Специалисты по безопасности из компании RiskIQ заметили краткосрочный взлом популярного сайта для разработчиков jQuery.com. В течение некоторого времени 18 сентября 2014 года веб-страницы этого сайта содержали ссылку с редиректом на эксплоит-пак RIG.

RiskIQ подчёркивает, что даже краткосрочный взлом такого jQuery.com исключительно опасен в силу демографического состава его посетителей. Системные администраторы, веб-мастера, разработчики — это не обычные пользователи, ведь у каждого во владении могут быть десятки серверов. Их собственные аккаунты имеют высокую ценность по причине привилегированного доступа в другие системы.

Эксплоит-пак RIG обнаружен в апреле 2014 года и до сих пор считается своеобразной новинкой. Его уже замечали на других популярных сайтах, пусть и не таких, как jQuery.com.

Инжект

Последовательность переадресации

Домен для редиректа jquery-cdn.com был зарегистрирован в тот же день 18 сентября, в утро перед атакой.

Администраторы jQuery.com не могут ни подтвердить, ни опровергнуть факт заражения. Они говорят, что ничего не замечали, а в логах сервера тоже не нашли следов постороннего вмешательства. Но они ещё раз подчёркивают, что сами библиотеки jQuery, в любом случае, не были скомпрометированы, под вопросом только веб-софт и сервер.

Тем не менее, The jQuery Foundation предприняла необходимые меры предосторожности, чтобы избежать заражения в будущем.

Стоит напомнить, что в 2013 году заражению подвергся PHP.net, а в 2011 году — MySQL.com.

18-20 ноября 2014 года в московском Центре международной торговли пройдет очередная конференция Cisco Connect, снискавшая репутацию крупнейшего ИКТ-мероприятия на территории России и ближнего зарубежья. Уместно напомнить, что прошлогодний форум, прошедший при поддержке 43 компаний-спонсоров и 70 медиапартнеров, ознаменовался рекордным количеством посетителей — 3374 человек.
В этом году центральной темой конференции станет Всеобъемлющий Интернет (Internet of Everything, IoE). На следующей стадии развития Всемирной паутины, кроме людей, устройств и неодушевленных предметов, к всемирной сети будут подключены и процессы. Это вызовет взрывообразный рост сетей и всей ИКТ-индустрии. По прогнозу Cisco, к 2020 году к Интернету будут подключены более 50 миллиардов одних только устройств, что открывает огромные перспективы для технологических компаний.
В этом году программа конференции Cisco Connect значительно расширится. Ее участников ждут свыше ста разнообразных докладов, сессий и мастер-классов в рамках четырнадцати технологических потоков:

∙ «Инфраструктура корпоративных сетей»
∙ «Беспроводные сети»
∙ «Информационная безопасность»
∙ «Решения для операторов связи»
∙ «Технологии SDN для операторов связи»
∙ «Оптические сети и системы»
∙ «Технологии для совместной работы»
∙ «Центры обработки данных»
∙ «Практикум по внедрению решений Cisco для ЦОДов»
∙ «Облачные вычисления»
∙ «Пошаговое проектирование распределенных сетей»
∙ «Интернет вещей»
∙ «Контакт-центры»
∙ «Системы сетевого управления».

Кроме того, впервые на одной площадке разместится масштабная выставка инновационных технологий Cisco World of Solutions, где будут демонстрироваться новейшие решения компании. Участники московской Cisco Connect получат возможность в неформальной обстановке обсудить с коллегами любые вопросы, касающиеся информационной безопасности, функционирования сетей, ЦОДов, использования облачных сервисов и других разработок, способствующих развитию современных сетей.
Зарегистрироваться для участия в Cisco Connect можно на сайте http://cs.co/9003lhMd. Те, кто сделает это до 31 августа, смогут существенно сэкономить на стоимости участия в конференции. Для участников же образовательной программы Cisco Expo Learning Club разработаны специальные предложения:
∙ 5-процентная скидка для всех членов клуба
∙ 10-процентная скидка для обладателей серебряного статуса (т.е. для тех, кто хотя бы однажды посетил Cisco Connect/Cisco Expo)
∙ 15-процентная скидка для обладателей золотого статуса (т.е. для тех, кто посетил конференции Cisco Connect/Cisco Expo как минимум дважды).

Изучить новый язык и среду разработки — это минимум, что от тебя потребуется, если ты захочешь написать свое первое мобильное приложение. Чтобы с пониманием набросать элементарный todo list для Android или iOS, не передирая пример из книжки, уйдет не меньше пары недель. Но можно не осваивать Objective-C или Java и при этом быстро разрабатывать приложения для смартфонов, если использовать такие технологии, как PhoneGap.

Запуск приложения в симуляторе iOS

Если ты внимательно изучал нововведения, которые ожидают нас в Windows 8, то, возможно, заметил, что под ней можно будет разрабатывать приложения на HTML5. Идея, на самом деле, не новая — технологии, реализующие тот же подход для мобильных платформ, развиваются семимильными шагами. Одним из таких фреймворков, позволяющим разрабатывать приложения для смартфонов с помощью связки привычных для нас HTML, JavaScript и CSS!, как раз и является PhoneGap. Написанное с его помощью приложение подойдет для всех популярных платформ: iOS, Android, Windows Phone, Blackberry, WebOS, Symbian и Bada. Тебе не нужно будет изучать особенности программирования под каждую платформу (например, Objective-C в случае с iOS), разбираться с различными API и средами разработки. Все, что потребуется для создания кросс-платформенного мобильного приложения, — это знание HTML5 и специального PhoneGap API. При этом на выходе получится не тупая HTML-страница, «обрамленная» в интерфейс приложения, нет! API фреймворка позволяет задействовать практически все возможности телефона, которые используются при разработке с помощью нативных инструментов: доступ к акселерометру, компасу, камере (запись видео и фотосъемка), списку контактов, файловой системе, системе нотификаций (стандартных уведомлений на телефоне), хранилищам и т. д. Наконец, такое приложение может безболезненно обращаться к любому кросс-доменному адресу. Ты можешь воссоздать нативные элементы управления с помощью фреймворков вроде jQuery Mobile или Sencha, и конечная программа будет выглядеть на мобильном телефоне так, как будто она написана на нативном языке (ну или почти так). Лучше всего проиллюстрировать вышесказанное на деле, то есть написать приложение, поэтому предлагаю сразу приступить к практике. Засекай время — на все про все уйдет едва ли больше получаса.

Что мы будем создавать

В качестве целевой платформы возьмем iOS — да-да, деньги лежат в AppStore, и монетизировать свои разработки пока лучше всего там :). Но сразу внесу ясность: все то же самое, без изменений, можно провернуть, скажем, для Android. Долго думал, какой пример рассмотреть, так как писать очередную тулзу для учета списка дел совершенно не хотелось. Поэтому я решил создать приложение под названием «Геонапоминалка», навигационную прогу, назначение которой можно описать одной фразой: «Сообщи мне, когда я снова тут окажусь». В AppStore есть немало утилит, которые позволяют «запомнить» место, где пользователь припарковал машину. Это почти то же самое, только чуть попроще. Ты сможешь указать на карте города точку, задать для нее определенный радиус и запрограммировать сообщение. Когда ты в следующий попадешь в пределы окружности с указанным радиусом, приложение выдаст тебе уведомление, а точка будет удалена. Будем действовать по такому плану: сначала создадим простое веб-приложение, проверим его в браузере, а затем перенесем с помощью PhoneGap на платформу iOS. Очень важно написать в прототипе и протестировать в браузере на компьютере основную часть кода, поскольку отлаживать приложение в телефоне гораздо сложнее. В качестве каркаса мы возьмем JS-фреймворк jQuery c jQuery Mobile (jquerymobile.com), а в качестве движка карт — Google Maps v3. Приложение будет состоять из двух страниц: карты и списка точек.

• На карте устанавливается маркер твоего текущего положения. По клику на карте создается точка, к которой привязывается сообщение (вроде «машина рядом»). Точку можно удалить, кликнув на ней. Для перемещения маркера человека по карте используется геонавигационный API.
• На странице со списком точек должна иметься дополнительная кнопка «Удалить все точки», а рядом с каждой точкой — кнопка «Удалить эту точку». Если кликнуть по элементу в списке, соответствующая точка отобразится на карте. Настройки пользователя и список точек будем сохранять в localStorage.

Каркас приложения

Сразу объясняю, зачем мы будем использовать jQuery Mobile. Эта JS-библиотека предоставляет нам уже готовые элементы интерфейса мобильного приложения (максимально приближенные к нативным) для самых разных платформ. Нам ведь надо, чтобы на выходе было именно мобильное приложение, а не страничка из браузера! Так что качаем последнюю версию JQuery Mobile (jquerymobile.com/download) и переносим в рабочую папку первые файлы приложения, которые нам понадобятся:

• images/ (перенеси сюда все изображения из одноименной папки архива jq-mobile);
• index.css;
• index.html;
• index.js;
• jquery.js;
• jquery.mobile.min.css;
• jquery.mobile.min.js.

Нужно сделать ресурсы в основном локальными, чтобы пользователь в будущем не тратил мобильный интернет. Теперь создаем каркас страниц в файле index.html. Приведенный ниже код описывает верхнюю часть страницы с картой, надписью «Геонапоминалка» и кнопкой «Точки».

Страница с картой

<div id="index" class="page-map" data-role="page" data-dom-cache="true">
<div data-role="header">
<h1>Геонапоминалка</h1>
<a id="menu-points" class="ui-btn-right" href="#points" data-transition="pop">Точки</a>
</div>
<div data-role="content">
<div id="map-canvas"><!-- Тут будет карта -->
</div>
</div>
</div>

Страница с картой, открытая в мобильном браузере. Это еще не iOS приложение.

Атрибут страницы data-dom-cache=”true” необходим для того, чтобы она не выгружалась из памяти. Для кнопки «Точки» используется data-transition=”pop”, чтобы страница «Список точек» открывалась с эффектом «Всплытие». Подробнее о том, как устроены страницы jQuery Mobile, можно почитать в хорошем мануале (bit.ly/vtXX3M). По аналогии создаем страницу со списком точек:

Страница со списком точек

<div id="points" class="page-pints" data-role="page" data-dom-cache="true">
<div data-role="header">
<!--Удаляет все точки из списка-->
<a id="delete-all" href="#" data-theme="b" data-icon="delete">Удалить все</a>
<h1>Точки</h1>
<!--Кнопка Карта-->
Карта
</div>

<div>
<!--Список точек-->
<ul id="list" data-role="listview" data-inset="true" data-split-icon="delete"></ul>
</div>
</div>

Для кнопки «Карта» тоже пропишем data-transition=»pop», но добавим атрибут data-direction=»reverse», чтобы страница «Карта» открывалась с эффектом «Затухание». Те же атрибуты пропишем в шаблоне точки. Все, наш каркас готов.

Создание приложения

Теперь надо отобразить карту, для чего мы возьмем стандартный API Google Maps, который используется миллионами разных сайтов:

var latLng = new gm.LatLng(
this.options.lat, this.options.lng);
this.map = new gm.Map(element, {
zoom: this.options.zoom, // Выбираем начальный зум
center: latLng, // Устанавливаем начальный центр
mapTypeId: gm.MapTypeId.ROADMAP, // Обычная карта
disableDoubleClickZoom: true,
// Отключаем автозум по тапу/двойному клику
disableDefaultUI: true
// Отключаем все элементы интерфейса
});

Здесь Gm — это переменная, ссылающаяся на объект Google Maps. Параметры инициализации я хорошо закомментировал в коде. Следующий шаг — отрисовка маркера человечка на карте:

this.person = new gm.Marker({
map: this.map,
icon: new gm.MarkerImage(PERSON_SPRITE_URL,
new gm.Size(48, 48))
});

В качестве PERSON_SPRITE_URL используется адрес спрайта человечка из Google-панорам. Его статический адрес — maps.gstatic.com/mapfiles/cb/mod_cb_scout/cb_scout_sprite_api_003.png. Пользователь будет добавлять точки, кликая на карте, поэтому, чтобы их отрисовывать, мы будем слушать событие click:

gm.event.addListener(this.map, 'click', function (event) {
self.requestMessage(function (err, message) {
// Метод, возвращающий текст, введенный пользователем
if (err) return;
// Метод добавляет точку в список активных и
// отрисовывает ее на карте
self.addPoint(event.latLng,
self.options.radius, message);
self.updatePointsList(); // Перерисовываем список точек
});
}, false);

Я привожу бОльшую часть кода — остальное ищи на диске. Дальше нам нужно научить приложение перемещать иконку пользователя по карте. В прототипе мы задействуем Geolocation API (тот, который используется в том числе в десктопных браузерах):

if (navigator.geolocation) {
// Проверяем, поддерживает ли браузер геолокацию
function gpsSuccess(pos) {
var lat, lng;
if (pos.coords) {
lat = pos.coords.latitude;
lng = pos.coords.longitude;
} else {
lat = pos.latitude;
lng = pos.longitude;
}
self.movePerson(new gm.LatLng(lat, lng));
// Перемещаем иконку пользователя
}
// Каждые три секунды запрашиваем текущее
// положение пользователя
window.setInterval(function () {
// Запрашиваем текущее положение
navigator.geolocation.getCurrentPosition(gpsSuccess,
$.noop, {
enableHighAccuracy: true,
maximumAge: 300000
});
}, 3000);
}

Метод movePerson с помощью простой процедуры getPointsInBounds() проверяет, не находится ли пользователь в какой-нибудь активной точке. Последний вопрос — где хранить список точек? В HTML5 появилась возможность использовать localStorage, так что не будем ей пренебрегать (предоставляю тебе самостоятельно разобраться с этими участками кода, которые я хорошо закомментировал). Итак, приложение, работающее в браузере, готово!

