Ведущий исследователь Том Корт из компании Context, предоставляющей услуги информационной безопасности, рассказывает о том, как ему удалось обнаружить потенциально опасный баг в коде клиента Steam.

Внимательно следящие за безопасностью PC-игроки заметили, что недавно Valve выпустила новое обновление клиента Steam.

В этом посте я хочу оправдаться за то, что мы играем в игры на работе рассказать историю связанного с этим бага, существовавшего в клиенте Steam не меньше десяти лет, который до июля прошлого года мог приводить к удалённому выполнению кода (remote code execution, RCE) во всех 15 миллионах активных клиентов.

С июля, когда Valve (наконец-то) скомпилировала свой код со включенными современными защитами от эксплойтов, он мог бы приводить всего лишь к отказу клиента, а RCE было возможно только в сочетании с отдельной уязвимостью утечки информации.

Мы заявили Valve об уязвимости 20 февраля 2018 года, и, к чести компании, она устранила её в бета-ветке меньше 12 часов спустя. Исправление было перенесено в стабильную ветку 22 марта 2018 года.

Условие. Есть MacBook Pro Early 2015 без внутреннего накопителя. Требуется организовать на нем macOS и Windows 10 во варианте dual-boot с одного внешнего накопителя.

Актуальность. Внутренний накопитель современных макбуков представлен PCI-E SSD в проприетарном форм-факторе Apple. Неоригинальный на 128–256 Гб можно купить по цене в пределах 5–10 тыс. р. [1, 2]. С другой стороны, при наличии достаточно быстрого внешнего накопителя (или низкой требовательности к его скорости) можно загружаться с него.

Все уже, наверное, в курсе про такую организацию как Let’s Encrypt. С некоторых пор там можно получить и wildcard сертификат. В этой короткой заметке я опишу пару не очень очевидных моментов, с которыми столкнулся.

Здравствуйте, уважаемые читатели, в данной статье я хотел рассказать вам про модификацию системных файлов операционной системы IOS. В качестве подопытного у нас будет выступать айфон первого поколения, что нынче относится к раритетам, но данная информация будет актуальна и для других яблочных девайсов.

Для тех кто не в курсе первый айфон выглядит примерно так

Для проведения опытов нам понадобится сам телефон порвергнутый Jajebreak’у, программа IFunBox для просмотра и модификации системных файлов, дизассемблер IDA, HEX редактор.
На моем телефоне установлена IOS 3.1.3, но данные модификации будут работать и на других версиях(может быть).

В последнее время термин “NoSQL” стал очень модным и популярным, активно развиваются и продвигаются всевозможные программные решения под этой вывеской. Синонимом NoSQL стали огромные объемы данных, линейная масштабируемость, кластеры, отказоустойчивость, нереляционность. Однако, мало у кого есть четкое понимание, что же такое NoSQL хранилища, как появился этот термин и какими общими характеристиками они обладают. Попробуем устранить этот пробел.

Всеобщая истерия прокатилась по поводу того, что в журнале «Vogue» содержится халявный видеоплеер. Журналы в Москве сметают стопками. И я поддался общей истерии и прикупил данное чудо. Поигравшись, понял что если использовать его в качестве видеоплеера, то необходимы наушники, и было бы не плохо сделать регулятор громкости.


Источник мужского вдохновения

Подключаем наушники

Многие в посте пробовали припаять второй динамик, для которого казалось бы существуют контактные площадки, но были разочарованы отсутствием звука. А при беглом осмотре видно, что для второго канала тоже есть контактные площадки для усилителя. Изначально была мысль взять с другой платы микросхему усилителя и остальную рассыпуху и припаять. Но внимательно рассмотрев плату, я понял что другие площадки предназначены для запайки разъёма для наушников. При чём к этому разъёму идут дорожки от процессора минуя усилитель. Решил проверить и припаял к нему разъём для подключения наушников, выкорчёванный из старого плеера. И я угадал — работают оба канала в режиме стерео!

После Vogue истерии появилось множество вопросов, как подключить плату к компьютеру. И многие люди даже не понимают, что же такое UART. И я решил рассказать здесь какой это мощный инструмент.


