Що таке блокчейн і навіщо він потрібний



У свідомості пересічного користувача саме слово «блокчейн» («ланцюжок блоків») стало досить тісно пов'язане з терміном «біткойн», що двояко позначилося на сприйнятті.

З одного боку, популярність биткойна викликає інтерес і до блокчейну, з іншого боку, в масовій свідомості біткойн часто асоціюється лише з чимось негативним, забороненим і подвергаемым переслідуванню з боку законодавців. Мовляв, навіщо розплачуватися біткойнами, коли є цілий зоопарк електронних гаманців і банківських карт? Ясна річ – щоб провертати якісь темні справи.

Читати далі →

Вразливість BIND дозволяє «упустити» будь-сервер: як і чому це працює



Майже місяць тому, 11 січня 2017 року, розробники найбільш популярного DNS-сервер з відкритим вихідним кодом BIND випустили виправлення для чотирьох нових вразливостей, які дозволяють віддаленого атакуючому аварійно завершити роботу DNS сервера. У числі вразливостей присутній CVE-2016-9147, про яку далі піде мова. Атака не вимагає спеціальних умов крім необхідності зловмиснику бачити виходить від уразливого сервера трафік.

Ми задалися метою створити правила (NAD) для виявлення експлуатації даних вразливостей по мережі — щоб це зробити, нам довелося глибше розібратися з кодом BIND та написати власні експлоїти. Наш розбір допоможе зрозуміти, як все влаштовано всередині такого популярного DNS-сервера, а також дізнатися про прорахунках, допущених розробниками проекту, і можливі рішення цих проблем.
Читати далі →

Як включити JTAG-налагодження через USB

image

В кінці грудня 2016 року ми опублікували на Хабре матеріал з виступу експертів Positive Technologies на Chaos Communication Congress (33C3) в Гамбурзі. Максим Гарячий і Марк Єрмолов розповіли про те, що сучасні процесори Intel дозволяють використовувати текстовий інтерфейс JTAG через доступний на багатьох платформах порт USB 3.0 для отримання повного контролю над системою.

Починаючи з процесорів сімейства Skylake, запущених у виробництво в 2015 році, компанія Intel впровадила технологію Direct Connect Interface (DCI), яка надає доступ до JTAG через популярний порт USB 3.0. При цьому на цільовому комп'ютері не потрібно яких-небудь програмних або апаратних агентів − необхідно лише, щоб інтерфейс DCI був активований. Таким чином можливість використовувати можливості JTAG на обладнанні, доступні в широкому продажі, з'явилася у пересічних розробників
Читати далі →

Криптографія і захищена зв'язок: історія перших шифрів

Криптографія та шифрування тисячі років використовуються людьми для захисту своїх секретів. З деякою часткою умовності цю історію можна почати з Стародавнього Єгипту.

Стародавній Єгипет
Найдавніший текст з елементами криптографії знайдений в гробниці давньоєгипетського вельможі Хнумхотепа ІІ, наслідного князя і номарха міста Менат-Хуфу, який жив майже 4000 років тому. Десь близько 1900 р. до н. е. писар Хнумхотепа описував життя свого пана в його гробниці. Серед ієрогліфів він використав кілька незвичайних символів, які приховують пряме значення тексту. Такий метод шифрування фактично являє собою шифр підстановки, коли елементи вихідного тексту замінюються іншими елементами за певними правилами.


Символи з гробниці Хнумхотепа II і їх розшифровка

По мірі розвитку єгипетської культури заміни ієрогліфів зустрічалися частіше. Є різні версії, чому єгиптяни використовували таку систему шифрування. За однією версією, вони хотіли зберегти свої релігійні ритуали від звичайних людей. За іншою версією, таким чином писарі надавали тексту якийсь формальний вигляд, як у наш час юристи використовують специфічні вирази для заміни звичайних слів. Як і зараз, єгипетська криптографія теж могла бути способом писаря вразити інших людей — показати, що він може висловлюватися на більш високому рівні, ніж вони.

Читати далі →

Пропуск у партер – як запускалися Apple Pay і Samsung Pay в Яндекс.Гроші

<img src=«habrastorage.org/files/5bf/648/b0c/5bf648b0c0114394a8f7e45f10cf2e0f.jpg» alt=«image» alt text"/>
На хвилі загального захоплення безконтактної оплатою хочу поділитися підкапотним досвідом Яндекс.Грошей по запуску Apple Pay і Samsung Pay. Нашій команді довелося координувати зусилля з MasterCard і виробниками смартфонів. Подружити цю компанію і не зійти з розуму – завдання саме по собі нетривіальна. До того ж ми були в першій хвилі тих, хто прийшов на "свято", і багато рішень довелося обкатувати на ходу.
Під катом подробиці про підключення безконтактних платежів в Яндекс.Гроші, тестуванні та особливості роботи систем безпеки з новим типом платежів.
Читати далі →

Чому я не люблю синтетичні тести

Why I Dislike Synthetic Tests
Мені не подобається, коли хтось намагається використовувати створені вручну приклади коду для оцінки можливостей статичного аналізатора коду. Зараз на конкретному прикладі я покажу, чому негативно ставлюся до синтетичних тестів.