Запуск веб-приложения

Как я уже говорил, отладку в основном необходимо выполнять на компьютере. Самый подходящий браузер для тестирования веб-приложений на компьютере — это Safari или Chrome. После отладки в этих браузерах ты можешь быть уверен в том, что твое приложение не «поедет» в браузере мобильного телефона. Оба этих браузера совместимы с большинством мобильных веб-браузеров, поскольку точно так же, как и они, построены на основе движка WebKit. После устранения всех багов можно переходить к запуску мобильного веб-приложения непосредственно на телефоне. Для этого настрой свой веб-сервер (пусть даже Denwer или XAMPP), чтобы он отдавал созданную страницу, и открой ее уже в браузере мобильного телефона. Приложение должно выглядеть примерно так, как показано на рисунке. Тут важно понимать, что будущее мобильное приложение, собранное для мобильной платформы с помощью PhoneGap, будет выглядеть почти один в один, за исключением того, что на экране не будет отображаться навигационная панель браузера. Если все хорошо, можно приступать к созданию из странички полноценного iOS-приложения. Заметь, что PhoneGap и IDE для мобильной разработки мы до этого момента даже не трогали.

Подготовка

Для того чтобы собрать приложение под iOS, тебе нужен компьютер с операционной системой Mac OS 10.6+ (или виртуальная машина на Mac OS 10.6), а также среда разработки Xcode с установленным iOS SDK. Если у тебя не установлен SDK, придется скачать с сайта Apple образ диска, включающий в себя Xcode и iOS SDK (developer.apple.com/devcenter/ios/index.action). Имей в виду, что образ весит около 4 Гб. Кроме этого, тебе понадобится зарегистрироваться на сайте Apple в качестве разработчика (если ты не собираешься публиковать свое приложение в AppStore, то это требование можно обойти). С помощью этого набора можно разрабатывать приложения на нативном для iOS языке Objective-C. Но мы решили пойти обходным путем и воспользоваться PhoneGap, поэтому нам еще нужно установить пакет PhoneGap iOS. Просто скачай архив с офсайта (https://github.com/callback/phonegap/zipball/1.2.0), распакуй его и в папке iOS запусти программу установки. Когда установка завершится, в меню проектов Xcode должна появиться иконка PhoneGap. После запуска придется заполнить несколько форм, но уже очень скоро ты увидишь рабочую область IDE с твоим первым приложением. Чтобы проверить, все ли работает, нажми кнопку Run — должен запуститься эмулятор iPhone/iPad с шаблонным приложением PhoneGap. Собранная программа выдаст ошибку с сообщением о том, что index.html не найден, — это нормально. Открой папку, в которой ты сохранил первичные файлы проекта, и найди в ней подпапку www. Перетащи ее в редактор, кликни на иконке приложения в списке слева и в появившемся окне выбери «Create folder references for any added folders». Если запустить программу еще раз, то все должно заработать. Теперь можно скопировать все файлы нашего прототипа в папку www. Пора подпилить наш прототип для работы на смартфоне в обработке PhoneGap.

Перенос прототипа

В первую очередь нужно подключить phonegap-1.2.0.js в твой индексный файл. PhoneGap позволяет ограничивать список доступных для посещения хостов. Предлагаю сразу настроить такой «белый список». В меню проекта открой Supporting Files/PhoneGap.plist, найди пункт ExternalHosts и добавь в него следующие хосты, к которым будет обращаться наше приложение (это сервера Google Maps): *.gstatic.com, *.googleapis.com, maps.google.com. Если их не указать, программа выдаст предупреждение в консоли и карта не отобразится. Для инициализации веб-версии нашего приложения мы использовали событие DOMReady или хелпер jQuery: $(document).ready(). PhoneGap генерирует событие deviceready, которое говорит о том, что мобильное устройство готово. Предлагаю этим воспользоваться:

document.addEventListener("deviceready", function () {
new Notificator($("#map-canvas")[0]);
// Если у пользователя нет интернета,
// сообщаем ему об этом
if (navigator.network.connection.type ===
Connection.NONE) {
navigator.notification.alert("Нет интернет-соединения",
$.noop, TITLE);
}
}, false);

Прописываем ExternalHosts

Это событие проверяет, есть ли у пользователя хоть какое-нибудь интернет-соединение. Если его нет, выводим соответствующее сообщение. Вместо функции navigator.notification.alert можно использовать более привычную alert, но ее минус в том, что она выглядит менее естественно для мобильного приложения. Сейчас нам хватит и этих знаний, но ты можешь подробнее прочитать о network.connection (bit.ly/uEyRwz) и способах нотификации (bit.ly/tkvzE2).

Запретим скроллинг:
document.addEventListener("touchmove", function (event) {
event.preventDefault();
}, false);

Затем заменим все вызовы alert и confirm на нативные, которые предоставляет нам PhoneGap:

navigator.notification.confirm('Удалить точку?',
function (button_id) {
if (button_id === 1) { // Нажата кнопка OK
self.removePoint(point);
}
}, TITLE);

Последнее, что нам нужно поменять, — это блок кода, перемещающий иконку пользователя по карте. Наш текущий код тоже работает, но работает менее оптимально (перемещает иконку, даже если координаты не изменились) и дает не такие богатые данные, как аналог в PhoneGap:

navigator.geolocation.watchPosition(function (position) {
self.movePerson(new gm.LatLng(
position.coords.latitude,
position.coords.longitude));
}, function (error) {
navigator.notification.alert(
'code: ' + error.code + '\nmessage: ' + error.message,
$.noop,
TITLE
);
}, {
frequency: 3000
});

Этот код более изящный — он генерирует событие только тогда, когда координаты изменились. Жмем кнопку Run и убеждаемся, что только что созданное нами приложение отлично работает в симуляторе iOS-устройства! Пора приступать к запуску на реальном устройстве.

Нативные уведомления в iOS

Запуск на устройстве

Подсоедини iPhone, iPod или iPad к компьютеру, на котором запущен Xcode. Программа определит новое устройство и попросит разрешения использовать его для разработки. Нет смысла ей отказывать :). Повторю еще раз: чтобы запустить написанное приложение на iOS, необходимо быть авторизированным разработчиком iOS (другими словами, быть подписанным на iOS Developer Program). Этим придется заморочиться только в случае разработки приложений для продукции Apple, с другими платформами (Android, Windows Phone) все намного проще. У тех, кто обучается в вузе, есть шанс получить доступ к программе бесплатно благодаря каким-нибудь льготам. Все остальные должны платить $99 в год для участия в программе. Apple выдает сертификат, которым ты сможешь подписывать свой код. Подписанное приложение разрешается запускать на iOS и распространять в App Store. Если ты не студент, а $99 для невинных экспериментов тебе пока жалко, то есть и другой способ — обмануть систему. Ты можешь создать самоподписанный сертификат для верификации кода и запустить мобильную программу на джейлбрейкнутом iOS-устройстве (не буду на этом останавливаться, потому что все максимально подробно расписано в этой статье: bit.ly/tD6xAf). Так или иначе, ты вскоре увидишь работающее приложение на экране своего мобильного телефона. Останавливай секундомер. Сколько времени у тебя на это ушло?

Работающее PhoneGap-приложение

Заключение

Мы создали простое мобильное веб-приложение и в несколько простых шагов портировали его на платформу iOS с помощью PhoneGap. Мы не написали ни строчки кода на Objective-C, но получили программу приличного качества, потратив минимум времени на перенос и изучение API PhoneGap. Если ты предпочитаешь другую платформу, например Android или Windows Mobile 7, то ты так же легко, без каких-либо изменений под эти платформы, сможешь собрать наше приложение (для каждой из них есть хороший вводный мануал и видеоурок: phonegap.com/start). Чтобы убедиться в состоятельности платформы, можно посмотреть на уже готовые приложения на PhoneGap, которые разработчики технологии собрали в специальной галерее (phonegap.com/apps). По факту PhoneGap — это идеальная платформа для создания как минимум прототипа будущего приложения. Ее главными преимуществами являются быстрота и минимум затратат, чем активно пользуются стартапы, которые во всех отношениях ограничены в ресурсах. Если приложение попрет, а внутренности на HTML+JS тебя по какой-то причине перестанут устраивать, всегда можно будет портировать приложение на нативный язык. Не могу не сказать, что PhoneGap изначально разрабатывался компанией Nitobi как открытый проект (репозиторий располагается на GitHub: github.com/phonegap). Исходники и дальше будут оставаться открытым, хотя в октябре прошлого года компанию Nitobi купил Adobe. Нужно ли говорить, какие перспективы появляются у проекта при поддержке в лице такого гиганта?

Трудно поверить, что несколько лет назад корпорация Microsoft отвергала программы Bug Bounty и категорически отказывалась платить независимым исследователям за найденные уязвимости. Даже когда это стало общепринятой практикой среди почти всех крупных софтверных компаний, Microsoft гнула свою линию.

К чести редмондского гиганта, он признал ошибку. Сначала ввели программу поощрений за найденные уязвимости в операционной системе Windows и браузере Internet Explorer, а сейчас Microsoft расширила эту программу на онлайновые сервисы в рамках инициативы Microsoft Online Services Bug Bounty.

Действие программы началось 23 сентября 2014 года. Минимальная сумма вознаграждения составляет 500 долларов США. Максимальная — не ограничена и зависит от опасности уязвимости, на усмотрение специалистов Microsoft.

Microsoft оставляет за собой право отвергнуть любую уязвимость, которая не соответствует приведённым критериям.

На вознаграждение могут претендовать уязвимости в следующих доменах:

«Дом.ru Бизнес», российский телеком-оператор, примет участие в IV Международном форуме по облачным технологиям для бизнеса «CloudsNN 2014», который пройдет в Нижнем Новгороде в Marins Park Hotel 25 сентября 2014 г.

Ежегодно участие в Форуме CloudsNN принимают свыше 500 человек: топ-менеджеры и руководители компаний, ИТ-директора и специалисты со всех регионов России, а также стран СНГ. Постоянные спикеры и партнеры конференции – ведущие специалисты международных и российских компаний.

Компании все активнее используют телекоммуникационные услуги для решения бизнес-задач. Это свидетельствует об изменении подходов к организации рабочих процессов: сегодня многие предприниматели стремятся сделать свои компании более технологичными и эффективными, создавая инфраструктуру, в которой тесно интегрированы телекоммуникационные сервисы. Растет и потребность компаний во внедрении телеком-решений для оптимизации процессов обслуживания и управления потоком клиентов. Прежде всего, это касается гостиничного и ресторанного сервиса, а также оптовой и розничной торговли. Сервисные и торговые компании являются лидером по внедрению телекоммуникационных решений. «Дом.ru Бизнес» примет активное участие в деловой программе Форума «CloudsNN 2014», а также представит широкий круг телекоммуникационных решений в специальной демонстрационной зоне. Для гостей Форума «Дом.ru Бизнес» подготовил увлекательный интерактивный квест с подарками.

