывали плакаты для бездомных на дизайнерский лад. Получалось красиво, но никакой информации о том, стали ли бездомным лучше подавать после этого, не было.

Мне стало интересно, исследовал ли кто-нибудь, как влияет дизайн и копирайтинг на заработок бездомных, и я нашла пару интересных исследований.

Год выдался тяжелый, вдруг пригодится.
Читать дальше →
Total votes 98: ↑93 and ↓5 +88
Comments 37

Death Note, анонимность и энтропия

Reading time 16 min
Views 74K


В начале “Death Note” местный гениальный детектив по сути занят деанонимизацией: он знает только то, что убийца существует где-то на планете. Никаких улик тот не оставляет, но довольно быстро оказывается пойман. Вообще-то хабр не площадка для обсуждения аниме, но такая же охота на того-не-знаю-кого порой случается и в реальном мире — достаточно вспомнить Сатоши Накамото, Dread Pirate Roberts или Q. Так что под катом перевод статьи (анонимного, кстати говоря, автора) о том, насколько происходящее в этом сериале связано с реальной анонимностью и что у его героя пошло не так.

Читать дальше →
Total votes 181: ↑181 and ↓0 +181
Comments 97

Мне нравятся картонные человечки

Reading time 7 min
Views 25K
Краткое содержание статьи — в конце текста.

Леха – отличный парень. Хорошо работает, исполнительный, с идеями, перспективный. Сделали с ним пару отличных проектов. Но он бегает от уплаты алиментов на ребенка от первого брака. Прям приходит и просит, чтобы как-то скрыть его доход, и «платить ей поменьше».

Гена – нормальный менеджер. Веселый, разговорчивый, без понтов. Показатели в норме. Идеи по развитию и автоматизации есть. Но Гена – алкоголик. Начиная с пятницы он – другой человек. Бухает, бьет жену и детей, гоняет ночью пьяным на машине по городу, периодически попадает в нескучные истории.

Серега – нормальный программист. Сидит себе тихонько, разрабатывает. Можно и поговорить, он достаточно интересный собеседник, чувствуется большой жизненный опыт. Как разработчик – не плохой, но и не звезда. Крепкий середнячок. Но за пределами работы очень любит унижать людей, которые, в силу профессии, не всегда могут ему ответить. Продавцы супермаркетов, менеджеры салонов бытовой техники, мастера официальных автосервисов (те, что в костюмах, а не спецовке).

А я, когда всё это узнаю, думаю – ё ж твою через коромысло, вот нафига мне это знание?
Читать дальше →
Total votes 123: ↑102 and ↓21 +81
Comments 121

Облачный гейминг с открытым исходным кодом на WebRTC: p2p, мультиплеер, zero latency

Reading time 12 min
Views 9.4K

ПО как услуга, инфраструктура как услуга, платформа как услуга, коммуникационная платформа как услуга, видеоконференции как услуга, а что насчет облачных игр как услуги? Уже было предпринято несколько попыток создания облачных игр (Cloud Gaming), например, Stadia, недавно запущенная компанией Google. Stadia не новичок в WebRTC, но могут ли другие использовать WebRTC так же?
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Comments 25

Маленькие хитрости SSH

Reading time 6 min
Views 40K
В этой статье собраны наши лучшие приемы для более эффективного использования SSH. Из нее вы узнаете как:

  • Добавить второй фактор к логину SSH
  • Безопасно пользоваться agent forwarding
  • Выйти из вставшей SSH сессии
  • Сохранить постоянный терминал открытым
  • Поделиться удаленной сессией терминала с другом (без Zoom!)

Добавление второго фактора к своему SSH


Второй фактор аутентификации к своим SSH соединениям можно добавить пятью разными способами:

  1. Обновить свой OpenSSH и использовать ключ шифрования. В феврале 2020 года в OpenSSH была добавлена поддержка ключей шифрования FIDO U2F (Universal Second Factor). Это отличная новая функция, но есть нюанс: только те клиенты и серверы, которые обновились до версии OpenSSH 8.2 и выше смогут пользоваться ключами шифрования, так как февральское обновление вводит для них новые типы ключей. Командой ssh –V можно проверить клиентскую версию SSH, а серверную — командой nc [servername] 22
Читать дальше →
Total votes 42: ↑42 and ↓0 +42
Comments 22

Саморазвитие: как я не усидел на двух стульях и нашел третий

Reading time 19 min
Views 41K


Всем привет! Я руковожу командой антиспама в Mail.ru Group, а также несколькими группами по машинному обучению. Тема этой статьи — саморазвитие для тимлидов/руководителей, но на самом деле многие техники и рецепты совершенно не зависят от роли. Для меня этот вопрос очень актуален, так как машинное обучение развивается крайне стремительно, и чтобы хотя бы быть в теме, надо потратить уйму времени. Поэтому вопрос, как и на что тратить время для развития, стоит достаточно остро.

Контент статьи, разумеется, не истина в последней инстанции, а всего лишь описание результатов моего продолжающегося квеста, в котором изложены сработавшие для меня подходы, основанные на книгах и тренингах, на пробах и ошибках. Буду рад подискутировать с вами в комментариях.
Читать дальше →
Total votes 62: ↑59 and ↓3 +56
Comments 27

Виза таланта в цифровых технологиях в Великобританию: личный опыт

Reading time 7 min
Views 29K
Моя предыдущая статья на хабре про жизнь в Шотландии нашла очень большой отклик у хабрасообщества, поэтому я решил опубликовать тут еще одну статью которую об эмиграции, которую ранее публиковал на другой площадке.

Я живу Великобритании больше двух лет. Изначально, я сюда переехал по рабочей визе, которая накладывает на держателя определенные ограничения: можно работать только на ту компанию, которая вас пригласила, а для того чтобы получить постоянный вид на жительство, нужно прожить по рабочей визе пять лет. Так как страна в целом мне нравится, я решил попробовать повысить свой иммиграционный статус быстрее и получить “визу таланта” (Tier 1 Exceptional Talent). На мой взгляд эта виза — самая лучшая британская виза, про которую как ни странно далеко не все люди, рассматривающие возможность переезда сюда, знают.


Читать дальше →
Total votes 57: ↑53 and ↓4 +49
Comments 33

Как организовать успешный стартап?

Reading time 13 min
Views 14K

Эта статья — почти точный транскрипт моего мастер-класса, который я провёл в офисе Mail.ru Group для студентов наших образовательных проектов.

Мне больше всего нравится такое определение стартапа: это что угодно, находящееся в состоянии высокой неопределенности. И сегодня я хочу вам рассказать, как организовать успешный стартап. Это сложная, но не очень глубокая тема.
Читать дальше →
Total votes 64: ↑63 and ↓1 +62
Comments 20

Information

Rating
Does not participate
Registered
Activity