Самое слабое место смартфонов, на мой взгляд, это их привязанность к зарядному устройству. Если простые телефоны могут работать несколько дней, а Philips Xenium — так вообще месяц, то флагманы от HTC, Samsung, да и от Apple, выдерживают, как правило, лишь один «смартфонодень».
AT&T, одна из крупнейших американских телекоммуникационных компаний, для того, чтобы сделать использование смартфонов удобнее, расставило по всему нью-йорку зарядные станции, работающие от солнечных панелей.
Спойлер: Open vSwitch версий меньше 1.11 уязвим перед атакой вида «flow flood», позволяющей злоумышленнику прервать работу сети отправкой относительно небольшого потока пакетов в адрес любой виртуальной машины. Версии 1.11 и старше проблеме не подвержены. Большинство серверов с OVS до сих пор используют OVS 1.4 или 1.9 (LTS-версии). Администраторам таких систем настоятельно рекомендуется обновить систему на более новую версию OVS.
Лирика: Прошло уже больше полутора лет с момента, когда я впервые сумел воспроизвести эту проблему. В рассылке OVS на жалобу сказали, что «в следующих версиях исправят» — и исправили, пол-года спустя. Однако, это исправление не коснулось LTS-версии, а значит, большинство систем, использующих OVS, всё так же уязвимо. Я пытался несколько раз связаться с Citrix'ом (т.к. он использует самую уязвимую версию OVS в составе Xen Server — в тот момент это был мой основной продукт для эксплуатации), но никакой внятной реакции не последовало. Сейчас у администраторов есть возможность устранить проблему малой кровью, так что я решил опубликовать описание очень простой в воспроизведении и крайне запутанной и в диагностике проблемы — проблеме «flow congestion», она же «flow flood attack», она же «странная неведомая фигня, из-за которой всё работает странно». Раньше в комментариях и в рассылках про эту проблему я уже несколько раз писал, но у меня ни разу не хватало пороху полностью описать проблему на русском языке так, чтобы суть проблемы была понятна обычному айтишнику. Исправляюсь.
Следующая строчка hping3 -i u10 virtual.machine.i.p нарушает работоспособность хоста виртуализации, где запущена виртуальная машина. И не только хоста виртуализации — любую систему, работающую на Open vSwitch версий меньше 1.11. Я делаю особый упор на версиях 1.4.3 и 1.9, потому что они являются LTS-версиями и используются чаще всего.
Более суровая версия того же вызова, на этот раз с нарушением правил пользования сетью: hping3 --flood --rand-source virtual.machine.i.p. Соотношение исходящего трафика (~10-60Мбит/с) и (потенциальной) пропускной способности интерфейса жертвы (2x10G, соотношение по доступной полосе атакующий/атакуемый порядка 1:300-1:1000) позволяет говорить именно про уязвимость, а не про традиционную DoS атаку флудом, забивающем каналы аплинков до нерабочего состояния.
Симптомы со стороны хоста виртуализации: неожиданные задержки при открытии соединений, рост потребления CPU процессом ovs-vswitchd до 100%, потеря пакетов для новых или малоактивных сессий. Если используется OVS 1.4, то процесс ovs-vswitchd не только съедает свои 100% CPU, но и начинает подъедать память и делает это со скоростью до 20 мегабайт в минуту, пока к нему не приходит добрый дедушка OOM и не проводит воспитательную беседу.
В отличие от обычных проблем с сетью, запущенные пинги с большой вероятностью «прорвутся», и как только flow с ними попадёт в ядро, ping работать будет без малейших нареканий, а вот новые соединения будет уже не установить. Это сильно затрудняет диагностику проблемы, потому что психологическое «пинги есть — сеть работает» изжить очень сложно. Если к этому добавить, что «прорвавшаяся» ssh-сессия на хост будет продолжать работать так же без особых затруднений, то убедить администратора в том, что проблема с сетью со стороны хоста будет крайне и крайне сложно. Если флуд на интерфейс превышает некоторый порог (~50-80Мб/с), то любая адекватная сетевая активность прекращается. Но коварство описанной проблемы состоит в том, что значительная деградация сервиса происходит при значительно меньших нагрузках, при которых канонические средства диагностики сети рапортуют «всё в порядке».
