Двадцать шестого мая в рамках Positive Hack Days Fest 2 состоится Python Day, который мы проведем совместно с сообществом MoscowPython. Программный комитет конференции отобрал восемь докладов, анонсами которых мы хотели бы поделиться с читателями нашего блога. В этой статье мы расскажем о четырех докладах из запланированных восьми — продолжение последует позднее. Каждый анонс сопровождается комментарием участника программного комитета.
Пользователь
Томографический калейдоскоп, или подведение итогов уходящего 2023 года вместе с STE
Привет, Хабр. На пороге Новый год. Как всегда в конце года хочется понять, а чем же был для нас, компании Smart Engines, год уходящий? Продуктивным - да, и бизнес-результаты, и научные достижения, и технологии - как игрушки на елке - радуют. А где же игрушки - спросите вы и будете правы. Ведь один их сверкающий вид открывает двери празднику. А ниже они обязательно будут. Сегодня мы поделимся с вами нашим взглядом на 12 месяцев, а поможет в этом наш STE. Тот самый продукт для томографической реконструкции, над которым мы не устаем трудиться, дополняя, стабилизируя и запуская, как проходческий щит, в неосвоенные туннели условий томографической съемки.
Результат наших трудов покажем на томографии 12 объектов, каждый из которых символизирует один из 12 месяцев года. Да-да, интересная задача перед нами стояла в декабре - собрать 12 объектов, сфотографировать, сделать томографию и соорудить календарь из них. Кстати, и ты, дорогой читатель, можешь стать обладателем календаря от Smart Engines, но обо всем по порядку!
Мобильная разработка за неделю #518 (4 — 10 декабря)
Подписывайтесь на на наш Telegram-канал Mobile Insights, где еще больше материалов для мобильных разработчиков. А в IT Insights — много об интересном коде и технологиях.
Как улучшить письменный английский для коммуникаций за рубежом: проект Linguix Business
Привет, Хабр! Сегодня я хотел бы снова рассказать вам о нашем проекте – сервисе для улучшения письменного английского Linguix.com. Сегодня мы запускаем новый продукт – систему улучшения коммуникаций для бизнеса.
Linguix Business – это комбинация инструмента проверки грамматики, исправления опечаток и улучшения стиля с мощной аналитической платформой, которая позволяет получать важную статистику.
Эксперимент: как научиться создавать популярные тексты на английском (и почему англоязычный Хабр так мало читают)
Я много лет занимаюсь маркетингом, написанием текстов, при этом увлекаюсь английским и использую его в работе. В русскоязычном интернете в целом не так и много статей о контент-маркетинге и продвижении бизнеса в США. А те что есть часто просто рассказывают как надо делать на разборе каких-то конкретных ошибок.
Я подумала, что стоит сравнить подход к созданию контента, который используют авторы-носители языка и мы, не-нейтивы, когда пишем на английском. И вот вам результаты моего эксперимента.
Примечание: методология мини-исследования не особенно научная, но, на мой взгляд практическая. Мне полученные результаты кажутся интересными и полезными, но не стоит считать их истиной в последней инстанции.
Как прокси помогают в продвижении сайтов: реальные сценарии использования, проблемы и решения
Ранее в нашем блоге мы уже рассматривали реальные сценарии применения технологии прокси для решения задач информационной безопасности и сбора данных. Но на самом деле ее применения этим не ограничиваются. Прокси очень часто используют маркетинговые и SEO компании для продвижения сайтов.
Поговорим о том, зачем для этого нужны прокси, какие сложности могут возникнуть на пути применения технологии, и как их обойти.
Проект Salmon: как эффективно противостоять интернет-цензуре с помощью прокси с уровнями доверия пользователям
Правительства многих стран так или иначе ограничивают доступ граждан к информации и сервисам в интернете. Борьба с подобной цензурой – важная и непростая задача. Обычно простые решения не могут похвастать высокой надежностью или долговременной эффективностью. Более сложные методы преодоления блокировок обладают минусами с точки зрения удобства использования, низкой производительностью или не позволяют сохранить качество использования интернета на должном уровне.
Группа американских ученых из университета Иллинойса разработала новый метод преодоления блокировок, который основан на использовании технологии прокси, а также сегментировании пользователей по уровню доверия для эффективного выявления агентов, работающих на цензоров. Мы представляем вашему вниманию главные тезисы этой работы.
