Ай-да-новости: дыры, где не должно, взлом на заказ и кто на чём летает?

Вот и пролетел первый месяц этого странного карантинно-самоизоляционного лета.

Полёт весьма нормальный! Мы приняли решение перестраховаться и пока остаться на удалёнке. Хоть киберпреступники не дремлют, но и мы не расслабляемся – работа отлажена. Крупных изменений в глобальной картине угроз сейчас не замечаем. А что там в мире интересного творилось за последний месяц?

0-day в «супер-безопасном» Linux Tails

В этом месяце всплыла история о том, что Facebook за очень круглую и вполне себе шестизначную сумму спонсировала создание уязвимости нулевого дня в ОС Tails (Linux, заточенный под privacy) для расследования ФБР, которые ловили какого-то местного педофила. Изначально было известно, что он «параноик» и пользуется именно этой осью.

Сначала FB включил свою мощь сопоставления аккаунтов и связал все, которыми преступник пользовался. Но вот перейти от них к реальному почтовому адресу всё равно не получалось. Утверждается, что дальше была заказана разработка эксплойта под видеоплеер. Неочевидный, но вполне логичный выбор софта, т.к. от своих жертв преступник требовал видеоролики и с большой долей вероятности включил бы их на том же компе.

Говорят, что разработчиков Tails о дыре не оповещали, а потом вдруг оказалось, что она уже и так закрыта. Сотрудники компании молчат об этом случае, как рыбы об лёд – оно и понятно, уязвимости под заказ – так себе паблисити. Остаётся надежда, что разработка была «индивидуально» под конкретного негодяя и для любого пользователя не подойдёт.

Тезис здесь следующий: любой супер-секьюрный проект на базе Линукса не гарантирует отсутствия дырок. Для этого требуется поменять принцип работы и архитектуру всей операционки. Да, это я «пользуясь случаем передаю привет» вот сюда.

Источник

Дальше: взлом — дешёво и ненадёжно…

Топ-100 (черновик-2020). Ближний Восток.

Далее будут рассказы про жарко-восточные исторические и природные причудины. Это про Ближний Восток, тот самый весьма интересный регион, где среди самых-самых интересностей историческое и археологическое преобладает над природным. Что неудивительно, поскольку Ближний Восток — это одна из колыбелей цивилизации (прошу прощения за банальность).

Ещё хочу добавить, что эта территория мною исследована недостаточно пристально, в региональном списке Топ-100 возможны косяки. Так что прошу помощи зала. Если в тексте есть ошибки и/или есть что-то добавить – не стесняйтесь, за комментарии буду очень благодарен. Но, тем не менее, начинаю =>

Pamukkale, Turkey. Памуккале, Турция.

Каскад водопадов и известковых бассейнов, горячие источники, уникальное зрелище и приятные ощущения. Сильно испорчено местным населением и толпами туристов, но всё равно впечатляет. Моих рассказов и фоток нет, блог я тогда еще не вёл (был там в 2004-м).

источник

info_ru_20 wiki_en wiki_ru map_ru_20 gmaps foto_ru_20 google flickr

Дальше: Турция, Ливан, Иордания, Израиль…

Фотоканал на Flickr

Instagram

Кибер-намедни. Часть 6.

На прошлой неделе у меня состоялась круглая дата — ровно 3 месяца практически полной самоизоляции. Пару раз в офис, по выходным на дачу к семье и шашлыки в хорошо изолированной компании не считается :). Совершенно необычное для меня состояние — никаких самолётов-аэропортов, отелей, и всяких прочих встреч и выступлений. Хотя… всё в мире относительно. Если «выйти за пределы привычного», то можно считать, что мы все вместе за три месяца преололели аж 230+ млн километров! (четверть витка вокруг Солнца). И это без учёта того факта, что Солнечная система сама вся летит куда-то по своим делам и со своей скоростью. Да и встречи-выступления тоже можно считать регулярными событиями, просто они со сцены переместились в онлайн.

