ИБ-специалист Блажей Адамчик (Blazej Adamczyk) раскрыл информацию о найденных им ещё в мае уязвимостях роутеров D-Link, которые позволяют получить полный контроль над устройствами. «Дырявыми» оказались маршрутизаторы моделей DWR-116, DWR-111, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 и DWR-921.
Уязвимости предоставляют злоумышленникам целый комплекс методов для взлома: CVE-2018-10822, например, позволяет получить доступ к каталогам файлов через простой HTTP-запрос, CVE-2018-10824 допускает хранение паролей в открытом виде, а CVE-2018-10823 — выполнение произвольного кода.
По сообщениям Блажея, компания не спешит исправлять баги в ПО своих девайсов, хотя он уведомил её ещё полгода назад. Тем более, у 6 из 8 роутеров (кроме DWR-116 и DWR-111) вышел срок поддержки: https://tprg.ru/cDXr
Он выложил proof-of-concept всех трёх уязвимостей и записал их видеоразбор:
Уязвимости предоставляют злоумышленникам целый комплекс методов для взлома: CVE-2018-10822, например, позволяет получить доступ к каталогам файлов через простой HTTP-запрос, CVE-2018-10824 допускает хранение паролей в открытом виде, а CVE-2018-10823 — выполнение произвольного кода.
По сообщениям Блажея, компания не спешит исправлять баги в ПО своих девайсов, хотя он уведомил её ещё полгода назад. Тем более, у 6 из 8 роутеров (кроме DWR-116 и DWR-111) вышел срок поддержки: https://tprg.ru/cDXr
Он выложил proof-of-concept всех трёх уязвимостей и записал их видеоразбор:
YouTube
D-Link routers - full takeover
A showcase of an attack on D-Link router using CVE-2018-10822 CVE-2018-10823 CVE-2018-10824.
Вы продвинутый сишарпист, которому просто некому показать, на что способны?
Отличный шанс подтвердить свою крутость этим непростым тестом. Это к тому же может стать первой ступенькой к получению интересной работы: https://tproger.ru/quiz/csharp-test-psb/
Отличный шанс подтвердить свою крутость этим непростым тестом. Это к тому же может стать первой ступенькой к получению интересной работы: https://tproger.ru/quiz/csharp-test-psb/
Tproger
Вы продвинутый сишарпист? Проверьте свои знания!
Знаете всё про уровни изоляции? Отлично разбираетесь в многопоточности? Понимаете, о чём идёт речь, когда слышите про композитные индексы и оптимизацию запросов?
24–25 октября в Москве пройдет профессиональный форум Say Future: Security. Ведущие ученые, изобретатели и инженеры расскажут о настоящем и будущем развитии технологий безопасности. Основные темы: антитеррор, биометрия будущего, блокчейн в безопасности, видеонаблюдение, экипировка и не только: https://tproger.ru/events/forum-say-future-security/
Tproger
24–25 октября, Москва: форум Say Future: Security
На Say Future: Security ведущие ученые, изобретатели и инженеры расскажут о настоящем и будущем развитии технологий безопасности.
Объединённая команда исследователей доказала превосходство квантовых компьютеров на примере задачи Бернштейна – Вазирани . Для этого квантовому компьютеру потребуется меньшая глубина вычислений, чем обычному.
О чём это говорит? Учёные не хотят делать громких заявлений. Но они считают, что использование квантовых компьютеров станет эффективным в ближайшие десять лет.
Подробнее: https://tproger.ru/news/quantum-supremacy-over-pc/
О чём это говорит? Учёные не хотят делать громких заявлений. Но они считают, что использование квантовых компьютеров станет эффективным в ближайшие десять лет.
Подробнее: https://tproger.ru/news/quantum-supremacy-over-pc/
Tproger
Опубликованы доказательства превосходства квантовых компьютеров над обычными
Квантовый компьютер с фиксированной низкой глубиной вычислений эффективнее решит задачи, для которых обычному компьютеру требуется большая глубина.
Atlassian представила обновлённый Jira Software. Разработчики пересмотрели бэкенд-составляющую и пользовательский интерфейс. Также они выпустили мобильное приложение Jira Cloud mobile для iOS и Android.
Что изменилось? В переработанную версию Jira разработчики добавили интеграцию с популярными сервсисами, такими как GitHub, Slack и Gmail. Новый инструмент Roadmap позволяет спланировать и организовать работу больших команд. Также в новой версии появилась возможность создать обособленную от других проектов рабочую среду и настроить её интерфейс, расширены возможности работы с agile-компонентами.
Подробнее: https://tproger.ru/news/jira-software-transformation/
Что изменилось? В переработанную версию Jira разработчики добавили интеграцию с популярными сервсисами, такими как GitHub, Slack и Gmail. Новый инструмент Roadmap позволяет спланировать и организовать работу больших команд. Также в новой версии появилась возможность создать обособленную от других проектов рабочую среду и настроить её интерфейс, расширены возможности работы с agile-компонентами.
Подробнее: https://tproger.ru/news/jira-software-transformation/
Tproger
Atlassian выпустила полностью переработанный Jira Software
Разработчики добавили в Jira «плиточный» интерфейс, новые agile-инструменты и интеграции с популярными сервисами, а также выпустили мобильное приложение.
Специалист по безопасности Ларри Кэшдоллар обнаружил, что в модуле загрузки jQuery File Upload есть уязвимость, позволяющая загружать на сервер любые данные. Она существует с 2010 года, а эксплуатируется с 2015.