«B2B-сегмент всегда был достаточно консервативным. Однако сегодня ситуация меняется. Несмотря на медленные темпы происходящих изменений, в целом осознание роли телекоммуникаций в повышении эффективности бизнеса меняется. Растет интерес к решениям в «облаке» и бизнес-приложениям. Компании начинают понимать преимущества использования облачных сервисов: минимизация издержек на создание и эксплуатацию инфокоммуникационной инфраструктуры. На них в большей мере ориентированы инновационные компании, стремящиеся сделать бизнес более технологичным. В целом по рынку растет доля компаний, использующих телеком-сервисы для того, чтобы увеличивать свою конкурентоспособность, продуктивность персонала, удовлетворенность клиентов», — прокомментировала Елена Зверева, директор направления B2B «Дом.ru Бизнес» в Нижнем Новгороде.

Контакты для СМИ

Алексей Писарев,
моб.: + (917) 506-25-49
тел.: +7 (499) 346 87 95
pisarev@aimcom.ru

Clouds New Network

Компания предоставляет коммерческим и государственным учреждениям услуги по внедрению виртуальной АТС на базе аналоговой и IP телефонии, комплексных систем видеонаблюдения, а также сопутствующие IT-сервисы и оборудование.
Работа сервисов компании Clouds New Network основана на использовании облачных технологий. Наше “облако” позволяет существенно снизить капитальные затраты организации, повысить безопасность хранения данных и управлять компанией на основании точных данных мониторинга и статистики.

«Дом.ru Бизнес»

«Дом.ru Бизнес» – российский телеком-оператор, предоставляющий комплексные решения для корпоративных клиентов. Пакетные предложения формируются из базовых услуг связи (широкополосный и Wi-Fi доступ в интернет, телефония, кабельное телевидение) и облачных решений (видеонаблюдение, облачная АТС). География реализованных проектов «Дом.ru Бизнес» – 56 городов, более 52 тысяч точек, подключенных к интернету, и 15 тысяч точек, подключенных к телефонии. общее количество Клиентов – более 70 тысяч юридических лиц. Услуги предоставляют на базе собственных городских универсальных телекоммуникационных сетей (ГУТС), построенных с нуля и по единым стандартам в каждом городе присутствия по технологии «оптика до здания». Сети надежно зарезервированы, их работоспособность в круглосуточном режиме анализируется из единого Центра мониторинга, что позволяет реагировать на возможные сбои проактивно.

Паранойей я, в общем-то, не страдаю. Когда нечего скрывать, не так уж сильно и запариваешься, что кто-то может читать твою почту или получить пароль к твоему ящику. Никакой папки top secret никто там не найдет — ее там просто нет. Однако недавно случилась забавная история, которая все же заставила заиграть нотки паранойи и у меня.

Странная активность в ящике

Все началось с того, что я полез в папку с исходящими письмами, чтобы найти там какой-то мейл. И увидел там то, чего никто из нас увидеть бы не хотел: письма, которые я не отправлял! Это не могло быть ошибкой: два письма были отправлены буквально только что и два точно таких же днем ранее.

Все дела тут же были отложены в сторону, и голова быстро загрузилась одним-единственным вопросом: что за фигня? (Новый закон о СМИ запрещает нам использовать более жесткие формулировки этого вопроса, хотя тут они могли бы быть уместны.)

Рассудительность

Надо сказать, что письма были очень странными и даже бессмысленными. Это совершенно точно не был спам. И не какие-то личные данные. Это вообще не было похоже ни на что, кроме как на сообщение от системы мониторинга.

В заголовке было указано «Website down», а в теле письма фигурировал адрес http://dvd.xakep.ru (это часть сайта, посвященная DVD-диску журнала) с подписью «Непредвиденная ошибка». Но я не помню, чтобы настраивал мониторинг. Тем более с отправкой уведомлений на адрес mqukisbx@sharklasers.com. Пикантности добавляло то, что этот сервис используется для создания временных email’ов, и я его точно видел впервые.

Что за фигня?

Я посмотрел хедеры одного из писем, где явно было указано, что письмо отправлялось через SMTP. На всякий случай я отправил мейл через веб-морду Gmail’а и убедился, что хедеры в этом случае подставляются другие. Значит, доступ был получен не ко всему аккаунту, а, скорее всего, к одному из паролей приложений (в случае, когда включена двухфакторная авторизация, необходимо создавать статические пароли, чтобы использовать их в приложениях, которые двухфакторную авторизацию не поддерживают, — например в почтовых клиентах). Быстрое решение — отозвать все пароли приложений. Изменил я и обычный пароль — ну так, на всякий случай.

Я практически сразу открыл лог активностей, в котором фиксируются все обращения к аккаунту (в том числе для отправки почты по SMTP). Никаких подозрительных IP-адресов не было. Это, с одной стороны, радовало — значит, с других машин обращений не было. Но, с другой стороны, пугало — значит, используется одно из моих устройств? Но какое?! Я пошел спать.

Непонимание

Сложно описать словами удивление, когда на следующее утро я увидел те же самые письма. И это после того, как были сменены все пароли.

Задача явно становится интереснее. Кажется, что единственный вариант в том, что одно из моих устройств заражено. Но в это верилось слабо:

1. В последнее время я работаю только на Mac и после смены паролей нигде, кроме как на своем ноутбуке, пассы не вводил. Неужели заражена OS X? Тут я впервые в жизни поставил на мак антивирус, который, естественно, ничего не нашел, но зато сделал что-то ужасное с системой, из-за чего ее потом пришлось переустановить.
2. Ранее я отозвал все пароли приложений, а, судя по хедерам, письма все равно отправлялись через SMTP. Но без пароля приложения это невозможно!
3. В списке активностей не было записей на время отправки сообщений. WTF?

Почти паника

К этому времени я уже успел отправить задачку многочисленным друзьям из сферы ИБ и работающим в Google (кстати, выяснилось, что у Gmail нет никакой возможности написать что-то в суппорт или позвонить в call-центр), но никакого сколько-нибудь вразумительного объяснения не было.

Я решил сделать еще один эксперимент: на защищенном канале (мало ли кто снифает Wi-Fi — выше я писал, что не страдаю паранойей, — видимо, я соврал), а именно 3G оператора, и с 99,99% незараженного устройства (взял iPad Mini) я еще раз поменял пароль. Вышел из системы и больше пароль не вводил.

Это невозможно!

Надо ли говорить, что я увидел в ящике поутру? Черт подери, там были те же самые письма, отправленные от моего имени! Это уже было не смешно. Я не входил в аккаунт, и это объективно не мог сделать кто-то другой. Что происходит?

К этому моменту я был на 100% убежден, что проблема не во мне. И не в моих девайсах. Как мне казалось, это был явный глюк Google, который никто не мог объяснить. При этом добраться непосредственно до суппорта гугла так и не получалось, хотя ответы (вернее, банальные рекомендации) пытались дать разные инженеры компании. Что бы ты делал на моем месте? У тебя есть догадки?

Разгадка

Когда руки уже опустились, я решил еще раз трезво на все посмотреть. Все же на глюк это похоже не было. Письма явно относятся к dvd.xakep.ru, то есть имеют связь со мной — это не может быть совпадением. И я не исключал, что когда-то действительно настраивал мониторинг.

И тут меня осенило. Я зациклился на почте, но, возможно, дело в каком-то другом сервисе гугла? Я когда-то делал мониторинг сайтов на Google App Engine, а еще… В этот момент я открыл Google Docs и вбил там злополучный адрес, на который уходили письма, — mqukisbx@sharklasers.com. Ответ сервера сразу поставил все на свои места. Я все вспомнил!

Google Docs нашел документ «Копия Is My Site Down — Digital Inspiration». Когда-то очень давно я игрался со скриптовым движком таблиц Google Docs (что-то вроде VBA в Excel’е) и пробовал делать разные интересные вещи — кажется, у нас даже был на эту тему Proof-of-concept. Тогда я наткнулся на статью о том, как реализовать мониторинг веб-сервера только на Google Docs (http://bit.ly/HYQdju), и сделал копию предложенного скрипта. Тот использовал функцию для получения страницы (UrlFetchApp) и функцию для отправки сообщения (MailApp.sendEmail). Причем адрес сервера я поправил (на dvd.xakep.ru), а адрес получателя оставил авторский. Скрипт почему-то засбоил и начал каждую ночь отправлять алерты, которые чуть не свели меня с ума :).

Оказалось, что это никакой не глюк, не APT и не заговор, а банальный склероз, помноженный на паранойю. Я всего лишь забыл про забавный скрипт.

P. S. И все-таки задачка получилась интересной. А ситуация все равно вызывает вопросы. Какой-то скрипт может слать сообщения от твоего имени, и это никак не отображается в логе активности. Почему? Получается идеальный механизм для скрытной отправки сообщений, если есть доступ к Google-аккаунту. И ведь наверняка можно сделать удаленное управление рассылкой — через те же самые скрипты Google Docs!

Несколько лет назад профессор права Джон Тегранян (John Tehranian) из университета Юты опубликовал научную статью, а затем написал книгу под названием «Нация нарушителей» (“Infringement Nation”).

Работа посвящена тому, насколько законодательство в области охраны интеллектуальной собственности противоречит общепринятым нормам поведения и почему крайне необходимо провести реформу копирайта в США.

Профессор перечисляет обычные бытовые ситуации, когда люди нарушают законодательство об авторском праве, сами не понимая этого. Например, делают селфи на фоне объекта, охраняемого авторским правом. Включают музыку собравшимся гостям. Читают вслух текст литературного произведения. Делают эскиз архитектурного здания (производная работа, сделанная без разрешения автора). И так далее, и так далее. Таких примеров можно приводить сотни.

Каждый гражданин осуществляет десятки нарушений каждый день. Профессор решил задокументировать все нарушения, который он совершил сам в течение одного дня — и насчитал 83 противозаконных акта. Он ущемил права десятков владельцев интеллектуальной собственности и патентодержателей. За такие преступления ему грозили штрафы общей суммой около $12,45 млн, причём всё это было бы вполне законно и по суду.

Более того, если владелец интеллектуальной собственности воспользуется своим правом расширить промежуток времени до максимально разрешённого законом, то нарушителю придётся выплатить умопомрачительные $4,544 млрд потенциального ущерба за каждый год. При том, что законопослушный профессор даже не качал торренты.

Этот пример со всей очевидностью доказывает, насколько неадекватными являются современные законы в области охраны интеллектуальной собственности.

Со времени публикации исследования Джона Теграняна ситуация практически не изменилась к лучшему. Например, недавно национальная портретная галерея Великобритании сняла давний запрет на фотосъёмку в выставочном зале, который явно устарел в эпоху смартфонов. Казалось бы, наконец-то восторжествовал здравый смысл — но нет. Владельцы галереи оставили-таки запрет на фотосъёмку в отдельных экспозициях, в частности, во всех временных экспозициях. Опять же, ссылаясь на охрану авторских прав, посетителям галереи угрожают административной и уголовной ответственностью.

По некоторым признакам, ситуация даже ухудшается. Так, сроки охраны объектов авторского права в США постоянно продлевают, по так называемому закону об охране Микки Мауса. Американские нормы по длительности копирайта затем распространяют на другие страны, в соответствии с международными договорами.

Уважаемые друзья!

В этом году компания Microsoft в рамках Конференции разработчиков игр подготовила доклады, которые последовательно расскажут о игровом бизнесе на платформе Microsoft, технологических возможностях и инструментарии, о том, как начать разработку приложений для магазинов Windows.

Если у вас нет возможности посетить конференцию лично, специально для вас мы проводим онлайн-трансляцию всех докладов компании Microsoft 3 октября в 10:00 (МСК).

Вы узнаете о возможностях разработки игр для всего спектра устройств Microsoft: игровой консоли Xbox One, мобильных телефонов, планшетов и настольных компьютеров.

В рамках панельной дискуссии «Опыт разработки игр на Windows – технологии и бизнес» поделятся своим мнением о рынке гранды игровой российской индустрии: Анатолий Ропотов – CEO Game Insight, Сергей Орловский – CEO Nival, Александр Лысковский – CEO Alawar, Антон Рыбаков – глава JoyBits, Ромуальд Здебский – Microsoft.

Если у вас уже есть игры, выпущенные на других платформах, то вам, несомненно, будет интересно узнать о том, как их можно перенести на платформу Microsoft.

Если же вы являетесь глубоким техническим специалистом, то мы также подготовили для вас доклады о новых возможностях инструментов разработки Visual Studio и облачных сервисах, которые могут пригодится при реализации игровых проектов.