Пользуясь случаем хочу извиниться перед si14, который о странности с сетью у лабораторных виртуалок говорил, но не мог мне доказать их наличие, а я «видел», что у меня всё хорошо, и потребовалось больше года, пока я, наконец, не только сам заподозрил неладное, но и смог найти однозначный краш-тест.
В случае XenServer ситуация с OVS осложняется тем, что локальный management-трафик так же идёт через бридж Open vSwitch, а все бриджи обслуживаются одним процессом ovs-vswitchd, то есть счастливый администратор даже не сможет посмотреть на эти симптомы — его просто не пустят по ssh. А если пустят — то см выше, про «проблем нет». Поскольку трафик NAS/SAN так же идёт через бридж, то даже после исчезновения причин, виртуальные машины с большой вероятностью останутся в нерабочем состоянии. В этом случае симптомы проблемы — «неожиданное зависание, начавшееся с лагов и потери пакетов».
Описание уязвимости с точки зрения «production manager'а» — любой школьник с 10-50 мегабитным каналом на ADSL может положить всю ферму серверов виртуализации с десятигигабитными портами, если с них хотя бы одна виртуалка «смотрит» интерфейсом в интернет. И правила/ACL внутри виртуалки практически не помогут. Аналогичное может устроить любой пользователь любой виртуалки, даже лишённой доступа в интернет.
Привет!
Продолжая тему расширения возможностей, обязательно нужно вспомнить об использовании связи людьми со слабым зрением и слепыми. Я уверен, что они и так пользуются телефонами, но это связано с некоторыми неудобствами.
Данную проблему решила исправить компания OwnFone, которая производит с 2012 года телефоны с применением 3D-печати. Проще говоря, компания предлагает конструктор, который позволит вам за 50-60 фунтов сделать простой телефон с собственным дизайном — для ребенка, для себя, для бабушки. Или для человека, которому гораздо комфортнее будет использовать телефон со шрифтом Брайля.
Перевод статьи Ричарда Корнфорда Javascript Closures.
Замыкание
Замыкание — это выражение (обычно функция), которое может иметь свободные переменные, вместе со средой, которая привязывает эти переменные (т.е. “замыкает” это выражение).
Замыкания относятся к наиболее мощным особенностям ECMAScript (javascript), но они не могут быть применены должным образом без понимания. Несмотря на то, что их легко создать, даже случайно, их создание может иметь пагубные последствия, в частности, в некоторых относительно распространенных окружениях браузеров. Чтобы избежать случайных столкновений с недостатками и использовать преимущества замыканий, необходимо понимать их механизм. Это сильно зависит от роли цепи областей видимости в разрешении имен идентификаторов (identifier resolution) и от разрешения имен свойств в объектах.
Самое простое объяснение замыкания в том, что ECMAScript допускает вложенные функции, определения функций и функции-выражения (function expressions) внутри тел других функций. И эти вложенные функции имеют доступ ко всем локальным переменным, параметрам и функциям, находящихся внутри их внешней функции (внешних функций). Замыкание образуется, когда одна из этих вложенных функций становится доступной вне той функции, в которую она была включена, таким образом, она может быть выполнена после завершения внешней функции. В этот момент она все еще имеет доступ к локальным переменным, параметрам и внутренним декларациям функций (function declarations) своей внешней функции. Эти локальные переменные, параметры и декларации функций (изначально) имеют те же значения, которые были во время завершения внешней функции и могут взаимодействовать с внутренней функцией.
К сожалению, правильное понимание замыканий требует понимания механизмов, которые стоят за ними, и немало технических подробностей. Хотя некоторые из алгоритмов, определенных в ECMA 262, затронуты в начале последующего объяснения, большинство не могут быть опущены или просто приведены к упрощенному виду. Если вы знакомы с разрешением имен свойств объектов, то можете пропустить этот раздел, но только люди, уже знакомые с замыканиями, могут позволить себе пропустить последующие разделы и прямо сейчас перестать читать и вернуться к их использованию.
Читать полностью »
Старина Сноуден Мюллер говорил: «Верить, в наше время, нельзя никому. Порой даже, самому себе.»