Не так давно Bill Torpey написав у своєму блозі замітку "Even Mo' Static", де розповів, як, на його погляд, показали себе інструменти Cppcheck і PVS-Studio при аналізі проекту itc-benchmarks. Проект itc-benchmarks — це static analysis benchmarks from Toyota ITC.

Мені не сподобалося, що після прочитання статті створюється враження, що аналізатори Cppcheck і PVS-Studio приблизно рівні у своїх можливостях. Зі статті випливає, що один аналізатор показує себе краще в одному, другий-в іншому, але в цілому їх діагностичні можливості схожі.

Я думаю, що це не так. Моя думка — наш аналізатор PVS-Studio в кілька разів могутніше, ніж Cppcheck. І взагалі, це не «думка», я знаю це!

Читати далі →

Зараження кеша DNS-серверів провайдерів за рахунок маніпуляції DNS-відповідями від легітимних авторитетних DNS-серверів

Серйозною проблемою сучасності є мережеві загрози ІБ, тобто класи загроз, що реалізуються з використанням протоколів міжмережевого взаємодії. Одним з таких протоколів є протокол доменної системи імен — DNS.
До числа загроз, що використовують систему доменних імен, відносяться загрози, засновані на модифікації пакетів DNS-транзакцій і спрямовані на створення в мережі помилкового маршруту. Їх потенційна небезпека полягає в можливості перехоплення даних, що передаються між клієнтами мережевих сервісів і серверами цих сервісів.
Відстежити модифікацію пакетів DNS-транзакцій, при потенційно високої небезпеки реалізації в інформаційних системах атак досить непросто, тому стають можливими такі атаки як
  • аналіз мережевого трафіку
  • підміна довіреного об'єкта мережі
  • нав'язування хибної маршруту
  • впровадження помилкового об'єкта мережі
Тема зараження кеша DNS-серверів провайдерів вже давно об'їжджена, однак на практичному прикладі покажемо, як досить просто змусити «ходити» клієнтів конкретного інтернет-провайдера за потрібною нам IP-адресою, замість правильного, для заданого домену, нічого при цьому не зламуючи і не заражаючи троянами, тим самим даючи нам повний контроль над трафіком, пов'язаних з конкретною DNS-зоною.


Читати далі →

РПЦ запустила перший православний месенджер

Новина, звичайно, як спеціально для п'ятниці, але, тим не менш...

Російська православна церква запустила перший в Росії православний мессенджер «Правжизнь Telegram». Про це в п'ятницю, 3 лютого, заявили в Синодальному відділі із взаємин Церкви з суспільством та ЗМІ, передає ТАСС.

Функціонал додатка дає користувачам можливість не тільки обмінюватися миттєвими повідомленнями, відправляти файли і пересилати фото-, відео — і аудіоматеріали, але і підписатися на різні канали, щоб стежити за подіями з життя того чи іншого храму чи монастиря.

З допомогою «Правжизнь Telegram», як зазначається, священнослужителі зможуть приймати прохання про молитовної допомоги від парафіян» і «оперативно отримувати прохання про требах». Крім того, із запуском програми вони можуть збирати пожертви, організовувати волонтерів, створювати канали і робити розсилку по передплатникам.

За словами творців додатки, тепер православні користувачі зможуть ближче познайомитися один з одним, знайти нових друзів і знайомих, обговорити новини та надати молитовну або іншу допомогу віруючим. «Завдяки програмі «Правжизнь Telegram» я змогла вилікувати давно мучавшее мене захворювання», — зазначає одна з парафіянок.


Читати далі →

Відтворення зашифрованих файлів з дешифровкою "на-льоту" на iOS

image

У процесі розробки додатка на фрейворке Sencha Touch для платформи iOS потрібно реалізувати відтворення локальних відео і аудіо файлів, які повинні бути зашифровані на сервері перед скачуванням в пам'ять мобільного пристрою. Додатковою умовою була заборона на створення дешифрованою версії файлу на диску, таким чином з'явилася необхідність робити розшифровку і читання даних в оперативній пам'яті. Тому стандартний плагін від Cordova для відтворення локальних медіа файлів не підходив, хоча досвіду розробки на Objective C у мене не було, я вирішив створити свій, володіє необхідним функціоналом.

Читати далі →

Злочинців виявили за допомогою служби ATP у Програмі Windows defender

Коли в грудні 2016 року німецький промисловий конгломерат повідомив, що на початку року піддався атаці, виявилося, що за зломом даних стояла професійна злочинна група, що займається промисловим шпигунством. За даними німецької преси, атака здійснювалася на базі впровадженого файлу з сімейства Winnti, який забезпечував зловмисникам постійний доступ до мережі конгломерату з лютого 2016 року.

Під катом ми розглянемо впроваджений шкідливий файл Winnti в тому вигляді, в якому він використовувався двома відомими злочинними групами BARIUM і LEAD. Ми подивимося, як вони впроваджували файл в різні системи, а також дізнаємося, з допомогою яких методів дослідники Microsoft його відстежували.



Читати далі →