Владельцы поисковой системы по торрент-трекерам IsoHunt не могли оставить в беде коллег из The Torrent Bay, чьи серверы 9 декабря 2014 года пострадали от налёта шведской полиции. Хотя трекер The Torrent Bay ушёл в офлайн, но ненадолго, как многие и предполагали.
Во-первых, в интернете открылось несколько неофициальных зеркал The Torrent Bay. Одно из них — oldpiratebay.org — принадлежит самой IsoHunt. Некоторые другие зеркала показывают баннеры и заражают посетителей троянами (например, thepiratebay.cr и thepiratebay.ee), но сайт oldpiratebay.org чист.
IsoHunt не остановился на этом, и несколько дней назад выложил в открытый доступ полную копию исходного кода и файлов The Torrent Bay. С помощью этого дампа базы данных (8 млн торрентов) кто угодно может поднять на своём сервере копию оригинального The Torrent Bay и обновлять её самостоятельно. Как вариант, можно установить скрипт Pirate Bay, который будет обновлять базу из репозитория.
Одновременно код проекта Open Pirate Bay опубликовали на Github для улучшения силами сообщества.
Кстати, интересный факт: сами разработчики The Torrent Bay недавно прокомментировали закрытие сайта. Они сказали, что «если бы исходный код не был таким дерьмовым [shitty], то они бы выложили его в открытый доступ». Но всё-таки постеснялись.
Ребята из IsoHunt помогли коллегам преодолеть стеснительность.
Ещё неизвестно, стало закрытие The Torrent Bay ударом по торрент-сообществу или придало новый импульс для развития. Вполне возможно, что второй вариант больше похож на правду.
Активисты из IsoHunt называют публикацию исходного кода Open Pirate Bay «следующим этапом торрент-революции». «История торрент-сайтов, таких как The Torrent Bay и IsoHunt, показывает нам, что преступлением является не усваивать урок. Эра индивидуальных сайтов ушла».
Очень опасная и легко эксплуатируемая уязвимость обнаружена в миллионах домашних маршрутизаторов. Дыра открыта в популярных моделях маршрутизаторов ASUS, D-Link, Edimax, Huawei, TP-Link, ZTE, ZyXEL и других компаний. В общей сложности, уязвимы более 200 моделей: это как минимум 12 млн маршрутизаторов в 189 странах.
Отчёт об уязвимости опубликовали специалисты Check Point, разработчики известного файрвола ZoneAlarm. Баг CVE-2014-9222, которому присвоено персональное название Misfortune Cookie, присутствует во встроенном веб-сервере RomPager производства компании AllegroSoft, который включён в прошивки маршрутизаторов. Сканирование показало, что это самый популярный встроенный веб-сервер в интернете, а уязвимость присутствует в нём с 2002 года. По неподтверждённой информации, баг закрыли в 2005 году, но патчи и исправленная версия программы поступили далеко не всем производителям, не говоря уже о ранее выпущенных устройствах.
Из-за неправильной обработки HTTP-cookie во встроенном веб-сервере злоумышленник может довольно просто перехватить управление маршрутизатором с административными привилегиями. Для этого нужно лишь отправить на IP-адрес маршрутизатора специально сконструированный файл cookie, который изменит состояние памяти и повлияет на состояние приложения и самого устройства, сказано в отчёте Check Point. В результате, атакующий перехватывает текущую сессию с административными правами.
Особо подчёркивается, что для атаки не нужны специальные хакерские инструменты, а только современный браузер.
Хотя уязвимость присутствует с 2002 года, исследователи не считают, что бэкдор внедрён в программу умышленно.
Со времён червя Stuxnet, ломающего иранские центрифуги, не было слышно о серьёзных кибератаках на промышленное оборудование, установленное на производственных предприятиях. Хотя специалисты предупреждают об уязвимостях SCADA-систем, но в реальности такие атаки пока не привели к Армагеддону.
Впрочем, несколько дней назад пищу для размышлений предоставило Федеральное управление по информационной безопасности Германии (BSI), которое опубликовало отчёт с упоминанием любопытного случая на сталелитейном заводе.
Атакующие использовали целенаправленный фишинг и «сложные техники социальной инженерии», чтобы получить доступ к офисной сети предприятия, откуда смогли попасть в промышленную сеть. Во время фишинга рассылались письма с обратными адресами, принадлежащими корпоративному домену.
После заражения промышленного сегмента, говорят следователи, начались «контролируемые» сбои на одной из доменных печей завода, в результате чего предприятию был нанесён «серьёзный ущерб». Эксперты описали профессиональные качества хакеров как «очень продвинутые». Во время атаки были скомпрометированы разные внутренние системы завода, что говорит о хорошем знании IT-систем и одновременно знакомстве со специфичными ноу-хау в промышленном контроле и производственном процессе.
BSI считает, что хакерские атаки на промышленные объекты — вовсе не пустая угроза, так что всем следует быть готовыми к отражению таких нападений.
Компания iRobot известна как производитель роботов-пылесосов Roomba. Приятно знать, что производитель не почивает на лаврах и не боится экспериментировать. Недавно iRobot выпустила iRobot Create 2 — программируемую версию робота, и это совсем не пылесос.
IRobot Create 2 задуман как образовательная платформа для обучения робототехнике студентов инженерных специальностей. Самую первую версию выпустили в 2007 году, и с тех пор сообщество придумало много хаков для него.
Конструктор iRobot Create 2 предоставляет ещё больше возможностей для творчества. Доступ к функциям робота осуществляется через Open Interface, допустимые вызовы к которому описаны в документации. Подключение компьютера или микроконтроллера — через последовательный порт. Для управления можно использовать и обычный ПК, и микроконтроллер Arduino, и мини-компьютер Raspberry Pi.