Ждем вас на онлайн-трансляции докладов Microsoft с конференции КРИ 3 октября в 10:00 (МСК)!

Так уж иногда случается, что фантастические и шпионские сюжеты оказываются не только плодом больной фантазии автора, а самой настоящей правдой. Еще совсем недавно какой-нибудь параноидальный фильм о тотальной слежке государства за человеком воспринимался как очередная сказка, игра воображения автора и сценаристов. До тех пор, пока Эдвард Сноуден не обнародовал информацию о PRISM — программе слежения за пользователями, принятой на вооружение Агентством национальной безопасности США.

Повод для беспокойства

После такой новости шутки про паранойю стали совсем не актуальны. А разговоры про слежку нельзя больше списать на расшатанную психику. Возникает серьезный вопрос, стоит ли чувствовать себя в безопасности, пользуясь своей почтой или общаясь в социальной сети или чате? Ведь на сотрудничество со спецслужбами пошли многие крупные компании: Microsoft (Hotmail), Google (Google Mail), Yahoo!, Facebook, YouTube, Skype, AOL, Apple. Учитывая то, что PRISM была нацелена в первую очередь на слежку за иностранными гражданами, а объем перехватываемых телефонных разговоров и электронных сообщений по некоторым оценкам достигал 1,7 миллиарда в год, стоит серьезно задуматься над тем, как защитить свою частную жизнь от чужих глаз.

Tor

Первая реакция на новость о PRISM у многих была одинакова: не позволим следить за собой, ставим Tor. Это, пожалуй, на самом деле самое популярное средство, о котором мы не один раз рассказывали на страницах нашего журнала. Он тоже был создан американскими военными, правда для совсем противоположенных целей. Такая вот ирония. Пользователи запускают на своей машине программное обеспечение Tor, работающее как прокси, он «договаривается» с другими узлами сети и строит цепочку, по которой будет передаваться зашифрованный трафик. По истечении некоторого времени цепочка перестраивается и в ней используются уже другие узлы. Для сокрытия от любопытных глаз информации о браузере и установленной ОС Tor часто используется в связке с Privoxy — некеширующим прокси, который модифицирует HTTP-заголовки и веб-данные, позволяя сохранить приватность и избавиться от назойливой рекламы. Чтобы не лазить по конфигурационным файлам и не править все настройки ручками, есть замечательная GUI-оболочка — Vidalia, доступная для всех ОС и позволяющая за пару минут поднять на своем ПК дверь в анонимный мир. Плюс разработчики попытались все максимально упростить, предоставляя пользователям в один клик установить себе Tor, Vidalia и portable-версию Firefox с различными security-аддонами. Для безопасного общения существует децентрализованная анонимная система обмена сообщениями — TorChat. Для безопасного, анонимного и прозрачного перенаправления всего TCP/IP- и DNS-трафика через сеть анонимайзеров Tor служит утилита Tortilla. Программа позволяет анонимно запускать на компьютере под Windows любое программное обеспечение, даже если оно не поддерживает SOCKS или HTTP-прокси, что раньше было практически невозможно сделать под Windows. Помимо этого, для стандартной связки Tor + Vidalia + Privoxy существует достойная альтернатива — Advanced Onion Router bit.ly/ancXHz, portable-клиент для «луковой маршрутизации». Для тех, кто особенно обеспокоен своей безопасностью, есть Live CD дистрибутив, который «из коробки» настроен отправлять весь трафик через Tor, — bit.ly/e1siH6.

Основное предназначение Tor — это анонимный серфинг плюс возможность создания анонимных сервисов. Правда, за анонимность приходится расплачиваться скоростью.

Запуск Tor через Vidalia

I2P

Кроме «луковой маршрутизации», есть еще и «чесночная», применяемая в I2P. Tor и I2P при некотором внешнем сходстве во многом реализуют диаметрально противоположные подходы. В Tor создается цепочка из нод, по которой передается и принимается трафик, а в I2P используются «входящие» и «выходящие» туннели и таким образом запросы и ответы идут через разные узлы. Каждые десять минут эти туннели перестраиваются. «Чесночная маршрутизация» подразумевает, что сообщение («чеснок») может содержать в себе множество «зубчиков» — полностью сформированных сообщений с информацией по их доставке. В один «чеснок» в момент его формирования может закладываться много «зубчиков», часть из них может быть нашими, а часть транзитными. Является ли тот или иной «зубчик» в «чесноке» нашим сообщением, или это чужое транзитное сообщение, которое проходит через нас, знает только тот, кто создал «чеснок».

Основная задача I2P, в отличие от Tor, — анонимный хостинг сервисов, а не предоставление анонимного доступа в глобальную сеть, то есть размещение в сети веб-сайтов, которые в терминологии I2P называются eepsites.

Для работы программного обеспечения I2P необходима предустановленная Java. Все управление ведется через веб-интерфейс, который доступен по адресу 127.0.0.1:7657. После всех необходимых манипуляций надо подождать пару минут, пока сеть настроится, и можно пользоваться всеми ее скрытыми сервисами. В данном случае мы получили анонимный доступ в сеть I2P, то есть ко всем ресурсам в домене .i2p. Если захочется выйти в глобальную сеть, то достаточно просто прописать в настройках браузера использование прокси-сервера 127.0.0.1:4444. Выход из I2P в глобальную сеть осуществляется через определенные шлюзы (называемые outproxy). Как понимаешь, рассчитывать на огромную скорость в таком случае не приходится. Плюс нет никакой гарантии, что на таком шлюзе никто не снифает твой трафик. Безопасно ли размещать свой анонимный ресурс в I2P-сети? Ну, 100%-й гарантии безопасности тут никто дать не может, если ресурс будет банально уязвим, то не составит особого труда определить его истинное местоположение.

Консоль маршрутизатора I2P

Obfsproxy

Во многих странах, таких как Китай, Иран, провайдеры активно борются против использования Tor’а, применяя DPI (deep packet inspection), фильтрацию по ключевым словам, избирательную блокировку и другие методы. Для того чтобы обойти цензуру, torproject выпустил специальную тулзу obfsproxy bit.ly/z4huoD, которая преобразует трафик между клиентом и мостом таким образом, что он выглядит для провайдера абсолютно безобидным.

Схема работы obfsproxy

GNUnet

А как насчет безопасного и анонимного обмена файлами? Для такой цели можно прибегнуть к помощи GNUnet bit.ly/hMnQsu — фреймворка для организации безопасной P2P-сети, не требующей централизованных или любых других «доверенных» сервисов. Основная цель проекта — создание надежной, децентрализованной и анонимной системы обмена информацией. Все узлы сети работают как маршрутизаторы, шифруют соединения с другими узлами и поддерживают постоянный уровень нагрузки на сеть. Как и во многих других решениях, узлы, активно участвующие в работе сети, обслуживаются с более высоким приоритетом. Для идентификации объектов и сервисов используется URI, который выглядит какgnunet://module/identifier, где module — имя модуля сети, аidentifier — уникальный хеш, идентифицирующий сам объект. Интересная фича — возможность настроить уровень анонимности: от нуля (не анонимно) до бесконечности (по дефолту стоит единица). Для безопасной передачи все файлы шифруются с помощью ECRS (An Encoding for Censorship-Resistant Sharing — шифрование для устойчивого к цензуре обмена файлами). GNUnet является расширяемым, на его основе можно строить новые P2P-приложения. Помимо файлообмена (наиболее популярного сервиса), существуют альтернативные службы: простейший чат, находящийся сейчас в полумертвом состоянии, а также распределенный DNS. Ну и как обычно, за анонимность приходится расплачиваться: высокой задержкой, низкой скоростью работы и достаточно высоким потреблением ресурсов (что характерно для всех децентрализованных сетей). Плюс присутствуют проблемы обратной совместимости между различными версиями фреймворка.

Анонимная одноранговая сеть GNUnet

RestroShare

RestroShare bit.ly/cndPfx — это открытая кросс-платформенная программа для построения децентрализованной сети по принципу F2F (Friend To Friend), использующая GPG. Основная философия заключается в обмене файлами и общении только с доверенными друзьями, а не со всей сетью, из-за чего ее часто относят к darknet. Для установки соединения с другом пользователю надо сгенерировать с помощью RetroShare пару GPG-ключей (или выбрать существующую). После проверки подлинности и обмена асимметричным ключом устанавливается SSH-соединение, использующее для шифрования OpenSSL. Друзья друзей могут видеть друг друга (если пользователи включили такую возможность), но соединяться не могут. Такая вот получается социальная сеть :). Но зато можно шарить папки между друзьями. В сети существует несколько сервисов для общения: приватный чат, почта, форумы (как анонимные, так и с обычной аутентификацией), голосовой чат (VoIP-плагин), каналы, наподобие IRC.

Децентрализованная F2F-сеть

Raspberry Pi

Ты можешь удивиться: при чем тут Raspberry Pi? Мы же говорим про анонимность. А при том, что сей маленький девайс поможет этой анонимности добиться. Его можно использовать в качестве роутера/клиента, предоставляющего тебе доступ к Tor/I2P-сетям или анонимному VPN. Кроме этого, есть еще один плюс. В децентрализованных сетях достигнуть приемлемой скорости доступа к внутрисетевым ресурсам можно, только если постоянно находиться в ней. Например, в I2P доверие других «чесночных роутеров» к такому узлу будет больше, соответственно и скорость выше. Держать ради этого постоянно включенным свой компьютер или заводить отдельный сервер нерезонно, а вот потратить на это всего 30 долларов вроде и не жалко. В повседневной жизни можно будет пользоваться обычным подключением, а когда надо будет анонимно выйти в Сеть — просто пускаешь весь трафик через мини-девайс и не паришься ни с какими настройками. Надо сказать, что до недавнего времени устанавливать софтину I2P, написанную на Java, на «ежевику» смысла не было. Жадной до ресурсов Java-машине никак не хватало стандартных 256 Мб оперативы. С выходом Raspberry Pi model B, несущего на борту уже 512 Мб, это стало уже вполне реально. Так что давай рассмотрим основные моменты, связанные с установкой. Допустим, мы используем Raspbian. Первым делом обновляемся:

sudo apt-get update; sudo apt-get dist-upgrade

Затем устанавливаем Java, но не стандартную из пакетов, а специальную версию, заточенную под процессоры ARM, —bit.ly/13Kh9TN (как показывает практика, стандартная сожрет всю память). Скачиваем и инсталлируем:

sudo tar zxvf jdk-8-ea-b97-linux-arm-vfp-hflt-03_jul_2013.tar.gz -C /usr/local/java
export PATH=$PATH:/usr/local/java/bin

После чего скачиваем и устанавливаем I2P:

cd ~
mkdir i2pbin
cd i2pbin
wget http://mirror.i2p2.de/i2pinstall_0.9.7.jar
java -jar i2pinstall_0.9.7.jar -console

Чтобы превратить Raspberry в роутер для I2P, надо немного поколдовать с конфигами. Переходим в ~/.i2p и начинаем редактировать файл clients.config. Там нам надо закомментировать строку

clientApp.0.args=7657 ::1,127.0.0.1 ./webapps/

и раскомментировать

clientApp.0.args=7657 0.0.0.0 ./webapps/

А затем в файле i2ptunnel.config заменить адреса в строках

tunnel.0.interface=127.0.0.1
tunnel.6.interface=127.0.0.1 

на 0.0.0.0. После чего можем запустить I2P-роутер, выполнив:

cd ~/i2pbin
./runplain.sh

Также можно добавить в crontab следующие строки, чтобы софтина автоматически поднималась при запуске системы или после краша:

0 * * * * /home/pi/i2pbin/runplain.sh
@reboot /home/pi/i2pbin/runplain.sh

Осталось только организовать удаленный доступ к девайсу. Оптимальный способ — использовать динамический портфорвардинг через SSH. Для этого надо только установить в настройках I2P-туннель, который бы указывал на 22-й порт на локальной машине. Таким же образом можно превратить Pi в анонимный VPN (как это сделать, можно посмотреть тут —http://bit.ly/11Rnx8V) или подключить к Tor’у (отличный видеомануал по этому поводу http://bit.ly/12RjOU9). А можно и придумать свой способ, как использовать девайс для анонимных путешествий по Сети.