Личный опыт: как выглядит наша система Continuous Integration
За последние несколько лет линейка наших продуктов серьезно расширилась — к известной многим на рынке системе MaxPatrol добавился целый ряд новых инструментов от межсетевых экранов уровня приложений до инструментов управления инцидентами. Такое развитие поставило нас перед необходимостью адаптации процессов разработки в компании — поэтому мы активно внедряем в свою работу практики DevOps и связанные с этим технологии.
Сегодня мы хотим рассказать вам о модели созданной нами системы Continuous Integration.
Критическая уязвимость библиотеки OpenSSL позволяет проводить DoS-атаки
Изображение: thehackernews.com
В конце прошлой недели (22 сентября) организация OpenSSL Foundation объявила об устранении более десятка уязвимостей своей криптографической библиотеки. Среди найденных «багов» была и ошибка, эксплуатация которой позволяет злоумышленникам осуществлять DoS-атаки.
Уязвимости систем видеонаблюдения позволяют хакерам создавать масштабные ботнеты
Согласно заявлению US-CERT, в прошивке цифровых устройств видеонаблюдения (DVR) AVer Information EH6108H+ обнаружены серьезные уязвимости, которые позволяют злоумышленникам без труда получать к ним удаленный доступ и даже формировать ботнеты.
Промышленные системы управления — 2016: уязвимость и доступность
Автоматизированные системы управления технологическими процессами (АСУ ТП, ICS) используются в наши дни повсеместно — от «умных домов» до атомных электростанций. Однако сложная организация таких систем, требование непрерывности технологического процесса и возможность доступа к АСУ ТП через всеобщий Интернет делают их легкоуязвимыми для хакерских атак.
При этом количество уязвимых компонентов АСУ ТП из года в год не снижается. Практически половина выявленных в 2015 году уязвимостей имеет высокую степень риска, причем наибольшее количество уязвимостей найдено в продуктах самых известных производителей. В частности, повсеместно в АСУ ТП используются словарные пароли и пароли по умолчанию, что позволяет без труда получить к ним доступ и перехватить управление.
Такие выводы содержатся в исследовании компании Positive Technologies, в котором проанализированы данные об уязвимостях АСУ ТП за период с 2012 по 2015 год, а также данные о доступности компонентов АСУ ТП через Интернет в 2015 году. Ниже представлены основные результаты этого исследования.
Уязвимость HTTPoxy позволяет перенаправлять http-запросы веб-приложений
18 июля была опубликована информация о наборе уязвимостей, получившем название HTTPoxy. Используя его, злоумышленники могут подменять переменную окружения HTTP_PROXY, что позволяет им перенаправлять http-запросы к веб-приложениям на свои ресурсы.
Уязвимость была выявлена при участии разработчика компании Vend Доменика Шайрлинка (Dominic Scheirlinck), который в своем блоге на Medium рассказал о том, как она была обнаружена его коллегами в ходе разбора одного из тикетов, поступившем в службу поддержки.
Бэкдор в Linux-ядре китайского производителя ARM открывает доступ к смартфону одной командой
Китайская компания Allwinner занимается производством комплектующих для многих моделей недорогих Android-устройств, персональных компьютеров на платформе ARM и других устройств. Исследователи информационной безопасности обнаружили бэкдор в ядре Linux, которое со своей продукцией поставляет компания: он позволяет получить доступ к любому устройству с помощью одной простой команды.
Деловая программа PHDays: откровенное обсуждение сложных вопросов
Можно ли защитить предприятия и транспорт от угроз четвертой промышленной революции, известной как Индустрия 4.0? Придет ли рынок ИБ к сервисной модели? Не пора ли выбрасывать антивирусы и IDS на свалку? Станет ли SIEM ответом на все вопросы? Как вычислить инсайдера?..
Эти и другие темы войдут в деловую программу международного форума по практической безопасности Positive Hack Days VI, который состоится 17 и 18 мая 2016 года в Москве. В 2016 году ожидается более 4000 участников из более чем 700 организаций из 20 стран мира. Две трети из них — это первые лица компаний, представители государственной власти, IT-директора и руководители ИБ-отделов крупнейших международных компаний.
Объявлены результаты отбора на секцию Young School
В конце февраля в рамках ежегодного форума Positive Hack Days стартовал прием заявок на секцию для молодых ученых Young School. Несмотря на смену формата (раньше Young School был конкурсом), цель осталась той же — поддержка талантливых специалистов в области ИБ.
Теория и практика парсинга исходников с помощью ANTLR и Roslyn
В нашем проекте PT Application Inspector реализовано несколько подходов к анализу исходного кода на различных языках программирования:
- поиск по сигнатурам;
- исследование свойств математических моделей, полученных в результате статической абстрактной интерпретации кода;
- динамический анализ развернутого приложения и верификация на нем результатов статического анализа.