Себе я не верю и пароли забываю начисто.
Онлайн-сервисам для хранения паролей не доверяю.
Есть опенсорсные программы для хранения паролей к ним доверия побольше, но лень их устанавливать, держать у себя, да и большая часть функций мне не нужна.
21 июня 2013 год исполнится год с момента принятия одного из наиболее скандальных законов, касающихся правового регулирования оборота контента в сети Интернет — Федерального закона №187-ФЗ, широко известного как «антипиратский закон». Этим законом была добавлена ст.15.2. в Федеральный закон №149-ФЗ «Об информации», которая позволила блокировать через Мосгорсуд сайты, подозреваемые в распространении пиратского контента, в качестве обеспечительных мер.
Напомню, что действие закона распространяется на ранее неведомые гражданскому законодательству объекты исключительных авторских прав, такие как «фильмы, в том числе кинофильмы, телефильмы» (ранее Гражданский кодекс содержал лишь понятие «аудиовизуального произведения»).
С момента принятия закона, многие обладатели (и представители обладателей) прав (АЗАПИ, НФМИ, BSA, НП ППП и др.) на иные объекты авторских прав, такие как музыка, литература, ПО, также настаивали о включении в закон всех объектов авторских прав, что представлялось вполне обоснованным требованием, ведь закон не может применяться выборочно в отношении лишь некоторых объектов авторских прав, дискриминируя обладателей иных прав. С этого момента в обществе начались жаркие споры по поводу расширения закона. За это время был внесен законопроект депутата Железняка, а также ряд иных версий правового регулирования оборота объектов авторских прав в сети Интернет. Общество и IT бизнес, так или иначе, высказывались против расширения закона. Ассоциация пользователей интернета и Пиратская партия России, поддерживаемые интернет пользователями критично отнеслись к большинству предложенных законодательных инициатив и запустили альтернативный проект «Время Менять Копирайт», представив совершенно иную концепцию реформы законодательства об авторском праве в цифровую эпоху.
Решение о расширении и ужесточении «антипиратского закона» на высшем уровне было отложено на неопределенный срок. И вот недавно вице-премьер РФ Игорь Шувалов поручил главе Минкомсвязи Николаю Никифорову выработать общую позицию интернет-отрасли и правительства по антипиратскому закону, и представить итоговый документ до конца мая 2014 года.
Читать полностью »
Михаил Иванов (издательство "Манн, Иванов и Фербер") нашёл возможность издать любые книжки без оглядки на авторские права — речь идёт о переработке большого текста в "саммари". Это выжимка основных мыслей большого 300-600 страниц произведения в формат: "ключевые идеи за 30 минут".
Идею подал глава Сбербанка Герман Греф:
Когда фирмы обращаются за консультацией по поводу автоматизации бизнеса в целом и внедрения CRM в частности, нередко наблюдается один и тот же симптом: нужна не инфраструктура с нуля, нужна замена другому софту. Это зачастую сложная ситуация, особенно, когда видишь, что софт стоит адекватный, хоть и старой версии, а пользоваться им не умеют или не хотят. Приходится собирать представителей клиента и с сожалением объяснять, что кнопка «Сделать всё» так и не создана, а любое ПО требует ответственной работы со стороны человека.
Читать полностью »
YouTube купит сервис трансляций видеоигр Twitch за один миллиард долларов.
Twitch (также известен как Twitch.tv) — ведущий сайт видеостриминговой платформы, где основная тема стримминга — игровое видео и стриминг киберспортивных турниров. Сайт запущен в июне 2011 года сайтом justin.tv, специально для потокового стриминга видеоигр, дабы разграничить траффик и освободить основные серверы.
Не удивительно, что Google положил на Twitch глаз.
Читать полностью »
Здравствуйте уважаемые читатели, недавно думал на тему применимости различных услуг в области ИБ и вот что получилось.
В настоящее время многие разработчики предлагают централизованные решения по контролю состояния информационной безопасности и выявлению вредоносной (хакерской) активности в информационных системах компаний и организаций следующего характера:
Подобного рода продукты имеются у Cisco (Sourcefire), Check Point, Palo Alto Networks и Symantec.
Читать полностью »