И тут так совпало, что длинный исторически-ностальгический рассказ про мега-гипер-IT-выставку Цебит вывел путешествие по моему склерозу памяти на тему разнообразных интервью газетам-журналам, радио-ТВ-видео и разных прочих публичных выступлений. Оказалось, что мне и здесь есть что забавного, весёлого и необычного вытащить из архивов, отряхнуть от пыли, фотки чуть подтянуть по контрасту и яркости — да и поделиться всем этим с любопытствующей публикой.

При этом спектр событий весьма разнообразный: от выступлений на вообще практически пустую аудиторию — до переполненных залов, куда меня даже пускать не хотели по причине аншлага и отсутствия мест (но мне-то на сцену надо было!); от практически никому неизвестных местных локальных изданий — до мировых медиа с самыми громкими именами; от профессиональных лекций в специально оборудованных аудиториях — до лекции о чудесах арифметики на корабле, идущем в Антарктиду через пролив Дрейка. Всякое бывало, но начну, наверное, с самого-самого начала.

Важность и необходимость активности в медиа-пространстве мне интуитивно была понятна с самого начала, ещё с ранних 1990-х годов, когда только-только началось моё «антивирусное плавание». Старался как мог: и статьи в компьютерных журналах того времени публиковал, и со сцены на конференциях тех лет выступал. Но всё это был «детский лепет», хотелось большего, это было категорически необходимо.

Дальше: сэлфи-интервью…

Едем в Африку гулять!

А давайте немного пофантазируем на тему летних отпусков. Ведь лето жаркое наступило окончательно и бесповоротно, так почему бы не помечтать, что нет вокруг никаких биологических вирусов-пандемий, что всё идёт по заранее намеченным планам, уже скоро давно запланированный отпуск, самолёты летают и билеты на рейс не прогорели, а лететь в какое-нибудь весьма экзотическое место. Например, что бы такое выбрать… Ну, пусть — а поехали в Африку!

Но поедем «в Африку гулять» (с) не просто так, а с приключениями. Точнее — с таможней и крокодилом. И по этому поводу есть неплохая задачка =>

Задачка Африка-1. Однажды ЖЖ-блогеры собрались в Африку. Для этого им надо пройти таможню, а там две двери — за одной парадайз со слонами и пальмами, а за другой крокодил и всех съест. Двери охраняют два таможенника, каждый охраняет свою дверь. Один из них всегда говорит правду, а второй всегда врёт. Кто есть кто — непонятно. Блогеры могут задать только один вопрос и только одному таможеннику. Какой вопрос нужно задать, чтобы попасть в Африку — а не в крокодилову пасть?

Какой же вопрос нужно задать этим непонятным африканским таможенникам?

И ответы на предыдущую порцию задачек + список самых светлых голов, нашедших правильные решения.

Дальше: действительные корни при отрицательном дискриминанте…

Мухобойка, пылесос и хлорка. От нас не спрятаться!

Всем привет!

Частенько бывает так, что понятные и очевидные профессионалам истины достаточно сложно объяснить не специалистам. Но я попробую.

Вот, например, надо построить дом. И не просто какой-то типовой стандартный, а по собственным хотелкам. Для этого приглашается архитектор, который вместе с заказчиком рисует эскизы и чертежи, потом всё это просчитывается и согласовывается, появляется проектная документация, подрядчик на проведение работ, техническая инспекция следит за качеством, параллельно дизайнеры рисуют внутренние интерьеры – обычные процессы при строительстве любого объекта сложности выше чем «рай в шалаше». Многие работы уникальны, и они производятся конкретно под требования заказчика, но само строительство идёт из стандартных материалов и изделий: кирпичей, арматуры, бетона.

Так и в разработке программных продуктов.

