Category: it

Category was added automatically. Read all entries about "it".

«Еще одна миленькая девочка-хакер»


Что мы знаем о российских организациях, подпавших под новые американские санкции
ЦОР Security

В декабре 2014 года Forbes рассказывал о создательнице компании «Цифровое оружие и защита» (ЦОР Security, бывшая Esage Lab) — татуированной блондинке Алисе Шевченко (на хакерских форумах она сидела под ником codera). Весной 2014 года Шевченко в рамках Positive Hack Days, ежегодного российского форума хакеров, участвовала в легальной хакерской атаке — с легкостью взломала систему управления инфраструктурой города-полигона; его защиту она назвала «тривиальной».

В своем инстаграме Шевченко называет себя «еще одной миленькой девочкой-хакером» (аккаунт открыт только для друзей). На ее сайте указано, что она «чаще всего работает над уязвимостями и эксплойтами». В своем твиттере через день после президентских выборов в США Шевченко написала: «Почему я уверена, что в скором будущем бывшего хакера выберут президентом».

В начале карьеры Шевченко пять лет проработала вирусным аналитиком в «Лаборатории Касперского». В 2009 году она организовала компанию Esage, которая анализировала киберзащиту различных организаций. Заказы она получала от системного интегратора «ДиалогНаука», который обслуживал контракты Минобороны, ФСО, Госдумы, российских банков; этих заказов не хватало, рассказывал Forbes.

Заняться управляемыми взломами Шевченко в том числе рекомендовала Наталья Касперская, руководитель компании InfoWatch (в ноябре 2016-го Касперская заявила, что данные пользователей российского интернета должны принадлежать государству). Позднее Шевченко начала получать заказы от «Информзащиты» (компания занимается защитой государственных информационных ресурсов и инфраструктуры — они работали на Олимпиаде в Сочи и на российских выборах в разные годы). Они проводили «боевые учения», в рамках которых атаковали клиентов.

В своих атаках ЦОР, как и «российские хакеры», взламывавшие почту американских политиков, функционеров ВАДА и журналистов, использовали фишинговые письма и вредоносные сайты — чтобы подобраться к нужным данным.

В 2014-м компания, в которой трудилось 10 сотрудников, заработала около 10 миллионов рублей. Всех сотрудников Шевченко нашла на хакерских форумах, они вместе занимались разработкой инструментария для взломов. Власти США считают, что ЦОР предоставлял свои исследования и разработки ГРУ.

Утром 30 декабря Шевченко прокомментировала свое включение в санкционные списки: «Проснулась от тонны запросов о каком-то списке „0fuck“, о котором никогда не слышала. Кажется, не выйдет сегодня покодить…»
«Специальный технологический центр» (СТЦ)

Офис «Специального технологического центра», основанного в 2011 году, находится на северной окраине Санкт-Петербурга.

Компания производит средства радиоконтроля: комплекс «Барс-МПИ3», он предназначен для поиска и идентификации источников помех и анализа нагрузки на частоту (его закупает Министерство связи). СТЦ также выпускает беспилотники «Орлан-10», позволяющие вести наблюдение в труднодоступной местности. В октябре 2015 года такой беспилотник сбили на турецкой границе; «орланов» не раз сбивали во время войны на Украине.

Белый дом считает, что СТЦ помогал ГРУ проводить кибероперации.
Автономная некоммерческая организация «Профессиональное объединение конструкторов систем информатики» (АНО ПО КСИ)

Организация основана в 1990 году для производства микроэлектроники и вычислительных систем специального назначения.

На сайте АНО ПО КСИ указано, что в организации работают около 200 человек, их офис находится в деревне Андреевка в Солнечногорском районе Подмосковья. Там же говорится, что в рамках госзаказа предприятие выпустило 30 приборов, среди которых есть неожиданные — например, сканер избирательных бюллетеней и сканер для двухстороннего ввода изображений с уложенных в стопку «бумажных оригиналов форматов А5—А3». РБК сообщал, что организация сотрудничает с Минобороны, управлением авиации ФСБ, НИИ института военной медицины Минобороны.