Mikrotik

На самом деле Raspberry Pi не единственный маленький девайс, на базе которого можно организовать анонимный доступ в Сеть. Достойной альтернативой ему будет роутер от латвийской компании MikroTik, которая занимается производством сетевого оборудования и софта для него. Такой девайс обойдется чуть подороже, но потребует меньше возни при настройке. В числе продуктов компании RouterOS — операционная система на базе Linux, предназначенная для установки на аппаратные маршрутизаторы MikroTik RouterBOARD. Различные варианты платформ RouterBOARD позволяют решать различные сетевые задачи: от построения простой точки доступа до мощного маршрутизатора. Несмотря на наличие разъема для подключения питания, практически все устройства могут питаться с помощью PoE. Большой плюс — наличие хорошей документацииhttp://bit.ly/jSN4FL, в которой очень подробно описано, как можно создать security-роутер на базе RouterBOARD4xx, подключив его к сети Tor. Останавливаться на этом не будет, здесь все очень подробно описано.

Схема организации анонимного доступа в интернет при помощи Tor и MikroTik

MikroTiks RouterBOARD RB411AR

VPN

Говоря про приватность и анонимность в Сети, нельзя обойти стороной использование для этих целей VPN. Мы уже рассказывали, как замутить свой VPN-сервер в облаке Amazon’аbit.ly/16E8nmJ, подробно рассматривали установку и тонкую настройку OpenVPN bit.ly/14FHItM. Всю необходимую теорию ты можешь посмотреть в этих статьях. Однако хочется еще раз напомнить, что VPN не панацея. Во-первых, возможны ситуации, когда трафик может «утечь» мимо VPN-соединения, во-вторых, в сетях, основанных на протоколе PPTP, существует реальная возможность расшифровать перехваченные данные («Такой небезопасный VPN», ][акер № 170). Так что не стоит верить в полную безопасность при использовании виртуальных частных сетей.

WWW

Интересные дополнения к Tor: bit.ly/hdMgMt PirateBrowser — специальный браузер на основе Tor, который поможет в случае блокировки доступа к ThePirateBay: bit.ly/19UdqV7

Подводя итоги

Это лишь наиболее популярные решения, позволяющие хоть как-то оградить свою частную жизнь от любопытных глаз Большого Брата. Возможно, в недалеком будущем появятся новые технологии или все мы будем активно пользоваться одной из рассмотренных сегодня. Кто знает… Что бы это ни было, важно всегда помнить, что никогда ни одно решение не способно дать 100%-ю гарантию защищенности. Поэтому не чувствуй себя в полной безопасности, установив Tor, I2P или что-то еще, — за чувство ложной безопасности многие уже поплатились.

Несколько часов назад в списке рассылки SecLists сообщили о критической уязвимости в командной оболочке bash, которая установлена почти на всех популярных дистрибутивах Linux.

Уязвимость допускает удалённое исполнение кода на компьютере, где установлен bash. Это связано с некорректной обработкой переменных окружения и определений функций. В текущих версиях bash переменная окружения именуется так же, как функция, а определение функции начинается со знаков “() {”. Уязвимость связана с тем, что bash не останавливается после обработки определения функции, а продолжает парсить код и выполнять команды оболочки, которые следуют дальше. Например, в переменной окружения

VAR=() { ignored; }; /bin/id

будет исполнен /bin/id при импорте окружения в процесс bash.

Для проверки у себя можно запустить и такой код:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Таким образом, переменную окружения с произвольным именем можно использовать как носителя для доставки на компьютер жертвы нужных команд. В данный момент наиболее опасным применением этого бага считают HTTP-запросы к скриптам CGI.

Уязвимости присвоен идентификатор CVE-2014-6271.

Два часа назад Чет Рэми (Chet Ramey), официальный мейнтейнер GNU bash, выложил официальные патчи.

http://ftp.gnu.org/pub/gnu/bash/bash-3.0-patches/bash30-017
http://ftp.gnu.org/pub/gnu/bash/bash-3.1-patches/bash31-018
http://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052
http://ftp.gnu.org/pub/gnu/bash/bash-4.0-patches/bash40-039
http://ftp.gnu.org/pub/gnu/bash/bash-4.1-patches/bash41-012
http://ftp.gnu.org/pub/gnu/bash/bash-4.2-patches/bash42-048
http://ftp.gnu.org/pub/gnu/bash/bash-4.3-patches/bash43-025

Уязвимость обнаружил несколько дней назад Стефан Чазелас (Stephane Chazelas).

Переход к самой печальной части нашего рассказа. Хотя почти для каждого типа онлайн-коммуникаций есть защищенные решения, для их применения придется убедить твоего собеседника в том, что «так нужно». Как подсказывает опыт фанатов Jabber, сделать это без вмешательства крупных компаний невозможно. Поэтому данный обзор несет скорее футуристический характер — если все это найдет спрос, возможно, кто-нибудь когда-нибудь научится на этом зарабатывать.

Защищенные сообщения

Для пересылки защищенных сообщений разработан криптографический протокол OTR (Off-the-Record). Для создания сильного шифрования протокол использует комбинацию алгоритмов AES, симметричного ключа, алгоритма Диффи — Хеллмана и хеш-функции SHA-1.

Основное преимущество OTR перед другими средствами шифрования — это его применение на лету, а не после подготовки и оправления сообщения. Он был разработан Никитой Борисовым и Яном Голдбергом. Для использования в сторонних приложениях разработчики протокола создали клиентскую либу. Поэтому, чтобы защитить передачу данных по IM-каналам, можно воспользоваться специально предназначенными для защиты приложениями.

Один из подобных проектов — Cryptocat; это веб-аппликация с открытым исходным кодом, написанная на JS. Имеются расширения для Chrome, Firefox и Safari. Кроме того, есть клиентское приложение, но только для OS X. Криптокат шифрует сообщения на клиенте и передает их доверенному серверу. Для этого на стороне клиента используется симметричное шифрование сообщений и файлов с использованием AES-256 и выбранного ключа. Для каждого чата генерируется новый ключ.

Другие участники разговора — до десяти человек в комнате — смогут прочитать их, только если сами правильно введут тот же самый ключ. Для надежной передачи ключей используется алгоритм Диффи — Хеллмана, для генерации уникальных отпечатков при аутентификации — хеш-функция Whirlpool, а для проверки целостности сообщений — HMAC-WHIRLPOOL. Метод работы с ключами превращает Cryptocat в систему совершенной прямой секретности, в которой даже потеря закрытого ключа не может скомпрометировать ключ сессии. Лог переписки удаляется через 30 минут отсутствия активности, а сам сервис работает с постоянным SSL-шифрованием.

Еще один проект подобного рода — Bitmessage, написанный Джонатаном Уорреном на питоне. Bitmessage — это децентрализованная P2P-программа для обмена зашифрованными сообщениями между двумя и/или несколькими юзерами. Она использует сильную криптографию, которая надежно защищает абонентов от прослушивания на уровне интернет-провайдера или на сервере. Стоит заметить, что криптографическая система практически в точности копирует схему, которая используется в P2P-системе Bitcoin, однако направлена на обмен сообщениями. Особенность Bitmessage состоит в том, что факт общения двух пользователей практически невозможно доказать: сообщение передается не напрямую от пользователя А к Б, а рассылкой всем участникам сети (подобный подход реализован в Tor). При этом прочитать его может только тот пользователь, с которым установлено соединение и который обладает корректным ключом для расшифровки.

Последним проектом этого ряда, который мы рассмотрим, будет TorChat. Сеть TorChat представляет собой свободную децентрализованную высокоанонимную криптозащищенную систему обмена мгновенными сообщениями и файлами. Весь код открыт, а следовательно, проверяем. TorChat в основе своей использует анонимную сеть Tor, но это полностью обособленный проект. Анонимность передачи данных целиком возлагается на скрытые сервисы Tor, TorChat, по сути, лишь надстройка к ним, занимающаяся обработкой сообщений. Криптозащита соединения двух пользователей также обеспечивается скрытыми сервисами Tor посредством асимметричного шифрования по стандарту RSA. Изначально TorChat был написан на питоне, клиент для OS X, соответственно, на Objective C. В начале 2012 года был запущен проект jTorChat, разрабатываемый на Java. Пока в нем не реализована вся функциональность оригинального TorChar, к примеру, отсутствует передача файлов.

INFO

Хотя на мобильных устройствах можно использовать веб-интерфейсы рассмотренных мессенджеров, в разработке находится средство обмена мгновенными сообщениями, специально заточенное под мобилы.

Мобильный мессенджер Hemlis

Голосовой и видеочат

С мгновенными текстовыми сообщениями мы анонимны, а что насчет голосового и видеообщения? Skype принадлежит Microsoft, а она (по документам Сноудена) была уличена в передаче сведений спецслужбам.

Поэтому нужны другие варианты. Одним из них стал проект Tox — открытая и свободная альтернатива Skype. Он использует похожую на Skype P2P модель организации взаимодействия в сети для распространения сообщений, использующую криптографические методы для идентификации пользователя и защиты транзитного трафика от перехвата. Поддерживается обмен текстовыми сообщениями, голосовая связь, видеозвонки и передача файлов. Работа организована через простой и типичный для IM-клиентов графический интерфейс.

Одна из ключевых задач проекта — обеспечить приватность и тайну переписки, в том числе защиту от возможного анализа трафика спецслужбами. Для обеспечения адресации пользователей используется распределенная хеш-таблица (DHT), работа с которой организована в стиле BitTorrent. Канал связи организуется при помощи надстройки над протоколом UDP с реализацией сеансового уровня (Lossless UDP).

Для идентификации каждого пользователя используется специальный публичный ключ, который также применяется как открытый ключ для шифрования. Отдельно генерируется закрытый ключ для расшифровки сообщений, зашифрованных с использованием идентификатора / открытого ключа. Для организации коммуникаций требуется соединение к пиру (каждый клиент сети является пиром), который может быть определен вручную или найден автоматически (доступна функция поиска пиров в локальной сети).

Код Tox написан на языке Си и распространяется под лицензией GPLv3. Поддерживаются платформы Linux, Windows и OS X. Для организации шифрования используется библиотека libsodium. Функциональность разработки пока находится на уровне серии тестовых прототипов, консольного клиента, написанного с использованием библиотеки ncurses, и графического клиента на базе Qt5.

Кроме того, в GNU создается альтернатива под названием GNU Free Call. Этот проект нацелен на разработку и внедрение по всему миру безопасных и самоорганизующихся коммуникационных сервисов. В качестве базового протокола в GNU Free Call будет использоваться SIP, поддержка которого обеспечена при помощи VoIP-сервера GNU SIP Witch. Коммуникационная сеть построена с использованием P2P-технологий и имеет топологию mesh-сети, в которой каждая клиентская точка сети связана через соседние клиентские точки. Конечной целью проекта является формирование VoIP-сети, напоминающей Skype по возможностям и удобству использования.

С технической стороны для реализации проекта в GNU SIP Witch, кроме функции маршрутизации SIP-звонков, будет обеспечена поддержка работы в роли защищенного VoIP-прокси, добавлена возможность хранения кеша хостов и выполнения функций обмена маршрутами с соседними узлами mesh-сети. Поддержка VoIP-прокси позволит упростить построение пользовательских интерфейсов и создание приложений для мобильных устройств, поскольку обеспечит поддержку приема и выполнения звонков с любых SIP-совместимых программных телефонов.

Клиентское ПО для работы в cети GNU Free Call будет поддерживать широкий спектр разнообразных программных платформ. Сеть будет иметь полностью децентрализованную структуру, не привязанную к отдельным управляющим серверам.

Tox — отрытый аналог Skype

Социальные сети

Вообще, соцсети слабо вяжутся с концепцией анонимности и приватности переписки. Эти сервисы стали источником информации о лицах всех возрастов: люди пишут в соцсети все о себе, своих близких и друзьях, выкладывают жизненные фото и видео. Можно ограничить доступ к этим сведениям, но это не преграда для спецслужб — известны случаи, когда по запросу властей им передавались интересующие их данные о пользователях. Безусловно, соцсети — зло! Но иногда хочется поделиться чем-то с родными или рассказать о достижении близким друзьям. Поэтому даже соцсети играют положительную роль.

Чтобы защитить свои приватные данные от наглых глаз спецслужб, можно воспользоваться свободными защищенными аналогами. У них, конечно, гораздо меньше юзверов — 15-летних школьниц, фоткающихся с ойфонами, но тем лучше. И чем больше пользователей будут понимать значимость приватности информации, а к этому все идет, тем большее их число будет переходить в защищенные соцсети.