Большое количество работ уникальны, требуют архитекторов, дизайнеров, технической документации, инженеров-программистов, часто специфических знаний и умений. Но в процессе разработки любого софта используется также огромное количество стандартных кирпичей-библиотек, выполняющих различные «повседневные» функции. Как при строительстве из типовых кирпичей можно сложить стену, забор или трубу – так и в программных продуктах модули с совершенно различным функционалом (потребительскими качествами) используют множество унифицированных библиотечных функций-кирпичей.

Так вроде должно быть понятно всем. Но при чём здесь кибербезопасность?

А вот при чём: цифровые зловреды под стать строительным дефектам. Если нанести повреждения на готовый к заселению дом – это полбеды. Поправить, отштукатурить, покрасить и плитку переложить. А вот если проблема глубоко внутри конструкции? – ага, а вот это дорого больненько. Тоже самое и с софтом. Если к нему сверху прилипнет какая-то зараза, то можно полечить-подчистить-восстановить – и все дела. Но если цифровая дрянь проникнет в библиотеки и модули, из которых собирается конечный продукт? – ай, это ой. Обнаружить такого зловреда может оказаться весьма и весьма непросто, а тем более его выковырять из рабочего бизнес-процесса.

И примеры тому есть, да и немало.

Даже в глубокой древности, во времена Виндовз-98 был похожий инцидент, когда вирус CIH пробрался в дистрибутивы компьютерных игрушек нескольких производителей – и оттуда разлетелся по всему миру. Другая подобная засада произошла годами позже, когда в где-то в 2000х появилась кибер-зараза, проникавшая в библиотеки среды программирования Delphi.

Таким образом получается, что угрозу для личных устройств и корпоративных сетей могут представлять не только «залётные» кибер-негодяи, но и те злодеи, которые случайно или намеренно умудрились пролезть в «закрома» производителя программных продуктов, которым вы пользуетесь, и внедриться в «программные запчасти», из которых потом собирается готовый продукт. Вот так бывает.

«Ах вон оно что, Михалыч!» (с).

Чтобы стало ещё понятнее, давайте спроецируем тот же сценарий на всем нам знакомый поход в обычный продуктовый магазин. Да не просто так сходить, а во времена глобального пандемического шухера, когда от злобного биологического вируса потряхивает вообще всю нашу планету.

Так вот, выглядеть это событие будет примерно вот так. Взяли сумки, руки помыли, маску с перчатками надели, однако на этом ваши меры предосторожности заканчиваются. Далее начинается ответственность продавца и производителя, каждый из которых тоже должен следовать санитарным нормам. А ведь есть ещё и грузчики, упаковщики, кладовщики, системы хранения и транспортировки продукции и так далее! – и на каждом сегменте этой цепочки кто-то может случайно (или намеренно) чихнуть на вашу условную картошку!

Тоже самое и в нашем цифровом мире.

Цепочка поставок в современных гибридных экосистемах ИТ-разработки сложнее на пару порядков, а новых кибер-зловредов мы ловим более 300 тысяч КАЖДЫЙ ДЕНЬ! – причём их сложность постепенно возрастает. Проконтролировать то, насколько «чисто помыты руки и маска с перчатками» у разработчиков каждого отдельного софтверного компонента, и насколько эффективны системы киберзащиты многочисленных поставщиков облачных услуг в каждый конкретный момент – задача невероятно сложная. Особенно если используемый продукт опенсорсный, а сборка приложения – по-модному автоматизирована и работает совсем неразборчиво, на полном доверии, «на лету».

Тут стоить помнить, что атаки на цепочки поставок – это самый что ни на есть тренд продвинутого киберзлодейства! Например, группировка ShadowPad атаковала финансовые организации через решение популярного поставщика ПО для управления серверной инфраструктурой. Другие хитрецы атакуют библиотеки открытого кода, и коллеги из индустрии напоминают, что у разработчиков «крайне мало возможностей удостовериться, что устанавливаемые ими компоненты из различных библиотек не содержат зловредного кода».

