Отправляет email-рассылки с помощью сервиса Sendsay

Хakep_daily

  Все выпуски  

Несколько систем ICANN подверглись взлому *


PDA   подписка    wiki   bugtrack   статьи    видео   блог   форум   поиск    друзья   






Стэнфорд проведёт 100-летнее исследование искусственного интеллекта
2014-12-17 13:40 Denis Mirkov

Стэнфордский университет пригласил ведущих исследователей для начала 100-летнего проекта по изучению влияния ИИ на общество и все аспекты жизни людей. Проект под названием One Hundred Year Study on Artificial Intelligence (AI100) — идея учёного Эрика Хорвица (Eric Horvitz), который занимает должность управляющего директора Microsoft Research и является выпускником Стэнфорда.

Хорвиц уже собирал академическую общественность для обсуждения перспектив ИИ. Как бывший президент Ассоциации по улучшению искусственного интеллекта, он организовал конференцию в 2009 году.

Теперь Хорвиц вместе с профессором по биоинженерии и компьютерным наукам Рассом Альтманом (Russ Altman) сформировал комитет, который будет координировать проведение отдельных исследований по влиянию ИИ на автоматизацию производства, национальную безопасность, психологию, этику, юриспруденцию, защиту информации и другие области. К инициаторам присоединилось пятеро ведущих профессоров Стэнфорда, Гарварда и других университетов. Таким образом, в комитет входит семь человек.

В программной статье Хорвиц объясняет причины запуска программы AI100 и рассказывает о направлениях исследований. Среди них называются технические тренды и возможные неожиданности, ключевые преимущества использования ИИ, вопросы приватности в эпоху разумных компьютеров, демократия и свобода, применение ИИ в военных действиях, использование ИИ преступниками, нейроинтерфейсы и стратегия действий в случае потери контроля над ИИ.

«Мы рады запустить проект столетних наблюдений и анализа влияния искусственного интеллекта на человека и общество, — сказал Хорвиц. — Надеемся, что такой долговременный проект с расширенной памятью обеспечит важные инсайты и рекомендации для следующего столетия и дальше».

Деятельность AI100 будет финансироваться из средств Эрика Хоровица и других спонсоров.



Поддержка форматов ODF в Google Drive
2014-12-17 15:00 Denis Mirkov

На прошлой неделе представитель Google рассказывал на конференции в Лондоне, что поддержку свободных форматов ODF (OpenDocument Format) на Google Drive реализуют в следующем году, но разработчики внезапно реализовали такую поддержку прямо с сегодняшнего дня.

Теперь онлайновый редактор допускает импорт текстовых документов .odt, электронных таблиц .ods и презентаций .odp. Исходный файл при этом не изменяется и остается доступным на Google Drive. Копия файла в формате Google появится в разделе «Мой диск».

«Чтобы редактировать файлы MS Office, — сказано в справочном разделе Google, — включите режим совместимости с MS Office в браузере Chrome, на устройстве Chromebook или в мобильных приложениях «Google Документы», «Google Таблицы» и «Google Презентации». Если хотите поделиться файлом или поработать над ним вместе с кем-то, преобразуйте его в формат Google».

ODF-Import

Более того, реализованы и некоторые другие улучшения в онлайновом офисе, в том числе работа с более сложными объектами SmartArt из старых презентаций PowerPoint и расширенные опции импорта/экспорта в других форматах (например, поддержка объединённых ячеек в Word и номеров слайдов в PowerPoint).

В то же время Google Drive пока не умеет редактировать комментарии и не поддерживает историю изменений в документах ODF, но наметившийся прогресс не может не радовать. Это тем более важно, поскольку всё больше государственных служб в разных странах переходят на свободный софт и требуют обязательной поддержки открытого формата документов.

Таким образом, в настоящее время перечисленные ниже файлы можно преобразовывать в документы, таблицы и презентации Google:

  • Документы: DOC (кроме MS Office 95 и более ранних версий), DOCX, DOCM, DOT, DOTX, DOTM, HTML, TXT, RTF, ODT.
  • Таблицы: XLS (кроме MS Office 95 и более ранних версий), XLSX, XLSM, XLT, XLTX, XLTM, ODS, CSV, TSV, TXT, TAB.
  • Презентации: PPT (кроме MS Office 95 и более ранних версий), PPTX, PPTM, PPS, PPSX, PPSM, POT, POTX, POTM, ODP.
  • Рисунки: WMF.
  • Для OCR: JPG, GIF, PNG, PDF.


Работаем в Android, не спрашивая разрешения
2014-12-17 16:20 Denis Mirkov

Система разрешений в Android реализована не очень удобно. Обычно приложению требуется сделать что-то незначительное и тривиальное (например, один раз заполнить поля формы), но в реальности приложение получает разрешение на доступ ко всем контактам навсегда. Например, плееру VLC нужно останавливать музыку при поступлении входящего звонка. Ничего не поделаешь, но для этого приходится запрашивать полный доступ к состоянию телефона (READ_PHONE_STATE), а это номер телефона, серийник, информация о вызовах.