В публичном доступе нет информации о том, что АНО занимается деятельностью, которую можно связать с кибератаками. Белый дом считает, что АНО ПО КСИ предоставляет место для тренировки хакеров ГРУ.
* * *

«Медуза» рассказывала, как устроены российские кибервойска. В последние годы представители Министерства обороны не раз публично рассуждали об их создании. Особенно много о них говорил министр Сергей Шойгу: он призывал создать аналог американских Cyber Command и объявлял «большую охоту» на молодых программистов. В соответствии с планами Минобороны, программисты и технические специалисты начали служить в «научных ротах» при военных частях. Весной 2014 года в ведомстве появились «войска информационных операций» для «кибернетического противоборства с вероятным противником». Одну из «научных рот» сформировали в Межвидовом центре подготовки и боевого применения войск радиоэлектронной борьбы под Тамбовом. Преподаватель центра рассказывал, что студенты «отрабатывают алгоритмы кибератак, чтобы максимально эффективно воспользоваться ими при случае».

Для разработки кибероружия российские спецслужбы и военные привлекают НИИ и «специальные технические центры». В 2011 году НИИ «Квант» при ФСБ тестировал программу Remote Control System, позволяющую отслеживать действия на зараженном устройстве. В начале 2014-го при Минобороны создали Центр специальных разработок. Сотрудников для него искали на сайтах вакансий среди выпускников технических университетов; больше других требовались специалисты для анализа эксплойтов (программ для проведения компьютерных атак) и реверс-инжиниринга (исследования механизмов работы программ и устройств для их последующего воспроизведения). В вакансиях указывалось, что центр ищет сотрудников с «хорошими знаниями в области анализа исходных кодов различных программных продуктов для интересной работы в области ИБ».

В феврале 2015-го представители госкорпорации «Ростех» участвовали в тестировании системы для организации мощных сетевых DDoS-атак, рассказывал «Медузе» Александр Вяря из IT-компании Qrator. Представитель «Ростеха» Василий Бровко на встрече с компанией Packets Technologies наблюдал за тем, как система вывела из строя сайты министерства обороны Украины и российского издания Slon.ru, утверждал Вяря. Бровко сказал «Медузе», что был на встрече «для анализа системы защиты от киберугроз, а не для совершения таковых».

В хакерской атаке «Правого сектора» Gazeta Wyborcza узнала почерк Кремля


«Хакеры выдвигают ультиматум польскому правительству: 50 тысяч долларов США или мы начнем публиковать данные из сети Министерства национальной обороны Польши», - пишет в издании Gazeta Wyborcza журналист Лукаш Возницкий. В четверг они потребовали эту сумму и уже опубликовали первые материалы. И они на самом деле из министерства обороны, отмечает автор.

Ультиматум на странице в Твиттере опубликовала группа, которая представляет себя как «Правый сектор»*. Такое название носит националистическая группировка из Украины, но нет никакой уверенности в том, что это на самом деле украинцы. С тем же успехом это могут быть россияне, которые хотят сыграть на польских чувствах связанных с Волынской резней. Тем более, что в предыдущие годы у российских хакеров получалось взламывать сеть Министерства национальной обороны Польши, напоминает журналист.

Хакеры Правого сектора на своем профиле разместили фотографию Степана Бандеры. «Е… Польшу», - пишут они, публикуя ссылку об почтении жертв волынской резни. «Признание Волыни геноцидом это предательская атака в отношении наших бойцов», - комментируют они. Освобожденную недавно украинскую летчицу Надю Савченко они называют «агентом КГБ», подчеркивает автор.

«Мы уже и так долго терпели польские выходки. Наше терпение закончилось», - написали в четверг вечером хакеры.

«Это последнее предупреждение. Если польское правительство не заплатит 50 тысяч долларов США, мы опубликуем все файлы регистрации в течении нескольких часов», - добавили они. Они указали номер счета в украинском Приват Банке, на который должны быть перечислены деньги, отмечает Возницкий.

Пока Министерство национальной обороны Польши не подтверждает и не опровергает данную информацию, добавляет он.