Ещё пример – атака на библиотеки контейнеров, таких как Docker Hub. С одной стороны, использование контейнеров позволяет повысить удобство и скорость развертывания приложений и сервисов. С другой, некоторые разработчики ленятся создавать собственные контейнеры и скачивают их готовые образы – а там, сюрприз-сюрприз, как в шляпе волшебника может скрываться что угодно. Кролик, например. Вот такой:

В итоге, разработчики хотят выдать «на гора» работающий продукт как можно скорее, специалисты по автоматизации разработки (devops) ратуют за использование доступных компонентов и облачных платформ на всех этапах, безопасники пьют валерьянку (ну или чего покрепче), а пользователи продукта рискуют получить не одного троянского коня, а целый табун!

Но мы же не зря здесь существуем! :) Если есть сложные задачки – мы любим их решать… и не только математические :)

И – бьют барабаны, трубят трубы, свистят свистелки и сопят сопелки, оркестр играет туш, а восторженная публика в воздух чепчики кидает и аплодирует пока те в воздухе! – мы расширяем возможности нашего продукта Kaspersky Hybrid Cloud Security.

Дальше: все довольны!…

Топ-100 (черновик-2020). Китай (и Тайвань). Часть первая.

Следующая порция рассказов будет о регионе, исключительно богатом природными красотами и волшебностями, категорически обязательными для самостоятельного изучения — это китайские просторы. Горы, озёра, пещеры и многое-многое другое. Почему эти места представлены отдельно в списке «Топ-100 самых-самых мест на планете»? Потому что количество природных и культурных уникальных красивостей здесь зашкаливает (культурные отдельно и чуть далее). Списку китайских красот и чудесностей тесно даже в отдельном китайском списке, не говоря уж об Азии :)

Что интересно, многие местные природные шедевры практически неизвестны за пределами китайских границ. Почему так получилось, не знаю. Видимо, китайцы ничего не делает для того, чтобы привлекать зарубежных туристов. Им вполне хватает сотен миллионов своих собственных путешествующих граждан. Потому некоторые весьма достойные места никак не упоминаются в википедиях, а только в рассказах случайных туристов, потрясённых увиденными пейзажами. Так что Большой Китай — это белое пятно мирового туризма, и это пятно я сейчас немного закрашу. Посему изучайте внимательно и не удивляйтесь количеству совершенно вам неизвестных мест.

Zhangye Danxia National Geological Park. Национальный парк Чжанье Данься.

Разноцветные «слоёные» холмы. Цвета поражают, особенно на рассвете и закате (рассвет свидетельствовал лично). Интересно, как они выглядят в разную погоду — под солнцем и под дождём. Это место относят к классу Данься (Danxia Landform) (будет отдельно рассмотрен в следующей части китайских топ-100-ностей), однако по форме и «полосатой» расцветке оно сильно отличается от остальных красноватых скалистых Данься-формаций.

info_ru_20 wiki_en wiki_ru map_ru_20 gmaps foto_ru_20 google flickr

Дальше: от Бадына до Елю…

Кибер-намедни. Часть 5.

Часть пятая. Переломный год: 1996.

Продолжаю летопись становления бизнеса нашей компании в далёких 90-х. Спасибо самоизоляции – появилось время освежить в памяти события и вспомнить забавные детали того интересного времени.

Предыдущие серии этого историческо-ностальгического экскурса: часть первая, вторая, третья и четвёртая.

1996 год действительно стал переломным для нашего проекта.

Во-первых, в КАМИ, где мы тогда трудились, разразился скандал между совладельцами. В результате компания раскололась на несколько независимых организаций. Под шумок, годом позже (1997) отделились и мы.