Роутер превращается в компьютер, если к нему по UART подключить клавиатуру и дисплей

От телеграфа к COM-порту

Протокол UART (Universal asynchronous receiver/transmitter) или, по-русски, УАПП (универсальный асинхронный приемопередатчик) — старейший и самый распространенный на сегодняшний день физический протокол передачи данных. Наиболее известен из семейства UART протокол RS-232 (в народе – COM-порт, тот самый который стоит у тебя в компе). Это, наверное, самый древний компьютерный интерфейс. Он дожил до наших дней и не потерял своей актуальности.

Надо сказать, что изначально интерфейс УАПП появился в США как средство для передачи телеграфных сообщений, и рабочих бит там было пять (как в азбуке Морзе). Для передачи использовались механические устройства. Потом появились компьютеры, и коды ASCII, которые потребовали семь бит. В начале 60-х на смену пришла всем известная 8-битная таблица ASCII, и тогда формат передачи стал занимать полноценный байт, плюс управляющие три бита.

Пытаемся зарядить телефон от кроны через микросхему КРЕН5А

Не так давно на хабре проскакивал пост “Когда садится батарейка”, поражающий своей неграмотностью. Всё бы ничего, но этот пост даже умудрился оказаться на главной странице, в результате его прочитало множество людей, и автор преступным образом ввёл их в заблуждение. Чтобы показать неправильность поста эксперимент был повторен с максимальной дотошностью: регистрацией токов, напряжений. Так же объясняется почему это невозможно, и что делать, если уж очень хочется заряжать телефон от батареек.
Добро пожаловать под кат.

В полку конкурентов Raspberry Pi прибыло. Хотя новую плату Tinker Board от компании Asus сложно назвать настоящим конкурентом, потому что эта плата другого уровня и по гораздо более высокой цене. Tinker Board стоит около $68, то есть почти в два раза дороже платы Raspberry Pi 3 ($35), которая в продаже с 29 февраля 2016 года.

Но за эти деньги вы получаете гораздо более мощный ARM Cortex-A17 с тактовой частотой 1,8 ГГц, гигабитный Ethernet, поддержку HDMI 2.0 для мониторов и телевизоров с разрешением до 4K и H.264, 2 ГБ памяти, звук 192K/24 бита вместо 48K/16 бит у RPi, SDIO 3.0 и ещё несколько бонусов.

Возможно, когда-нибудь в будущем самой популярной операционной системой в мире снова будет Windows. Такое произойдёт, если Microsoft удастся реализовать свои планы и распространить Windows 10 на мобильных устройствах — смартфонах, планшетах и других гаджетах, которые работают преимущественно на процессорах ARM. У операционной системы Microsoft есть главный козырь — огромное количество сторонних программ, написанных под Windows. Но все они написаны под архитектуру x86 и не запускаются на смартфонах. Microsoft намерена исправить этот недостаток.

В декабре 2016 года компания Qualcomm объявила о партнёрстве с Microsoft и анонсировала новый 64-битный процессор Snapdragon 835 (ARMv8), на котором сможет работать Windows 10. Предполагалось, что эти процессоры Qualcomm можно будет устанавливать в ноутбуки вместо традиционных чипов Intel и AMD. Начало продаж нового SoC обещали во второй половине 2017 года.

Наверное, кроме ноутбуков, такие чипы пригодны для установки в смартфоны и планшеты. Это будут гаджеты с полноценной системой Windows 10. И они смогут запускать любые приложения для x86, от «Фотошопа» до старых игр.

Аппаратура для съёма электромагнитного сигнала

Любой компьютер во время работы создаёт электромагнитное поле, у которого слегка меняются спектральные компоненты в зависимости от операций, которые выполняет устройство. Эти законы физики являются базой для проведения атаки по электромагнитному излучению — представителя класса атак по сторонним каналам. Информации о физических процессах в устройстве может быть достаточно, чтобы восстановить значение битов в памяти.

Сканирование электромагнитного излучения ПК для считывания паролей осуществлялось и раньше, здесь нет ничего нового. Но раньше для этого применялась масса дорогого и громоздкого оборудования. Теперь угроза вышла на новый уровень. В принципе, такую атаку можно проводить даже незаметно для жертвы, просто сидя рядом с ПК с маленьким «жучком» в кармане (на фото вверху).