В таких условиях можно понять, почему пользователи относятся подозрительно ко всем этим разрешениям. Мол, а зачем программа требует доступ ко всем моим контактам? Особенно в тех случаях, когда исходный код недоступен, у человека нет гарантии, что программа не попытается выгрузить его контакты на удалённый сервер (такое уже случалось).

Даже если программа объясняет, зачем ей нужно то или иное разрешение (заполнить форму), люди преисполнены недоверием.

Чтобы избежать подобных проблем, разработчик Дэн Лью (Dan Lew) рекомендует несколько способов, как реализовать некоторые функции под Android, не спрашивая разрешения.

Например, нужно инициировать голосовой звонок с телефона. Обычно это делают с помощью метода android.permission.CALL_PHONE.

Intent intent = new Intent(Intent.ACTION_CALL);
intent.setData(Uri.parse("1234567890"))
startActivity(intent);

Для android.permission.CALL_PHONE требуется разрешение пользователя на совершение звонков. Такое разрешение даёт возможность впоследствии звонить на любой номер в любое время незаметно от владельца.

Более правильный метод следующий:

Intent intent = new Intent(Intent.ACTION_DIAL);
intent.setData(Uri.parse("1234567890"))
startActivity(intent);

Красота такого решения в том, что никакого разрешения не нужно. На экране сразу возникает программа-номеронабиратель с заполненным полем номера. Человеку остаётся только нажать кнопку вызова.

Ещё один пример — доступ к списку контактов. Для этого тоже необязательно получать разрешение, а можно воспользоваться помощью другого приложения, у которого такое разрешение уже есть (метод ACTION_PICK).

Intent intent = new Intent(Intent.ACTION_PICK);
intent.setType(StructuredPostal.CONTENT_TYPE);
startActivityForResult(intent, 1);

Такой же трюк проходит со списком телефонных номеров, текстовыми сообщениями и т.д.

Отказ от запроса разрешений имеет ряд преимуществ, говорит Дэн Лью. Повышается удобство работы пользователя, он больше доверяет вашему приложению. Правда, возникают некоторые риски для безопасности, но мы ведь не будем эксплуатировать эти баги, правда?



Робот-гуманоид DyRoS, напечатанный на 3D-принтере
2014-12-17 18:00 Denis Mirkov

Корейский научно-исследовательский центр The Digital Human разработал дизайн робота-гуманоида (точнее, нижней части гуманоида), который умеет ходить и танцевать. Детали нижних конечностей напечатаны на 3D-принтере, а макеты выложены в открытый доступ.

Презентация робота DyRoS состоялась на международной конференции Humanoids 2014.

Разработчики сделали особый упор на эстетическую составляющую. Этот аспект они раскрывают в опубликованной научной работе «Эстетический дизайн и разработка робота-гуманоида на ногах» (“Aesthetic Design and Development of Humanoid Legged Robot”). Смысл в том, что роботы будущего должны удовлетворять требованиям, которые предъявляют к ним люди. Не только функциональным требованиям, но и эстетическим. Проще говоря, они должны быть приятными на вид.

003

Схема механизма, а также макеты деталей для распечатки опубликованы в онлайне. Разработчики утверждают, что пропорции ног робота примерно соответствуют пропорциям ног средней корейской женщины (хотя в это непросто поверить). Конструкция аппарата рудиментарным образом повторяет человеческую анатомию, если не учитывать размещение моторов.

004

Робот состоит из небольшого количества деталей и креплений между ними. Предусмотрен простой доступ к управляющей электронике, которая находится в верхней части конструкции. Экспериментальная модель работает на компьютере с процессором Intel I7-630M и 4 ГБ оперативной памяти DDR3.

Раскраска робота в чёрно-красные цвета осуществлялась в программе 3D Studio Max.



Исходники Facebook в открытом доступе
2014-12-17 19:54 Denis Mirkov

Судя по всему, программисты Facebook очень любят пользоваться Pastebin в повседневной работе. Один из пользователей по имени Натан Малкольм (Nathan Malcolm) совершенно случайно при поиске технической информации в Google нашёл множество листингов с кодом, который предполагалось держать в секрете.

Из найденных случайно фрагментов — вывод командной строки с никами разработчиков Facebook, названиями служебных серверов, структурой директорий на служебных серверах, где лежат рабочие библиотеки. Дальнейший целенаправленный поиск дал ещё больше интересных результатов. Служебные логи Facebook показывают, какие программы разработчики используют для юнит-тестов (PHP Unit), какие у них системы контроля версий (Git, а также эксперименты с Mercurial).

Нашёлся и исходный код. Например, фрагмент файла flib/core/db/queryf.php.