Во-вторых, мы заключили ОЕМ-контракт (original equipment manufacturer — «оригинальный производитель оборудования») с немецкой компанией G-Data на поставку им нашего движка. Контракт просуществовал аж 12 лет до 2008 года, когда мы фактически вытеснили G-Data с розничного рынка Германии… Так уж вышло, не виноваты мы! :) Немцы изначально сами на нас вышли (активно искать технологических партнеров мы тогда ещё не умели), предложили Ремизову (это всё ещё было КАМИ) сотрудничество – и на очередной выставке Цебит (о которой я подробно писал в предыдущем ностальгическом посте) был подписан контракт. Так было положено начало технологическому бизнесу компании.

За немцами последовали финны (F-Secure, тогда носившие название Data Fellows), и сейчас будет небольшое лирическое отступление о том, как именно с ними началось сотрудничество.

В августе 1995 появился первый макро-вирус, заражавший документы Word. Оказалось, что писать макро-вирусы очень просто и распространяются они с огромной скоростью среди ничего не подозревающего массового пользователя. Это привлекло внимание вирусописателей, и очень быстро макро-вирусы стали главной головной болью антивирусной индустрии. Детектировать их оказалось очень непросто, поскольку формат документов Word весьма и весьма сложен. Несколько месяцев антивирусные фирмы «шаманили» разными методами, пока в начале 1996-го компания McAfee не объявила о «правильном» разборщике формата документов Word. Это зацепило нашего коллегу Андрея Крюкова (примкнувшего к коллективу в 1995-м), и он довольно быстро сделал очень элегантное и эффективное решение. Я об этом кинул клич, и нам стали приходить предложения о покупке этой технологии. Собрав некоторое количество предложений, мы всем «забили стрелку» на очередной конференции Virus Bulletin, которая проходила в английском Брайтоне, куда мы и отправились с Крюковым осенью 1996-го.

Ни один из запланированных контактов так и не «выстрелил», однако у нас состоялся интересный разговор в шикарном президентском номере, который снимала для переговоров компания Command Software. Эта компания долгое время лицензировала движок антивируса F-Prot. В то время разработчики F-Prot несколько лет подряд не могли выпустить новый движок, и их партнёры были этим весьма недовольны и искали альтернативы. Так вот, господа из Command Software заманивали меня с Крюковым к себе в США всякими обещаниями домов, машин и зарплат – на что мы ответили, что подумаем, но пока никуда из Москвы не собираемся. Разошлись ни с чем, но нам, конечно, было очень лестно слышать их предложения и, когда мы выходили от Command Software (а выход был прямо в лобби отеля), наши довольные рожи заметили ребята из Data Fellows. Уже через пару месяцев Наталья Касперская отправилась в Хельсинки обсуждать условия сотрудничества и скоро мы подписали с ними контракт. Вот такой рикошет…

Контракт с Data Fellows был чистым технологическим рабством. По его условиям мы не имели права на разработку интернет-решений, системы администрирования корпоративных решений, чего-то там ещё, и плюс ко всему контракт был эксклюзивный – мы не имели права лицензировать наш движок никому, кроме Data Fellows (и успевшим чуть раньше G-Data). И более того – финны имели все права на наши технологии и их исходные коды. Контракт был абсолютно кабальный, однако у нас просто не было выбора – без этих денег мы бы скорее всего просто не выжили. Так что, финнов можно считать нашими инвесторами – на несколько лет вперёд это был наш основной источник доходов. Жили мы «от зарплаты до зарплаты» — от одного финского платежа до другого. Но постепенно при этом снимая ограничения по контракту. Сначала были сняты запреты на разработку продуктов, потом сняли эксклюзивность, а окончательно выбрались из финских ограничений только летом 2006 – аж почти через 10 лет с даты заключения контракта.

(Возвращаюсь к судьбоносным событиям 1996-го года) В-третьих, мы наконец-то начали разрабатывать продукт под Windows 95, который, естественно, надо было начинать делать ещё двумя годами раньше – но, пардон, один разработчик (Алексей Де-Мондерик) был занят дополировкой версии для MS-DOS. Ещё один разработчик (Андрей Тихонов) занимался решением для Novell NetWare и ещё один разработчик (Лариса Груздева) не спеша рисовала версию для Windows 3.xx. Ну просто некому было физически заниматься разработкой продукта под самую многообещающую платформу! Оглядываясь назад, такое решение кажется дикостью, но тогда всё было именно так.