Россия без фэйсбука


Герман Клименко, советник Президента России по интернету, прокомментировал присоединение компаний Google и Microsoft к санкциям против России: «Это как увидеть мужа с другой женщиной. Вы можете оправдываться как угодно, но доверие утрачено». Клименко отметил, что уже сейчас более 20 тысяч муниципальных предприятий в нашей стране готовы заменить Windows на операционную систему Linux. Ранее советник утверждал, что Россия может отказаться от Фейсбука.+ «Microsoft, Google и прочие американские компании «достигли точки невозврата», - заявил Герман Клименко.

Windows 10 ключ доступа к данным будет не только у вас, но еще и у Microsoft

Пока самые легкомысленные фанаты Microsoft с щенячьим восторгом устанавливают Windows 10, их более мудрые коллеги внимательно изучают текст лицензионного соглашения.

Проблема №1: Microsoft собирает и хранит у себя историю посещенных пользователем web-страниц, пароли к сайтам, названия точек доступа, к которым подключался пользователь, и пароли к ним. Проблема в том, что данные привязываются к аккаунту Microsoft, пароль к которому можно взломать или похитить. В этом случае злоумышленник сможет узнать о своей жертве буквально всё. К тому же, законодательство США предписывает IT-компаниям раскрывать сведения о своих клиентах по требованию суда и разведслужб. Получается, что фактически пользователь сам собирает и отправляет на себя досье, которое может быть использовано против него же.

Разумеется, синхронизацию данных можно (и нужно) отключить. В Microsoft решили включить эту опцию по умолчанию. Видимо, в надежде, что большинство пользователей Windows 10 вряд ли станут интересоваться подробностями реализации этой так называемой синхронизации.

Проблема №2: виртуальный ассистент Cortana, который уже многие успели назвать виртуальным шпионом Cortana. По лицензионному соглашению Windows 10, Microsoft для работы Кортаны имеет право собирать различные типы пользовательских данных:

координаты пользователя;
фрагменты почтовой переписки и SMS;
данные о совершенных звонках: кто кому звонил, как часто.
данные о запланированных событиях из пользовательского календаря;
данные из контактной книги;
и др.

Кроме этого, для работы сервиса будет собираться информация об использовании вашего устройства: на какое время установлен будильник, какая музыка имеется на устройстве, какие программы были установлены, какие делались поисковые запросы и т.д. Разумеется, образцы голоса пользователя тоже будут передаваться на сервера Microsoft для обработки.

Следует отметить, что для российских пользователей часть функций традиционно работать не будет, включая Cortana.

Проблема №3: отслеживание пользователей третьей стороной. Уже известно, что Windows 10 напичкают рекламой. Этим и объясняется «щедрость» компании Microsoft, решившей раздавать Windows 10 бесплатно. Для того, чтобы инвентаризировать всех потребителей рекламы им будет присвоен уникальный идентификационный номер (advertising ID). Доступ к этому номеру получат рекламодатели. Другими словами, маркетологи смогут отслеживать поведение пользователей. Как и все остальные «инновации» в Windows 10, отслеживание пользователей по уникальному номеру было позаимствовано (см. статью «А вы уже получили свой инвентаризационный номер от Google?»).

Не забудьте отключить передачу advertising ID на всех своих устройствах с Windows 10!

Проблема №4. Ключ шифрования тоже хранится у Microsoft. Это удивительно, но если вы зашифровали свои данные на устройстве с помощью штатной программы BitLocker, тоключ доступа к данным будет не только у вас, но еще и у Microsoft. В лицензии Windows 10 указано, что пароль будет скопирован на сервера OneDrive, контролируемые Microsoft. Как уже было сказано ранее, компания будет обязана выдать этот ключ по запросу уполномоченных органов, что лишает шифрование в Windows 10 всякого смысла.

Не забудьте установить стороннюю программу шифрования, которой можно доверять.

Проблема №5. Microsoft может распоряжаться вашими данными. Это просто изумительный пункт в лицензии Windows 10:

We will access, disclose and preserve personal data, including your content (such as the content of your emails, other private communications or files in private folders), when we have a good faith belief that doing so is necessary to protect our customers or enforce the terms governing the use of the services.