Index: flib/core/db/queryf.php
===================================================================
--- flib/core/db/queryf.php
+++ flib/core/db/queryf.php
@@ -1104,11 +1104,12 @@
  *  @author rmcelroy
  */
 function mysql_query_all($sql, $ok_sql, $conn, $params) {
+  FBTraceDB::rqsend($ok_sql);
   switch (SQLQueryType::parse($sql)) {
     case SQLQueryType::READ:
       $t_start = microtime(true);
       $result = mysql_query_read($ok_sql, $conn);
       $t_end = microtime(true);
       $t_delta = $t_end - $t_start;
       if ($t_delta > ProfilingThresholds::$queryReadDuration) {
         ProfilingThresholds::recordDurationError('mysql.queryReadDuration',

Это далеко не единственный фрагмент, найденный на Pastebin. Упорный Натан Малкольм нашёл даже пароль, предположительно принадлежащий Марку Цукербергу.

Host: 10.21.209.92 (Private IP)
Database Name: insights
User: mark
Password: e5p0nd4

Почему Цукербергу? Дело в том, что в юности он был членом еврейского братства Alpha Epsilon Pi, на их гербе был изображён девиз “ESPONDA”. Впрочем, это может быть какой-то другой Марк из еврейского братства, мало ли таких.

Все найденные фрагменты кода можно скачать по ссылке facebook_source_code.zip (пароль: sintheticlabs.com).

По мнению экспертов, утечка фрагментов исходного кода несёт определённый риск для безопасности Facebook, поскольку в этом коде могут быть ошибки, которые злоумышленник захочет использовать. С другой стороны, это хороший шанс для нормальных хакеров найти баги и получить заслуженное вознаграждение, сообщив в Facebook.



USB Armory: «боевой» компьютер на флэшке
2014-12-17 21:20 Denis Mirkov

На сайте CrowdSupply продолжается сбор средств на мини-компьютер USB Armory в крошечном форм-факторе 65х19х6 мм. Компьютер создан специально для приложений ИБ.

USB Armory оснащён ARM-процессором Freescale i.MX53 800 МГц и оперативной памятью 512 МБ DDR3. Этого вполне достаточно для запуска Linux или другой ОС (поддерживается Android, Debian, Ubuntu, FreeBSD и др.). Питание компьютера, что очевидно, происходит по USB (<500 мА).

Специфические особенности «флэшки» — семь периферийных контактов (GPIO, UART, питание) и разъём для карты SD. Дизайн микросхемы полностью открыт, USB Armory позиционируется как open source hardware.

003

Linux загружается с флэш-карты или с помощью USB-загрузчика. Устройство эмулирует разную USB-периферию и полноценно управляется через Ethernet.

Разработчики считают, что USB Armory хорош как носитель информации с дополнительными функциями (автоматическое шифрование, сканирование на вирусы, аутентификация хоста, самоуничтожение данных), клиент OpenSSH, узел Tor, маршрутизатор с end-to-end туннелированием по VPN, электронный кошелёк, токен аутентификации, портативная платформа для пентестинга.

Сбор средств продолжится до 31 января 2015 года. Есть большая вероятность, что кампания завершится успехом: за полтора месяца до конца собран уже 51% от необходимых средств ($33 402 из $65 000).

Первые 40 компьютеров отправят покупателям сразу по окончании кампании. Остальные — примерно через 6 недель после этого. Стоимость USB Armory по предзаказу: $130 (без SD-карты).



Несколько систем ICANN подверглись взлому
2014-12-18 11:57 Denis Mirkov

Неизвестные злоумышленники сумели проникнуть в ключевые системы Корпорации по управлению доменными именами и IP-адресами (ICANN) — организации, которая управляет глобальной системой доменов. Они получили доступ к файлам с записями о конкретных доменных именах. Атака началась в ноябре этого года, а представители ICANN сообщили о ней сейчас (да и обнаружили факт проникновения не сразу).

Итак, атака началась с рассылки фишинговых писем, отправленных с поддельным обратным адресом, якобы принадлежащим ICANN (icann.org), в адрес сотрудников организации. В результате, были скомпрометированы аккаунты нескольких работников.

В начале декабря обнаружился факт, что скомпрометированные учётные данные использовались для доступа к различным системам ICANN.

  • Централизованная служба файлов корневой зоны (czds.icann.org)
    Злоумышленник получил административный доступ ко всем файлам в CZDS. Это копии файлов зоны в системе и предоставленная пользователями информация – имя, почтовый адрес, адрес электронной почты, номера факса и телефонов, имя пользователя и пароль. Несмотря на то, что пароли хранились в виде солёных хешей, ICANN на всякий случай деактивировала все пароли в CZDS. Пользователи могут запросить новый пароль через czds.icann.org. Пользователям CZDS предлагается предпринять необходимые шаги для защиты других учётных записей, в которых они использовали то же имя пользователя и/или пароль. ICANN сейчас извещает пострадавших.

  • Вики-страница GAC ICANN (gacweb.icann.org)
    Были просмотрены: открытая информация, индекс, доступный только членам комитета и профильная страница одного пользователя. Никакой другой закрытый контент не просматривался.



© Copyright Gameland

В избранное