Одна из таких сетей — Friendica. Проект был начат в 2011 году Майком Макгривином. Friendica — свободная социальная сеть с открытым исходным кодом, дислоцирующимся на GitHub. Она предоставляет широкий выбор коннекторов для разнообразных социальных сетей: как традиционных (Facebook, Twitter), так и новых (Diaspora, Identi.ca). Кроме того, с помощью Friendica можно обмениваться письмами и читать RSS-ленты. Если в Friendica сделать фото закрытым, то оно на самом деле будет в привате и никто (кроме, естественно, владельца и избранных им лиц) не сможет получить к нему доступ.

Friendica – страшненькая, зато свободная

В настоящее время идет разработка следующей версии соцсети под названием Red (что с испанского означает «сеть»). По словам авторов, во время разработки Friendica были осознаны детали и обкатаны механизмы разработки соцсетей, поэтому следующий проект станет еще лучше и будет избавлен от фундаментальных недостатков первой версии.

Еще одна защищенная социальная сеть, на которую мы обратим внимание, — это Diaspora. Данная сеть базируется на трех базовых принципах. В отличие от традиционных соцсетей, где данные хранятся в одном дата-центре, то бишь централизованно, в Diaspora, как и во многих защищенных в вебе продуктах, данные хранятся децентрализовано. В этом случае данные хранятся не на центральном сервере, а на подах (pod) — компьютерах тех пользователей, кто предоставил их для этой цели. Второй принцип, конечно же, свобода, кто мог сомневаться? Третий принцип — секретность. Никто, кроме тебя, не имеет доступа к твоим данным, а кто может их просматривать, определяешь ты сам, устанавливая разрешения. И они действуют глобально, то есть никто их не нарушит.

Diaspoa выглядит уже получше

Итоги

Как видишь: бросаться в панику из-за тотальной слежки не имеет никакого смысла. Существуют защищенные решения всех привычных служб: электронной почты, мгновенных сообщений, голосового/видеочата, соцсетей. Если воспользоваться ими, то никакой Большой Брат (или скромная спецслужба) не залезет в твои дела. Никто не в состоянии остановить распространение информации в интернете! Используй все возможности Сети в своих целях!

Сегодня возможности NFS, SMB/CIFS, FTP уже не удовлетворяют требования пользователей, поэтому все более популярными становятся онлайновые сервисы вроде Dropbox. Они имеют простой интерфейс и удобны в работе, но вместе с тем не гарантируют приватность размещаемых данных. Чтобы обеспечить максимальную безопасность информации, мы рекомендуем использовать свой собственный облачный сервер.

ownCloud

Наверное, самый популярный проект, позволяющий организовать собственное хранилище файлов для обмена данными между пользователями. Причем по возможностям он давно обогнал Dropbox, поскольку кроме шаринга пользователь получает еще календарь, закладки, адресную книгу (с группировкой по категориям), список дел TODO и так далее. Реализовано шифрование файлов, после активации данной возможности информацию не может просмотреть даже администратор. Возможен контроль версий файлов (в качестве бэкенда используется Git, при нехватке пространства старые редакции автоматически удаляются), установка квот и ограничений на максимальный размер файлов. Корзина позволяет восстанавливать файлы и каталоги, удаленные через веб-интерфейс. Пользователь может просматривать PDF- и ODF-файлы, рисунки в фотогалерее, прослушивать музыку. Предусмотрено редактирование текстовых файлов при помощи онлайн-редактора. Доступна синхронизация файлов, календаря и адресной книги с мобильным устройством или ПК и с другими системами, поддерживающими протокол remoteStorage. Система полнотекстового поиска, основанная на движке Apache Lucene, позволяет искать не только по именам файлов, но и по их содержимому.

Базовые возможности легко расширить при помощи плагинов, часть из них предоставляется самим проектом, доступны разработки третьих сторон. Большую коллекцию плагинов можно найти в репозитории. Здесь находим модуль, проверяющий сохраняемые файлы на наличие вирусов (с помощью ClamAV), модуль для организации музыкального сервера, позволяющий прослушивать музыкальную коллекцию с любого устройства в сети, хранилище подкастов и видеороликов с доступом через веб-интерфейс или медиаплеер. Таким же образом добавляется поддержка OpenID и LDAP, а также работа с внешними хранилищами Dropbox, Swift, FTP, SFTP, Google Docs, S3 и WebDAV.

Доступ к данным предоставляется как для зарегистрированных на сервере пользователей ownCloud (помечаются как общие/Shared), так и без регистрации для анонимного посетителя (в виде прямой ссылки). Реализована возможность отправки уведомлений другим пользователям через стандартный механизм нотификации KDE (Open Collaboration Services API, изначально проект развивался под эгидой KDE).

Интерфейс ownCloud организован логично и удобно

Для доступа используется веб-браузер или WebDAV, KDE KIO-Slaves, при помощи которых можно подключить хранилище в виде сетевого диска. Интерфейс системы локализован и организован логично и просто, поэтому с его освоением не должно возникнуть проблем у пользователя с любым уровнем подготовки. Разработаны клиенты ownCloud Desktop Client и Mobile Clients, позволяющие синхронизировать данные с настольной системой под управлением Windows, Linux и OS X либо мобильным устройством Android (доступен в двух версиях — платной и бесплатной) или iOS (iPhone/iPad/iPod). Кроме этого, в интернете можно найти большое количество расширений и приложений App Store, позволяющих сделать работу с ownCloud еще более удобной. Например, для файловых менеджеров Dolphin, Nautilus, Finder и Explorer доступны модули интеграции с ownCloud.

Несколько серверов ownCloud могут взаимодействовать между собой, обеспечивая автоматическое резервное копирование и миграцию данных пользователя на другой сервер. Продукт быстро развивается, новый релиз выходит регулярно каждые три месяца.

Написан ownCloud на PHP и JavaScript, в качестве СУБД можно использовать SQLite, MySQL или PostgreSQL. Для развертывания подойдет стандартный LAMP- или WAMP-сервер, а сам процесс достаточно тривиален.

К сожалению, проект имеет длинную историю взломов — в разное время в коде ownCloud исследователи находили многочисленные критические уязвимости (выполнение произвольного PHP-кода на сервере, получение полного доступа к календарям других пользователей и другие). Поэтому при выходе новой версии советуем незамедлительно обновляться.

Возможности ownCloud расширяются при помощи плагинов

AjaXplorer

AjaXplorer — решение, выросшее за пять лет из файл-менеджера, используемого для управления файлами на веб-сервере, в полноценную платформу уровня предприятия для обмена данными между пользователями при помощи веб-интерфейса, iOS- и Android-клиента или WebDAV. Возможно простое создание мини-сайта, на котором будут публиковаться списки размещенных документов. Доступно превью для большинства распространенных форматов (аудио, видео, PDF, офисные документы). В случае изменения каталога или файла заинтересованные пользователи получают оповещение. Реализован планировщик. Доступ к файлам могут получить как зарегистрированные, так и анонимные пользователи.

Работа с AjaXplorer напоминает настольное приложение

Веб-интерфейс локализован (хотя и не полностью), построен логично и понятно. Слева собраны все ресурсы (папка, общие и закладки), вверху панель действий (показываются только доступные), справа выводится подробная информация о выбранном файле. Сами файлы отображаются в окне посередине. Вид отображения меняется, ненужные блоки можно убрать. Некоторые действия вызываются при помощи контекстного меню. В общем и целом работа с AjaXplorer напоминает настольное приложение.

Возможна аутентификация средствами Active Directory / LDAP, HTTP, CAS, FTP, OTP и другими. Разделение прав основано на ролях, применяемых к пользователям и группам, администрировать сервер могут несколько человек, которым четко задаются права. Администратор имеет возможность мониторить деятельность пользователей в режиме реального времени.

Обеспечивается шифрование в течение сеанса HTTPS и данных на уровне файловой системы при помощи EncFS. В июне 2013 года профессиональным агентством безопасности во Франции был проведен аудит AjaXplorer, в результате которого уязвимостей, специфических для веб-приложений, обнаружено не было.

Доступны плагины (Bridges), позволяющие интегрировать AjaXplorer в популярные CMS, базирующиеся на PHP, — Drupal, WordPress и Joomla. Доступен соответствующий API, поэтому список легко расширить. Плагин AjaXplorer for Filelink для Mozilla Thunderbird позволяет автоматически заменять большие вложения в сообщении сгенерированной ссылкой на хранилище AjaXplorer.

Модульность позволяет при необходимости нарастить возможности и собрать систему под конкретные нужды. Например, обеспечить доступ к другим источникам данных (файловая система, FTP, SFTP, Samba, Amazon S3, Dropbox, HPCloud, IMAP, POP и так далее), проверять файлы антивирусом. Также при помощи плагинов подключается текстовый и офисный редактор (через веб-сервис Zoho), реализуется возможность просмотра изображений, отображение Exif-информации, проигрывание аудио- и видеофайлов и многое другое. Поведение некоторых модулей можно настраивать более тонко, но для этого конфиги придется редактировать вручную. Например, чтобы установить разрешенные для просмотра и загрузки типы файлов, следует заглянуть вserver/conf/conf.access.fs.inc.

Основные плагины поставляются вместе с архивом AjaXplorer, остальные доступны по адресу. Разработать свой плагин не так уж и сложно, проект предоставляет всю необходимую документацию и демонстрационный плагин, который можно использовать как основу.

Для индексации и для быстрого поиска по хранилищу используется библиотека Apache Lucene.

Написан AjaXplorer с использованием HTML, PHP, Ajax и JavaScript. Используются стандартные драйверы файловой системы, поэтому сервер легко переносить и масштабировать.

Seafile

Самый молодой продукт обзора — Seafile. Первые версии были представлены в конце 2012 года, но до релиза 1.3 интерфейс был только на китайском языке, поэтому популярность он лишь начинает набирать. В Seafile реализованы не только функции хранения и синхронизации данных, но и элементы совместной работы с контентом. Пользователь может создавать любое количество библиотек (по сути, отдельное виртуальное хранилище) и открывать доступ для групп, контактов или без ограничений. Допущенные пользователи через библиотеку обмениваются файлами. В случае изменений предусмотрена возможность отправки уведомлений. При создании библиотеки возможна активация доступа по паролю и шифрование. В случае активации шифрования документ «закрывается» до отправки на сервер (его могут просмотреть только допущенные пользователи), поддерживается HTTPS. На уровне библиотеки также реализовано отслеживание версий (по умолчанию 60 дней, можно изменить число, хранить всю историю или отключить совсем), доступ к предыдущим редакциям, восстановление удаленного файла, аудит (кто и когда внес изменения). Поддерживается предварительный просмотр основных типов файлов, обсуждение информации с участниками группы, функции ведения списков задач и управления проектами, персональное Wiki.

В Seafile можно создать несколько библиотек, которые затем синхронизировать по отдельности

Еще одним плюсом является меньшая нагрузка на сервер, по сравнению с другими участниками обзора.

Доступ к данным возможен как через веб-интерфейс, так и при помощи клиента Seafile (Windows, Linux, OS X, Android и iOS).

Код проекта написан на языке Python и распространяется под лицензией GPLv3, для хранения метаданных используется SQLite. Версия Community Edition серверной части предлагается бесплатно для Linux и Raspberry Pi, для Windows цена составляет 150 долларов. Также есть Pro Edition с большими возможностями: доступ по WebDAV, функции поиска, оповещение по email и другое (подробнее здесь). Кроме того, можно размещать файлы на сервере разработчика (бесплатно предоставляется до 1 Гб).