Часть 1
Часть 2
Часть 3
Часть 4

От переводчика: Предлагаю вашему вниманию перевод отчёта по одноплатным компьютерам, который был опубликован на сайте LinuxGizmos.com. В отчёт включены краткие описания 98 плат стоимостью до 200 долларов. В отчёте такие платы называют «хакерскими», чтобы подчеркнуть их пригодность для различного творчества.
Так как объем информации весьма велик, я разбил перевод на несколько частей.

Также хочу предупредить, что под катом очень много картинок!

Итак, часть 1.


КДПВ

В течение последнего года, LinuxGizmos сообщал о дюжинах новых одноплатных компьютерах с открытыми спецификациями, дружественных к разработчикам и «хакерам», на которых можно запустить Linux и Android. Мы добавили их в наш каталог вместе со старыми платами. Платы, попавшие в наш обзор, стоят меньше 200 долларов без учёта пересылки, доступны для доставки в июле этого года, и удовлетворяют нашим (весьма гибким) критериям открытости.

Часть 1
Часть 2
Часть 3
Часть 4

DE0-Nano-SoC Development Kit / Atlas-SoC Kit

Компания/проект — Terasic; RocketBoards.org
Страница продукта
CPU — Intel (Altera) Cyclone V SE (Cyclone V FPGA + 2x Cortex-A9 @ 952MHz)
Память — 1GB DDR3 RAM
Цена — $99

Плата DE0-Nano-SoC Development Kit выгладит как коммерческая отладочная плата, но имеет открытые спецификации и стоит всего $99, что выглядит разумной ценой для платы на основе Cyclone V. Плата DE0-Nano-SoC использует более low-end разновидность SE, которая примерно эквивалентна Xilinx Zynq-7020. Эта SoC объединяет FPGA и два ядра Cortex-A9 под управлением Angstrom v2014.12 Yocto 1.7 с ядром Linux 4.0. На плате есть GbE, USB OTG, порты micro-USB, и слот microSD катрочкой на 4GB. Также есть акселерометр, разъем расширения, подсоединённый к ARM, и различные интерфейсы, подсоединённые к FPGA, включая 40-pin разъём, совместимый с шилдами Ардуино. Есть идентичная версия Atlas-SoC, имеющая программное обеспечения, рассчитанное больше на программистов, чем на разработчиков железа. Есть сообщество на RocketBoards.org.

Часть 1
Часть 2
Часть 3
Часть 4

NanoPC-T3

Компания/проект — FriendlyElec (FriendlyARM)
Обзор LinuxGizmos
Страница продукта
CPU — Samsung S5P6818 (8x Cortex-A53 @ 400MHz to 1.4GHz); Mali-400 MP GPU
Память — 1GB или 2GB DDR3 RAM; 8GB eMMC
Цена — $60

Компания FriendlyElec (также известная как FriendlyARM) предлагает сейчас как минимум дюжину одноплатников, что превышает наш порог в 10 устройств на компанию, и это заставило нас исключить некоторые из них из нашего первого списка. Несколько сходных продуктов мы объединили в один пункт, модель NanoPi. Размер платы NanoPC-T3 100 x 60mm. Это одна из наиболее развитых плат от FriendlyElec. Она оснащена восьмиядерным Samsung S5P6818. Плата NanoPC-T3 SBC практически идентична более ранним, четырёхядерным NanoPC-T2. В дополнение к более быстрому процессору, плата T3 добавляет опцию 2GB RAM. Также обе платы NanoPC имеют слот SD, GbE, WiFi, и Bluetooth 4.0. На платах установлены четыре USB host, micro-USB client, и медиапорты, включая HDMI, LVDS, LCD, MIPI-DSI, MIPI-CSI, и аудио. Вместо обычного разъёма 40-pin RPi, NanoPC-T3 имеет 30-pin разъём GPIO.
 