Личная переписка, локальные файлы и другая персональная информация может быть раскрыта не только по требованию властей, а просто если Microsoft покажется, что это необходимо для некой защиты их клиентов.
Дополнения

6 августа: после юристов соглашение прочитали фанаты компьютерных игр. Они выяснили, что к Windows 10 будут выпускаться автоматические обновления, которые займутся чисткой компьютера от нелицензионных игр. Кроме этого, в лицензии присутствует очень странный пункт, который наделяет Microsoft правом отключать на вашем компьютере некие несанкционированные устройства. Возможно, речь идет о компьютерной периферии, которая несертифицирована Microsoft. Например, сторонние контроллеры для Xbox.
1 000
Установок в минуту

С такой скоростью распространяется Windows 10. Похоже, людей совсем не пугает перспектива оказаться в цифровом рабстве у Microsoft.

Алан Тьюринг


Так вот про Тьюринга: этот человек сыграл огромную роль в победе над нацистской Германией, настолько огромную, что сложно найти еще хотя бы одного человека, который сыграл такую же глобальную и значительную роль: его работы (в том числе чисто практические, инженерские и математические) стали основой для создания первого компьютера в мире, при помощи которого был дешифрован сложнейший на тот момент код немецкой шифровальной машины Энигма. Благодаря этому Британия и США сумели разбить неуловимых подводников Кригсмарине, естало возможны безопасные конвои с ленд-лизом, и стало возможным открытие Второго фронта. Хуй бы без кода Энигмы они сумели бы это сделать.
А потом заложенные Тьюрингом законы и принципы дали возможность создать современные компьютеры, создать целую отрасль, науку, высокотехническую индустрию.
Но Тьюринг был гомосексуалом. И Англия его отблагодарила после войны. Сначала (именно из-за его ориентации) он был отстранен от любимого дела -- проектирования вычислительных машин. А потом человека, который в кабинете Блетчли-парка спас людей больше, чем Жуков угробил, просто подвергла унизительному уголовному преследованию, результатом которого стала альтернатива -- тюремный срок или химическая кастрация. Тьюринг, человек в полном расцвете сил, здоровья и ума, выбрал вторую, варварскую, средневековую по сути процедуру.
Тьюринг изсбежал приведения приговора в силу, съев яблоко с цианистым калием, не выдержав позора и депрессии.
Через много лет другой гениальный "кибернетик" сделал надкушенное Тьюрингом яблоко символом своей компании , хотя сами американцы утверждают что они знать не знали про какого то Тьюринга.
Так что в рамках борьбы с гомосексуалами и их пропагандой, можешь избавиться от всего, на чем стоит изображения "пидарского" яблока, одного из самых ярких символов этой общности людей"

Паттерны или антипаттерны. Хитрожопость.

Анти-паттерн (от англ. anti-pattern; он же ловушка, англ. pitfall) — это то, как поступать не надо, но как всё равно все, всегда и повсюду поступают. Сколько ни предупреждают. Потому как дедлайны. (Deadline («последний срок») — любимая в программерских и других проектах игра, в которой 90% основных действий по плану проекта осуществляются в оставшиеся до сроков окончания проекта 10% времени. Алсо, слово означает, собственно, сам срок окончания проекта. Играется как правило всем коллективом. При этом включает в себя невозбранно такие игры как «я начальник — ты говно, ты начальник — я говно», «геройство одних — есть следствие проёБов других»[1] и «сейчас разберёмся как следует и накажем кого попало»[2]. )

Потому как бизнес. Потому как хитрожопые придурки.

Термин пришел из информатики, из книги «Банды четырёх» Шаблоны проектирования, которая заложила примеры практики хорошего программирования. Авторы назвали эти хорошие методы «шаблонами (паттернами) проектирования», а антиподами им и являются, соответственно, «анти-паттерны». В принципе, анти-паттерны применимы не только в ИТ, но и в любой другой области человеческой деятельности.
Swing_project