Онлайновые хранилища с упором на безопасность

Найти хранилище для своих файлов сегодня легко, свои варианты предлагают и разработчики ОС, например Apple iCloud, Ubuntu One, Microsoft SkyDrive. Но со временем обнаруживались те или иные проблемы в безопасности, хостеры признают, что могут контролировать контент и закрыть аккаунт. Естественно, у пользователей возникало разумное сомнение, стоит ли впредь доверять свои личные файлы «кому попало». Как результат, появились альтернативные сервисы, заявляющие о большей защищенности информации:

• Wuala — шифрование файлов производится локально при помощи клиента (Windows, Linux, Android, iOS, Java — веб-доступ), а затем они загружаются на сервер. При этом данные разделяются на несколько частей, которые хранятся в разных местах, что обеспечивает меньшую вероятность их потери. Используется AES-256 для шифрования, RSA-2048 подпись и обмен ключами при совместном использовании папок, SHA-256 для проверки целостности; поддерживается SSL. Все ключи для расшифровки хранятся локально. Администраторы сервиса могут просмотреть лишь количество занимаемого места, от них скрыты даже метаданные. Правда, это означает, что и восстановить информацию при потере пароля невозможно (доступна подсказка пароля). При необходимости шифрование можно отключить. При совместном использовании файлов шифрование также не используется. Бесплатно доступно 5 Гб, пространство можно увеличить до 1 Тб.
• SpiderOak — проект, развивающийся с 2007 года, по принципу аналогичен Wuala. Пользователю бесплатно предоставляется 2 Гб, в дальнейшем место можно наращивать до 100 Гб. Реализованы клиенты для Windows, Linux, iOS, Android и N900 (ожидается BlackBerry и Windows Phone), есть веб-доступ. Enterprise-версия отличается дополнительными возможностями, вроде SSO AD/LDAP, и расширенными функциями администрирования. Применяется многоуровневый подход к шифрованию с использованием комбинации AES-256/RSA-2048. Поддерживается SSL.
• Tresorit — новый игрок, предлагающий бесплатно 5 Гб места (по акциям можно отхватить 50 Гб), шифрование ведется на стороне клиента (AES-256/SHA-512), реализованы агенты для Windows, iOS и Android. Веб-доступа нет. Общие файлы хранятся в зашифрованном виде и «раскрываются» после загрузки.
• Mega — проект с участием Кима Доткома, предлагающий бесплатно 50 Гб места, с возможностью поднять за $$$ до 4 Тб. Файлы перед загрузкой зашифровываются (AES-128) на стороне пользователя через JavaScript (в будущем HTML5 API WebCrypto). Cоединение дополнительно «закрывается» при помощи SSL. В отличие от других сервисов, не предлагаются клиенты и возможность синхронизации, только загрузка/выгрузка через браузер. Администратор не может получить доступ к файлам, но может просмотреть структуру данных.

Mega.co.nz предлагает 50 Гб места, но доступ только через веб

Wuala шифрует файлы до передачи на хостинг

Заключение

Каждое решение имеет свои плюсы и минусы, поэтому нужно выбирать исходя из конкретных задач. ownCloud и AjaXplorer подкупают своими богатыми функциями, а Seafile — легкостью и простотой, а также возможностью групповой работы.

Статья впервые опубликована в сентябрьском номере «Хакера» за 2013 год

Среди заграничных маркетологов распространяется новая мода — рассылать письма, якобы написанные вручную. Это такой же спам, как обычно, но выглядит человечнее. Больше шансов, что человек вскроет и прочитает письмо с рекламой, если на конверте рукописный текст и указано его имя.

Для создания рукописных текстов используют машины стоимостью в десятки тысяч долларов. Они пишут и шариковой, и капиллярной ручкой. Некоторые маркетологи покупают технику, а другие заказывают сервис у сторонних компаний. Например, такими услугами занимается фирма Maillift.

В сфере обмана потребителей роботизированное рукописное письмо — это новый тест Тьюринга. Если программа смогла выдать себя за человека, значит, тест прошла.

Основатели стартапа Maillift проанализировали тысячи рукописных текстов и нашли три признака, по которым человеческое письмо отличается от роботизированного.

Точки над “I” слишком аккуратные и похожи друг на друга

1. Неравномерное нажатие. Иногда стержень как бы находится в полуподвешенном состоянии, не полностью нажимает на бумагу, и это можно заметить.
2. Точки над “I”. Для русского языка это не актуально, но в английской, украинской, белорусской и других письменностях робота можно определить по слишком равномерному размещению точек над “I”. Они выглядят слишком одинаковыми и аккуратными (см. фото). Самые лучшие рукописные роботы-писари варьируют написание одних и тех же букв, но вот с точками до сих пор беда.
3. Странное выравнивание правой границы. Люди очень странно выравнивают правую границу, то выбиваясь к самому краю, то постепенно смещая окончание строк к центру. Иногда переносятся слова, которые могли бы поместиться на строке. Программы рукописного текста для роботов никак не могут освоить такой уровень хаотичности.

Ну, а в целом, прогресс идёт так быстро, что очень скоро обычный человек не сможет наверняка определить, что рукописный текст перед ним — не естественного происхождения, а написан металлической рукой.

С уверенностью можно сказать, что каждый из нас слышал о том, какое будущее пророчат технологиям 3D-печати. Уже сейчас она внедрилась в различные сферы: от архитектуры и дизайна до медицины и образования. Специалисты, работающие в сфере передовых технологий, отмечают, что утверждение «3D-принтер в каждый дом» в скором времени станет вполне реальным.

Узнать о том, каким образом трехмерная печать может повлиять на вашу жизнь, в частности, на эффективность вашего бизнеса, можно будет на выставке-конференции 3D Print Expo, которая пройдет с 23 по 25 октября в выставочном центре «Сокольники».

В частности, на выставочной экспозиции будет представлена продукция и услуги таких компаний, как: 3dquality, Consistent Software Distribution (CSD), DAVID Vision Systems GmbH, iGo3D, Picaso 3D, «RuSky Group-SLM», 3D.ru, «Ирвин», RGT, Megapolis Group (MG), REC, Тyga Print, Fabbers, «Цветной мир», Atele3d, Witbox Russia, 3dtoday.ru, Print3Dspb, SIU System, Cybercom, 3dmarket.org,  ESUN, jForms и др.

3D Print Expo будет проходить в течение трех дней, каждый из которых будет иметь свою, насыщенную программу. Первый выставочный день – 23 октября, станет днем для представителей бизнеса, заинтересованных в использовании 3D-технологий в своем деле. Бизнес-день – это те активности, которые привлекут, прежде всего, деловую аудиторию, такую как: бизнесмены и инвесторы.

В этот день можно будет поговорить о таких темах как:

• эволюция 3D-печати в самых разных отраслях;
• как 3D-технологии привлекают новых клиентов;
• как 3D-принтер может помочь при заключения крупных сделок и получения большей прибыли;
• 3D-печать в промышленности;
• правовые аспекты применения 3D-печати.

Стоит заметить, что 23 октября также пройдет круглый стол, посвященный обсуждению перспектив аддитивного производства, организованный совместно с инновационным центром «Сколково».

24 и 25 октября выставка откроет свои двери для всех, интересующихся 3D-принтингом.

Программа мероприятия, посвященного технологиям 3D, будет включать в себя тематическую конференцию, которая пройдет 23 и 24 октября. В течение двух дней все, кто активно интересуется передовыми 3D-технологиями, смогут прослушать эксклюзивные выступления международных и отечественных экспертов.

В эти дни, вы сможете прослушать доклады таких специалистов, как: Ян Йиху (президент компании Shenzhen Esun Industrial Co., Ltd.), Виллем Белфурт (управляющий партнер De CLERCQ (Нидерланды), Иван Гайдамакин (System Architect 3D Control Systems (США), Марио Мартинес (CEO Grupo XDS (Мексика), Ольга Бережнова (коммерческий директор Cybercom Ltd (Россия) и др.

Помимо выставочной экспозиции и конференции, 3D Print Expo подготовила еще много творческих и необычных активностей, таких как:

• мастер-классы, на которых все желающие смогут протестировать 3D-оборудование, приобрести выставочные образцы, напечатать свой уникальный сувенир, создать 3D-копию самого себя и пр.;

• фестиваль шоколада, где посетители увидят работу как классических шоколатье так и 3D-принтеров, печатающих шоколадом;

• арт-галерея, представляющая уникальные объекты искусства, созданные с помощью 3D-технологий (в том числе, предметы мебели, напечатанные на 3D-принтере);

• фэшн-показ с уникальными моделями одежды и аксессуаров;

• шахматный турнир на 3D-печатных эко-шахматах.

Также в рамках выставки, 24 октября, пройдет престижная церемония награждения 3D Print Awards – за лучшие достижения в сфере 3D-технологий в Восточной Европе.

3D Print Awards 2014 станет первым конкурсом в области лучших достижений индустрии бизнеса 3D-печати и сканирования.

Не пропустите 3D Print Expo, успейте купить билет!

Больше информации:

www.3d-expo.ru

тел.: +7 (495) 212-11-28

e-mail: client@3d-expo.ru

За последние 15 лет люди очень легко привыкли к вниманию Большого Брата и его маленьких помощников — к глазкам телекамер, которые следят за ними из каждой подворотни, к биометрической аутентификации, к открыванию сумок перед лицом охранника в кинотеатрах и прочих присутственных местах, к раздеванию в аэропортах и к компьютерным играм, которые не запускаются без постоянного доступа в интернет. Эти же люди, читая новости про Сноудена, искренне удивляются, они возмущаются, они не могут в это поверить! Каждая утечка, каждый перехват, каждое использование личной информации в чужих корыстных целях их удивляет — они от души охают, смотря новости по телевизору или читая их в Сети. Странная амбивалентность! Может быть, это что-то новенькое? Когда появилась потребность в сохранении своей privacy, в криптографии, в анонимности, в защите своего права на свободное получение информации?

Мы долго думали о том, какой должна быть первая статья в этом параноидальном-препараноидальном номере. И в итоге пришли к выводу, что самое лучшее — это просто показать тебе недалекое прошлое. Ты сам сравнишь его с настоящим, увидишь, в чем были правы и в чем ошибались айтишники того времени, и сделаешь правильные выводы. Вперед! Сядем в машину времени, установим переключатель на 1994 год, нажмем на большую красную кнопку и откинемся на спинку кресла, пока операционная система Microsoft Windows 95 устанавливается на наш компьютер…

Мы в прошлом. Шикарный Pentium 166 МГц с 16 Мб ОЗУ. Такой есть не у каждого, это новинка! К сожалению, на нем нет CD-ROM и звуковой карточки — Sound Blaster 16 стоит недешево. Зато у нас есть модем на 33,6 кбод — окно в мир FTN-сетей, BBS’ок и такого молодого и недешевого интернета. Запустим Internet Explorer 4.0 и посмотрим, что говорят люди…

1998 год

«А чтобы действительно тебя никогда не заловили хоть на 10 тысяч долларов, надо выходить не со своего телефона, а с АТС или телефонного аппарата. Не знаю, как в других странах, но в Эстонии у некоторых телефонных аппаратов сверху прямо видны телефонные линии.»

«В первую очередь надо не показывать свой IP-адрес, а если уж показывать, то неверный. Есть много предложенных способов, но пока я не видел ни одного, чтобы он действительно работал.»

1994 год (из электронного журнала Infected Voice, посвященного компьютерным вирусам)

«Почтовый адрес: КИЕВ-148, а/я 10 «Stealth» (абонентский ящик тогда считался вполне адекватной защитой, никому и в голову не приходило, что правоохранительные органы могут заняться вирусным журналом. — Прим. ред.).»

1997 год (из электронного журнала Infected Voice, посвященного компьютерным вирусам)

«У Клуба появился свой email-адрес, так что теперь Вы имеете возможность писать нам по Internet’у. Письма лучше всего шифровать PGP. Если у Вас нет пакета PGP и Вы имеете желание написать нам, сообщите нам об этой почтой или email’ом, и мы вышлем Вам этот пакет. Да, и еще — люди, когда вы получаете наши бандероли, не обращайте внимание на фамилию и имя отправителя, какими бы они ни были, и уж тем более не указывайте эти фамилии при написании на а/я 10. (Хорошим тоном для параноика тех времен считалась переписка с помощью PGP, единственно верной версии — 2.6.i for DOS с длиной ключа не менее 1024 бит (тогда это считалось хорошей длиной ключа). PGP вообще нравился параноикам того времени — им импонировало, что его запрещали к экспорту из США, а у Циммермана бывали проблемы с правительством. И это 1997 год! Многие ли сейчас используют асимметричное шифрование при переписке? — Прим. ред.)»

«Заметайте следы. Подозреваете, что кто-то следит за вами? Хотите бродить по Сети инкогнито? Это можно сделать, если начать путешествие с www.iproxy.com — бесплатной службы, которая удаляет ваш сетевой адрес из cookie-счетчиков и файлов доступа других серверов.»

«Интересуетесь, не заведено ли на вас досье? Сайт FedWorld Information Network (www.fedworld.gov) поможет вам найти информацию любого рода, включая предлагаемые для продажи правительственные документы.»