Часть 1
Часть 2
Часть 3
Часть 4

Parallella

Компания/проект — Adapteva, Parallella.org
Обзор LinuxGizmos
Страница продукта
CPU — Xilinx Zynq-7020 или -7010 SoC (2x Cortex-A9 @ 667MHz plus FPGA); 16-core Epiphany RISC chip
Память — 1GB DDR3 RAM
Цена — $99

Плата предназначена для построения энергоэффективных серверных кластеров и исследований в области параллелизма, и построена на базе Zynq ARM/FPGA SoC работающего под управлением дистрибутива Ubuntu 15.04, названного Parabuntu, а также «доморощенного» 16-ядерного сопроцессора Epiphany. Порты включают microSD, GbE, micro-HDMI, и два USB. Четыре 60-pin разъёма служат для расширения ввода-вывода и связаны с FPGA и с чипом Epiphany. Adapteva также предлагает за $75 версию Micro-Server с Zynq-7010, у которой нет USB, HDMI, и расширений I/O. В прошлом году также был выпущен корпус Parallella Aluminum Case за $29.50 с теплорассеивающей пластиной, но сейчас его нет в продаже. Новый чип Epiphany-V, содержащий 4.5 млрд. транзисторов должен был выйти уже несколько месяцев назад.

В отличие от Intel Core, линейка процессоров Intel Atom обновляется крайне нерегулярно; некоторые семейства вообще сняты с производства, а в других новинок можно ждать годами. Тем неожиданней выглядит массированный запуск сразу 15 новых моделей Intel Atom с индексом C. Однако самое интересное состоит в другом: впервые в истории топовая модель серии Atom C3000 имеет ни много ни мало 16 ядер! Прочие характеристики С3000 также весьма впечатляющи, фактически, мы получили новую серверную платформу — точнее, скорее, микросерверную.

Еще в начале ноября 2017 года компания Qualcomm Datacenter Technologies (QDT) завершила работу над своим новым детищем — процессором на базе 10-нм технологии — Centriq 2400. Какое будущее ждет индустрию по мнению создателей сего новшества? Какие преимущества получать серверы и чем так уникален Centriq 2400? Об этом и не только читайте далее.

Итак, имеем два астериска.
Задача — организовать прямой дозвон через префикс туда и обратно.
Исходные данные:
Астериск 1.4 на обеих концах
kazan.asterisk.ru — имя первого астериска.
volgograd.asterisk.ru — имя второго астериска.
Предполагается, что оба астериска имеют прямой выход в интернет (в ином случае тоже проблем быть не должно, нужно настроить NAT и использовать параметр nat=yes)

Пусть 1-й астериск у нас находится в Казани, другой в Волгограде. Обратимся к автомобильным кодам регионов.
Тогда дозвон из Волгограда будет 9-16-<номер>.
Из Казани 9-34-<номер>.

На фоне блокировок Amazon и предложений о введении 30%-го налога на все покупки с зарубежных площадок, «Яндекс» и «Сбербанк», завершили сделку о создании совместного предприятия, о котором было объявлено еще в августе. По словам Германа Грефа, целью новой площадки станет создание «российского Amazon». Общая стоимость проекта – 60 млрд. рублей, из которых «Яндекс» уже получил 30 млрд. Сумма очень внушительная: Дуров за «Вконтакте» получил $300 млн, а сам «Яндекс» заплатил за «Кинопоиск» $80 млн, и обе сделки были еще до падения рубля. Но какие шансы у нового проекта побороть Avito и Aliexpress, и сможет ли он что-то противопоставить настоящему Amazon, если тот однажды захочет прийти в Россию?

Пока хайп вокруг биткоина набирает немыслимые высоты, всё сильнее напоминая современную лихорадку по современному же золоту, самое время заглянуть в будущее: что может прийти на смену уже самому биткоину? Правильный ответ на этот вопрос — это покупка токенов, то есть второй по привлекательности путь к обогащению на криптовалютах, само собой, после изобретения машины времени и путешествия в прошлое за биткоинами по несколько центов.

Не биткоином единым

Глава «Сбербанка» Герман Греф не так давно заявлял, что в своё время закупал биткоины. Сам «Сбербанк» изучает потенциал криптовалют и блокчейна уже несколько лет и видит за криптой (не путать с «крипотой») большое будущее. Близнецы Уинклвосс, прославившиеся тяжбой с Марком Цукербергом за права на Facebook, стали миллиардерами благодаря криптовалюте. Несколько лет назад они потратили $11 млн на покупку биткоинов (тогда они стоили около $120 за монету, воу), которые с тех пор многократно возросли в цене по отношению к доллару, а 2000 биткоинов Павла Дурова теперь оцениваются в $35 млн.