Наш цикл статей посвящен структуре и принципам работы модуля сигнатурного поиска (PM, pattern matching). Преимущества такого анализатора — скорость работы, простота описания шаблонов и масштабируемость на другие языки. Среди недостатков можно выделить то, что модуль не в состоянии анализировать сложные уязвимости, требующие построения высокоуровневых моделей выполнения кода.
К разрабатываемому модулю были, в числе прочих, сформулированы следующие требования:
- поддержка нескольких языков программирования и простое добавление новых;
- поддержка анализа кода, содержащего синтаксические и семантические ошибки;
- возможность описания шаблонов на универсальном языке (DSL, domain specific language).
В нашем случае все шаблоны описывают какие-либо уязвимости или недостатки в исходном коде.
Весь процесс анализа кода может быть разбит на следующие этапы:
- парсинг в зависимое от языка представление (abstract syntax tree, AST);
- преобразование AST в независимый от языка унифицированный формат;
- непосредственное сопоставление с шаблонами, описанными на DSL.
Данная статья посвящена первому этапу, а именно: парсингу, сравнению функциональных возможностей и особенностей различных парсеров, применению теории на практике на примере грамматик Java, PHP, PLSQL, TSQL и даже C#. Остальные этапы будут рассмотрены в следующих публикациях.
Хакер опубликовал данные SIM-карт и счетов 3 млн абонентов крупного африканского оператора
В сети Tor опубликована ссылка на архив, содержащий регистрационные данные и финансовую информацию 3 млн абонентов крупнейшего телекоммуникационного оператора Либерии Lonestar Cell.
Хакер под ником ROR[RG] выложил на одном из форумов ссылку и пароль для доступа к архиву — по его словам с помощью этих данных можно получить доступ к мобильным счетам пользователей оператора, а также их индивидуальные ключи идентификации и учетные данные сим-карт. ROR[RG] уточнил, что архив содержит не всю информацию, которую ему удалось похитить из сети оператора.
Первые доклады PHDays VI: как ломают транспортные карты, ставят хакерские «мышеловки» и продают уязвимости за 100 000 $
31 января закончилась первая волна приема заявок на участие в шестом международном форуме по практической безопасности Positive Hack Days, который состоится в Москве 17 и 18 мая 2016 года в московском Центре международной торговли. Желающие выступить на форуме, но не успевшие подать заявку, смогут сделать это в ближайшее время: вторая волна Call for Papers стартует уже 17 февраля и продлится до 31 марта!
А пока мы анонсируем первую группу участников, вошедших в основную техническую программу. В этом году слушатели PHDays узнают, как сорвать большой куш в Microsoft, как с помощью смартфона тестировать безопасность транспортных систем, и выяснят всю подноготную рынка уязвимостей нулевого дня.
Критическая уязвимость библиотеки glibc позволяет осуществлять удаленное выполнение кода
Исследователи Google обнаружили критическую уязвимость в библиотеке glibc (GNU C Library). В функции
getaddrinfo()
, которая отвечает за разбор доменных имен, происходит переполнение буфера — ошибка позволяет злоумышленникам осуществлять удаленное выполнение кода.Эксплуатация уязвимости, получившей обозначение CVE-2015-7547, возможна в случаях, когда уязвимые устройства или приложения отправляют запросы контролируемым хакерами доменам и серверам, а также в случае проведения атаки типа man-in-the-middle.
Как распознать эмоции человека по его лицу: Тест для сотрудников финансовых компаний
Голландский банк ING на протяжении двух лет занимается реализацией программы, которая направлена на повышение «эмоционального интеллекта» сотрудников. Часто людям трудно сходу распознать эмоции собеседника, что может приводить к ухудшению качества коммуникаций с клиентами и коллегами.
Усилия дают результаты — как пишет Business Insider, несмотря на то, что в ING денежные премии ниже, чем в среднем по отрасли, согласно опросам, сотрудники, в среднем, более удовлетворены своей работой. Кроме того, выручка растет также быстрее, чем в среднем по отрасли, при этом 80% дополнительных доходов приходятся на текущих клиентов.
Программа повышения «эмоционального интеллекта» включает в себя множество различных аспектов. Важнее всего здесь научиться распознавать эмоции другого человека. Для того, чтобы это сделать, финансовая компания предлагает сотрудникам специальный тест. Он состоит из изображения человека и четырех вариантов ответа. Попробуем пройти его (после картинки идет спойлер с ответом, а затем его описание).