Элинор Милз, 1997 год

«Введите правило использования паролей доступа к файлам, содержащим секретную или ответственную информацию.»

Пятница, 11 сентября 1998, газета «Московский комсомолец»

«Сын известного московского композитора, музыкального теоретика, автора обработки «Времен года» Чайковского для камерного оркестра, 21-летний Илья Гэбман [NetserpNT //RUC] был задержан во вторник вместе со своими друзьями за хищение 20 тысяч долларов сразу из нескольких американских виртуальных магазинов через Интернет.»

«Найти какой-нибудь левый прокси для www достаточно легко, подобный сервис для IRC, ICQ и иже с ними встречается, мягко говоря, очень редко и для простого dialup-пользователя практически недоступен. Именно поэтому большая часть средств для атаки по IP заточена под всевозможные IRC-клиенты.»

«Оговорюсь, что мы будем исходить из предположения, что имя домена или IP-адpес пользователя в IRC подделать очень сложно и подавляющее большинство людей этим не занимаются, хотя такие методы и есть. Hа yм пpиходят два метода: IP spoofing и использование специального пpокси-сеpвеpа, способного поддеpживать IRC-пpотокол. Техника, называемая IP spoofing (обман IP), весьма сложна в применении. Хакеpские сайты пpедлагают пользователям Windows 95 с веpсией Winsock 2.0 и выше несколько пpогpамм для подобных пpоделок.»

«Microsoft Outlook Express 4.0 — все письма, котоpые вы когда-либо отпpавляли, полyчали или yдаляли, он все pавно хpанит в своей базе. Поэтомy пеpиодически pекомендyем yдалять (лyчше невосстановимыми методами, напpимеp с помощью пpогpаммы Kremlin 2.1) эти файлы.

Сyществyет мнение, что такие пpогpаммы, как, напpимеp, опеpационная система Windows, способны как бы следить за всем, что пpоисходит в компьютеpе (либо сами, либо по команде из Интеpнета), и отпpавлять все собpанные данные своим pазpаботчикам (кто-то сказал Google Chrome, Chrome OS? Кто сказал, кто подумал? — Прим. ред.).»

«Hедавно был скандал, когда один известный FTP-клиент отпpавлял все вводимые имена и паpоли своим pазpаботчикам. Так что бyдьте бдительны!

Полностью защищенный компьютер — это тот, который стоит под замком в бронированной комнате в сейфе, не подключен ни к какой сети (даже электрической) и выключен.

Пpактически все ПО, экспоpтиpyемое из США (включая ПО для шифpования), имеет так называемые «люки» или «чеpные ходы».

Работает глобальная система пpослyшивания телефонных pазговоpов — СОРМ. Подpобнее см. pаздел о телефонии. Пpактически все микpосхемы и электpонные компоненты, пpоизводимые в США и дpугих западных стpанах, способны «выходить из стpоя» по команде со спyтника, а также пеpедавать нyжнyю инфоpмацию на спyтник. Пpактически вся военная техника может быть выведена из стpоя командой со спyтника.»

1996 год

«Компании обязаны обеспечить спец-слyжбам возможность контpоля любых пеpедаваемых данных, в частности — сообщений, посылаемых по электpонной почте. Так же как и в слyчае с сотовыми и пейджинговыми фиpмами (см. «ДП» № 43/96), пpовайдеpы обязаны за свой счет создать такие возможности и предоставить Федеpальной слyжбе безопасности соответствyющyю аппа-pатypy для пеpехвата инфо-pмации.

Remailer’ов в сети много, некотоpые из них позволяют yказывать фиктивный адpес отпpавителя, большинство же пpямо yказывают в заголовке, что сообщение анонимно. Вы можете воспользоваться pимейлеpом, послав сообщение по адpесy remailer@replay.com, yказав Subject: remailer-help.

В любой аппаpатypе сотовой связи на этапе pазpаботки закладываются возможности:

• пpедставление инфоpмации о точном местоположении абонента (с точностью до метpов);
• запись и пpослyшивание pазговоpов;
• фиксация номеpов (даты, вpемени, категоpии и т. д.) вызывающей и пpинимающей вызов стоpоны;
• дистанционное включение микpофона для пpослyшивания и т. д.

Более того, в связи с тем что (для pазведывательных целей) алгоpитмы кодиpования и защиты в сотовых системах связи намеpенно ослаблены, они становятся ловкой добычей для pазного pода хакеpов и пpоходимцев.

Далеко не все пpокси-сеpвеpы являются полностью анонимными. Пpовеpьте свой пpокси на пpедмет его полной или неполной анонимности: http://www.tamos.com/bin/proxy.cgi.

Если вы полyчите сообщение Proxy server is detected! — ваш пpокси имеет «дыpy».»

1997 by Mike Smith

«Hавеpняка у вас в офисе есть мини-АТС. Пеpепpогpаммиpовать ее, чтобы звонки с данного номеpа пеpеpоучивались на ваш, — плевое дело. Осталось только запустить теpминальную пpогpамму aka BBS, в заставке указать заставку вашего пpовайдеpа ;). И юзеp ведь купится! Hа 100%. Введет и login, и password.

Windows 98, на мой взгляд, имеет принципиально новую черту. Теперь каждая отдельная копия этой операционной системы на каждом конкретном ПК в момент подключения к Интернет становится частью огромной единой глобальной операционной системы Microsoft. Самым безобидным или даже незначительным побочным эффектом является автоматическое обновление (изменение?) внутренних частей Windows 98. А главным становится то, что в момент подключения к Интернет фактически ВСЕ содержимое жесткого диска любого компьютера становится доступным Микрософт (ой вэй, так об этом нам говорили еще в прошлом веке! — Прим. ред.).

Новый Большой Брат (Microsoft) непрерывно круглосуточно сканирует содержимое жестких дисков десятков или даже сотен миллионов компьютеров по всему миру (и ваш домашний ПК тоже, если у вас установлена Windows 98) через Интернет, извлекает и скачивает информацию о версии операционной системы, об аппаратуре (звуковой и видеокарте, модеме, жестком диске и т. д.) и программном обеспечении, установленном на ПК, анализирует и в случае необходимости автоматически через Интернет обновляет части операционной системы, драйверы и другое программное обеспечение.

Дело идет к тому, что на земле останется только ОДНА КОПИЯ одной глобальной сетевой распределенной операционной системы Windows! Все компьютеры по сути превратятся в «сетевые компьютеры», их работа без подключения к Интернет будет функционально сильно ограничена. Все жесткие диски всех компьютеров будут являться частью ОДНОЙ единой сетевой распределенной файловой системы под управлением одной копии одной глобальной операционной системы Windows.»

Павел Семьянов, Центр защиты информации СПбГТУ, 1996 год

«Причины наличия люков в криптосистемах очевидны: разработчик хочет иметь контроль над обрабатываемой в его системе информацией и оставляет для себя возможность расшифровывать ее, не зная ключа пользователя. Возможно также, что они используются для отладки и по какой-то причине не убираются из конечного продукта. Естественно, что это рано или поздно становится известным достаточно большому кругу лиц и ценность такой криптосистемы становится почти нулевой. Самыми известными примерами здесь являются AWARD BIOS с его универсальным паролем «AWARD_SW» и СУБД Paradox фирмы Borland International, также имеющая «суперпароли» «jIGGAe» и «nx66ppx».

Вплотную к наличию люков в реализации (очевидно, что в этом случае они используют явно нестойкие алгоритмы или хранят ключ вместе с данными) примыкают алгоритмы, дающие возможность третьему лицу читать зашифрованное сообщение, как это сделано в нашумевшем проекте CLIPPER, где третьим лицом выступает государство, всегда любящее совать нос в тайны своих граждан.

Во многих книгах по безопасности предлагается выбирать в качестве надежного пароля два осмысленных слова, разделенных некоторым знаком, например «good!password». Подсчитаем, за сколько времени в среднем будут сломаны такие пароли, если такое правило включено в набор программы-взломщика (пусть словарь 10 000 слов, разделительными знаками могут быть 10 цифр и 32 знака препинания и специальных символа, машина класса Pentium со скоростью 10 000 crypt/с) := 210 000 секунд, или всего 2,5 дня!»

Дмитрий Леонов, web@hackzone.ru

«Нежно любимая миллионами пользователей ICQ (http://www.icq.com) тоже оказалась не без греха. На странице Fyodor’s Exploit world помимо прочего приведена информация о слабостях ICQ’шного протокола, которые уже позволили создать многочисленные программы, делающие жизнь пользователя ICQ не слишком пресной. Так, например, на странице ICQ Snoofer Team предлагается опробовать программу, позволяющую слать сообщения по ICQ с чужого UIN. Snoofer существует в двух вариантах — в виде скрипта, доступного со страницы, и в виде программы, которую обещают рассылать по почте. Для его использования достаточно знать IP-адрес адресата, номер порта, на котором висит ICQ, и UIN отправителя. Инструкция прилагается.»

Организации USB Promoters Group и VESA объявили, что новый разъём USB Type-C будет поддерживать одновременную передачу данных с интерфейса DisplayPort 1.3. Другими словами, к разъёму USB 3.1 можно будет подключить устройство через DisplayPort, при этом оно даже получит питание по кабелю USB.

Кроме DisplayPort, кабель USB 3.1 может подключаться к интерфейсам HDMI, DVI и другим. Всё это делается через программное переопределение функций контактов USB Type-C (режим “Alternate Mode”).

Похоже на то, что USB 3.1 Type-C позиционирует себя в качестве некоего универсального решения, способного заменить многие другие интерфейсы.

Совсем недавно были утверждены спецификации USB Power Delivery 2.0 на специальные кабели и разъёмы Type-C, сертифицированные для передачи и данных, и энергии. Передаваемой мощности по USB 3.1 достаточно для питания большинства периферийных устройств, с одновременной передачей информации. Type-C должен передавать до 100 Вт (5А/20В). Спецификации предусматривают передачу данных в обе стороны, а подключённые по Type-C устройства смогут договариваться друг с другом о напряжении и силе тока и в момент установки соединения, и во время передачи энергии.

В этом году мы решили порадовать участников ZeroNights большим количеством хардкорных увлекательных конкурсов. Немаловажно: победителей соревнований наградят не только памятными призами, но и денежными бонусами.

Первый конкурс объявила компания Protectimus, серебряный спонсор конференции. Соревнования будут проходить в период проведения мероприятия, принять в них участие сможет любой желающий, кроме членов жюри. Цель, задания, область поиска, временные рамки и другие подробности конкурса станут известны в день открытия ZeroNights 2014.

Призовой фонд:

• 1 место — 8000$ + 1000$ на баланс в Protectimus
• 2 место — 5000$ + 500$ на баланс в Protectimus
• 3 место — 2000$ + 350$ на баланс в Protectimus

Также будут организованы следующие конкурсы с призами для победителей:

• взлом встраиваемых систем
• Stand up and Hack – мини-доклады по предварительной записи во время конференции
• HackDev – разработка и презентация своего хакерского устройства
• Классический task-base CTF
• Python Arsenal Contest

В общем, конкурсов будет так много, что мы решили организовать специальный раздел на нашем сайте, где можно будет увидеть информацию о каждом из них.

Ждите подробностей! Оставайтесь с нами и следите за новостями

Компания Apple срочно удалила с сайта обновление операционной системы iOS 8.0.1 из-за многочисленных жалоб пользователей. По иронии, апдейт выпустили для исправления имеющихся багов, в том числе бага в HealthKit, но вышло только хуже.

После установки iOS 8.0.1 на телефоне отключается дактилоскопический датчик Touch ID и пропадает сотовая связь. Судя по всему, появляются и другие нежелательные «побочные эффекты» (но уже двух перечисленных вполне достаточно, чтобы отказаться от установки обновления).

Обновление iOS 8.0.1 установлено. Сотовая связь отсутствует

Отключение сотовой связи, вероятно, связано с попыткой исправить небольшой баг iOS 8, когда во время получения SMS/MMS расходуется немного трафика. В общей сложности, iOS 8.0.1 должен был исправить 8 багов в операционной системе. Не вышло.

Жалобы пользователей см. по хэштегу #iOS8bugs.

Apple обещает выпустить апдейт iOS 8.0.2 в течение нескольких дней, в котором исправлены баги апдейта iOS 8.0.1.

Чтобы удалить глючное обновление своими силами, следует заново устанавливать iOS 8 через компьютер. Или ждать iOS 8.0.2, находясь «вне зоны доступа».