Дальше: кабальный контракт, без которого не прожить…

Топ-100 (черновик-2020). Китай, часть 2. Ландшафты Данься.

Продолжаю темы китайских природных причуд. Следующие на очереди ->

Danxia landform. Ландшафты Данься.

Разноцветные горы в разных частях Китая. Фантастические, монументальные виды. Подробно эти красоты были разобраны вот здесь. Слово «Danxia» — это «латинизированное» с пиньина «dānxiá», по этой причине произносится как «Данься» (или «Данся»). Некитайским источникам про эти горы иногда практически ничего не известно. Значит, будем раскрывать китайские тайны :)

info_ru_20 wiki_en wiki_ru map_ru_20 gmaps foto_ru_20 google flickr

Дальше: от Гуйфена до Ланьшани…

Топ-100 (черновик-2020). Китай, часть 3. И многое другое.

Китай настолько богат на природные и исторические объекты, достойные списка 100 главных мировых красот и уникальностей, что пришлось разбить китайскую тему аж на четыре сегмента. Один из них на исторические темы, ещё два про уже мною осмотренные или достаточно известные места, а здесь же что-то вроде планов на будущее. Где надо побывать и что именно осмотреть персонально, поскольку о существовании этих любопытных местечек никакой подробной информации в некитайских интернетах обнаружено не было. Этакий «бонус-трек», если кому-то мало остальной китайской темы. Примерно как рис, который в Поднебесной подают в самом конце ужина перед десертом: если вы не наелись тем, что до этого на столе лежало и вниз свисало – то вот вам добить свой аппетит до полной и окончательной победы над ним. Изложение этой темы в природно-китайском исполнении выглядит вот так ->

Changbai Mountains. Плоскогорье Чанбайшань.

Достойное по красоте место на китайско-северокорейской границе. Высшая точка — вулкан Пэктусан, в кратере которого находится Небесное озеро — самое высокое кратерное озеро в мире. Не был, планирую.

Источник

info_ru_20 wiki_en wiki_ru map_ru_20 gmaps foto_ru_20 google flickr

Дальше: от Байшуитая до Лопина…

Шашлыки математике не помеха.

Всем привет!

Если кому-то и в воскресенье почему-то делать нечего, то есть и ещё задачки разной степени сложности. Вот такие, например. Сначала совсем простенькие, а потом и далее чуть сложнее. Хорошего всем воскресенья!

Задачка 1. Можно ли представить число 2021^2021 в виде суммы 2021 последовательных нечётных натуральных чисел?

Задачка 2. Какое наименьшее число n > 2020 таково, что число 

a₁⁴ + a₂⁴ + … + aₙ⁴
                             
              5

является целым при любых натуральных a, a, …, aₙ , не кратных 5? 

Задачка 3. На доске в столбик написано 2021 уравнение вида: 

*x² + *x + * = 0

Два игрока последовательно друг за другом в любом уравнении заменяют по одной произвольной звёздочке ненулевыми целыми числами. Первый игрок стремится, чтобы как можно больше этих уравнений не имело действительных корней, а второй старается ему помешать и сделать как можно больше решабельных уравнений. Сколько максимально не имеющих решений уравнений может получить первый игрок вне зависимости от игры второго?

Удачного дня/вечера/и так далее!

Да, все комментарии пока закрыты, чтобы никому не мешать получать удовольствие от процесса решения.

Ага, чего-то не хватает… Ну да — правильного ответа на предыдущую задачку про лягушку. Казалось бы, что может быть общего у лягушки, логарифмов и постоянной Эйлера? Заходите на наш Фан-клуб, вот здесь эта тема полностью раскрыта.

Самое краткое, верное и практически применимое для любой лягушки решение дал Gr Bear.