Create 2 способен работать в полностью ручном режиме под управлением человека, в полуавтоматическом режиме (уклонение от препятствий и лестниц) или просто считывать данные с сенсоров в полностью автоматическом режиме.
Сам робот продаётся в фирменном магазине за $200. К этой цене нужно добавить Arduino ($25) или Raspberry Pi (до $40), пульт дистанционного управления, Bluetooth-передатчик и другие аксессуары, коих немало в интернет-магазине iRobot.
Кстати, в том же магазине представлены и 3D-макеты некоторых деталей (например, лоток) и запчастей для робота.
Представь, что твой фотоаппарат записывает фотографии в зашифрованном виде. Если кто-то попробует их посмотреть, то будет неприятно удивлён. На флэшке он найдёт только набор случайных байтов, для расшифровки которых необходим ключ.
Если ты нанимаешь фотографа для съёмки, то даже он не сможет сделать копию фотографий для себя. И это не глупые фантазии. Такой проект реально существует.
«Идея возникла много лет назад, и ничего не найдя на рынке я приступил к созданию собственной камеры, которая шифрует фотографии при записи, — пишет автор проекта NX Crypto Photography. — После того, как Samsung выпустила камеру NX300 и её вскоре легко рутовали, я купил одну. Это неплохая камера по разумной цене. Она работает под Linux, а система открыта компанией Samsung».
Открытость прошивки позволила сделать небольшие модификации и внедрить поддержку шифрования непосредственно в программу. Скачать модифицированную версию можно здесь. См. также руководство по установке.
В новой прошивке фотографии сохраняются с помощью открытого ключа (с кратковременным предварительным просмотром), а для расшифровки нужен закрытый ключ. У кого он есть — тот может расшифровать снимки. И это не обязательно должен быть сам фотограф.
Технология представляет определённую практическую пользу. Например, если фотографа нанимают снимать секретные/правительственные объекты и нужно быть уверенным, что он не сделает копии фотографий и их не увидят посторонние лица.
Другой вариант — фотомодель хочет сняться только при условии, что фотографии никто не получит, кроме неё. Или жена/девушка, которая соглашается фотографироваться только контролируя ключ.
Или если фотограф даёт фотоаппарат в руки другому человеку (или обезьяне) и хочет сохранить контроль над снимками.
Бюро охраны авторских прав США решило, что владелец фотоаппарата не имеет прав на автопортрет макаки из Индонезии, которая нашла камеру в лесу
Разумеется, есть ещё один распространённый сценарий — ты защищаешь себя от утечки потенциально чувствительных данных в случае потери фотоаппарата. К тому же, это дополнительная защита от правоохранительных органов, которые не смогут тебя обвинить в фотосъёмке режимных объектов (как вариант, они могут хранить у себя ключ — и предварительно просмотреть снимки перед разрешением на публикацию).
Продолжаем публиковать обзоры open source проектов, наиболее популярных на сайте Github за неделю.
1. Wysihtml: свободный текстовый редактор для современного веба, сделан по стандартам HTML5 и полностью независим от каких-либо библиотек, даже jQuery. Некоторые отличительные особенности перечислены ниже.
автоматическая расстановка ссылок во время набора;
генерация валидной и семантической разметки HTML5;
возможность использовать имена классов вместо inline-стилей;
унифицированная простановка абзацев при нажатии Enter (<br> вместо <p>);
автоматический парсинг контента, который вставляется через буфер обмена из различных приложений (Word, Powerpoint, PDF, веб-страницы и т.д.);
конвертация некорректных или неизвестных html-тегов в правильные;
2. Openbay: исходный код веб-сайта The Torrent Bay, чтобы любой желающий мог поднять копию на своём сервере.
3. End-to-end: криптографическое расширение Chrome для удобного шифрования и подписи электронных писем в браузере. Разработано на основе OpenPGP и новой библиотеки для JavaScript-шифрования от специалистов Google.
4. Fake2db: генерация тестовых баз данных с фальшивой информацией.
5. Tribler: анонимное скачивание/раздача торрентов через Tor-подобную сеть анонимайзеров. Windows-приложение, Android-клиент, пробитие NAT с вероятностью более 80%.
В мае 2014 года компания Google показала первый прототип своего будущего робота-автомобиля, который она намерена пустить в коммерческое производство. Уже готов даже сборочный конвейер для производства тысяч таких машин, но сперва следует провести испытания «робомобилей» на реальных дорогах. Для этого в первоначальную конструкцию пришлось внести некоторые изменения.
В окончательную версию прототипа добавили некоторые детали, которых не должно быть в коммерческой модели. По крайней мере, Google обещала, что в машине не будет руля, педалей и зеркал заднего вида. Однако, в процессе испытания необходимо, чтобы на месте водителя сидел живой водитель, готовый взять на себя управление в случае экстренной ситуации. Поэтому эти рудименты временно добавили в конструкцию.
Двухместная машина спроектирована с расчётом на минимальную себестоимость производства. Как рассказывали в мае, на приборной панели останется только две кнопки для включения/выключения машины, а также экран навигатора.
Скорость первого прототипа ограничена 40 км/ч. Испытания показывают, что программа обеспечивает уникальную плавность разгона и торможения на уровне комфорта, который недостижим для людей-водителей. С точки зрения оборудования и программного обеспечения скромный миникар ничем не уступает престижным Toyota Prius и Lexus SUV, на которых Google раньше тестировала систему автоматического движения. Более того, здесь установлено улучшенное ПО. Например, новая система безопасности теперь выдерживает паузу в одну секунду после включения зелёного сигнала светофора, и только потом автомобиль начинает движение.
Сборка первых роботизированных автомобилей уже началась на заводе Google. Испытания продолжатся в Северной Калифорнии в следующем году.