Чем опасна брешь? Уязвимость позволяет загружать на сервер любой скрипт, что позволит получить полный контроль над данными. Проблема касается jQuery File Upload до версии 9.22.1 и Apache Web Server 2.3.9. Ошибка кроется в особенностях веб-сервера, который может игнорировать настройки в файле .htaccess.
Подробнее: https://tproger.ru/news/vulnerability-in-jquery/
Чем опасна брешь? Уязвимость позволяет загружать на сервер любой скрипт, что позволит получить полный контроль над данными. Проблема касается jQuery File Upload до версии 9.22.1 и Apache Web Server 2.3.9. Ошибка кроется в особенностях веб-сервера, который может игнорировать настройки в файле .htaccess.
Подробнее: https://tproger.ru/news/vulnerability-in-jquery/
Tproger
Уязвимость в jQuery поставила серверы под угрозу
Брешь в модуле загрузки файлов jQuery File Upload позволяла загружать на сервер любые данные, в том числе вредоносные скрипты.
Японские учёные из Киотского университета и Университета электросвязи совместно разработали робота-змею и научили его взбираться по лестницам.
Алгоритм, основанный на переключении сервоприводов для совершения простых движений, позволяет роботу добраться до конца лестницы, перелезть через неё и спуститься. На текущий момент это единственное, что умеет робот.
Учёные не конкретизируют цель создания робота-змеи, но на практике он может использоваться для проникновения в труднодоступные места, куда не смогут попасть люди, собаки и другие роботы: https://tprg.ru/qxsN
Алгоритм, основанный на переключении сервоприводов для совершения простых движений, позволяет роботу добраться до конца лестницы, перелезть через неё и спуститься. На текущий момент это единственное, что умеет робот.
Учёные не конкретизируют цель создания робота-змеи, но на практике он может использоваться для проникновения в труднодоступные места, куда не смогут попасть люди, собаки и другие роботы: https://tprg.ru/qxsN
YouTube
Ladder Climbing with the Snake Robot
ImPACT タフ・ロボティクス・チャレンジ 第五回フィールド公開評価会にて発表.
ヘビ型ロボットによるはしご昇降の実現は世界初.
- 京都大学メカトロニクス研究室(松野研究室)
http://www.mechatronics.me.kyoto-u.ac.jp/
- 松野研におけるヘビ型ロボットの研究
http://www.mechatronics.me.kyoto-u.ac.jp/modules/kenkyu/index.php?content_id=27
ヘビ型ロボットによるはしご昇降の実現は世界初.
- 京都大学メカトロニクス研究室(松野研究室)
http://www.mechatronics.me.kyoto-u.ac.jp/
- 松野研におけるヘビ型ロボットの研究
http://www.mechatronics.me.kyoto-u.ac.jp/modules/kenkyu/index.php?content_id=27
«ВКонтакте» проводит онлайн-конкурс для Android- и iOS-разработчиков VK Mobile Challenge. На первом этапе соревнования участникам предстоит пройти онлайн-тест на знание платформы Android или iOS и решить несколько задач. Задания доступны до 28 октября включительно: https://tproger.ru/events/vk-mobile-challenge-2018/
Лучшие участники пройдут на второй этап, где они будут решать продуктовую задачу, рассчитанную на несколько дней.
Фонд конкурса составит от 1 до 2 млн рублей, а лучшие из лучших получат оффер в команду «ВКонтакте».
Лучшие участники пройдут на второй этап, где они будут решать продуктовую задачу, рассчитанную на несколько дней.
Фонд конкурса составит от 1 до 2 млн рублей, а лучшие из лучших получат оффер в команду «ВКонтакте».
Tproger
11−28 октября, онлайн: конкурс VK Mobile Challenge
На первом этапе VK Mobile Challenge участникам предстоит пройти онлайн-тест на знание платформы Android или iOS и решить несколько задач.
Алексей, русскоязычный системный администратор, взламывал роутеры MikroTik и добавлял правила брандмауэра, которые блокировали доступ к нему за пределами локальной сети. При этом он оставлял администраторам устройств пасхалку в комментариях — свои контакты.
Зачем он это делал? Таким образом молодой человек устранял уязвимость нулевого дня CVE-2018-14847, которая дает возможность обойти аутентификацию и запустить вредоносный код. Алексей сообщил, что ему удалось защитить около 100 тысяч устройств.
Подробнее: https://tproger.ru/news/mikrotik-bug/
Зачем он это делал? Таким образом молодой человек устранял уязвимость нулевого дня CVE-2018-14847, которая дает возможность обойти аутентификацию и запустить вредоносный код. Алексей сообщил, что ему удалось защитить около 100 тысяч устройств.
Подробнее: https://tproger.ru/news/mikrotik-bug/
Tproger
Системный администратор взломал роутеры MikroTik для их защиты
Он менял в настройках правила брандмауэра, чтобы заблокировать доступ к устройству за пределами локальной сети и защитить от уязвимости CVE-2018-14847.
В свободном доступе появилась одиннадцатая версия СУБД PostgreSQL. Система нацелена на обработку больших объёмов информации. Разработчики заявляют, что смогли серьёзно увеличить производительность.
Что изменилось? В PostgreSQL появилась функция JIT — компилирование выражений в запросах в реальном времени. Добавлен новый инструмент секционирования данных. Пользовательские функции получили возможность обрабатывать собственные транзакции. Также разработчики расширили возможности системы по обработке параллельных запросов.
Подробнее: https://tproger.ru/news/postgresql-11-released/
Что изменилось? В PostgreSQL появилась функция JIT — компилирование выражений в запросах в реальном времени. Добавлен новый инструмент секционирования данных. Пользовательские функции получили возможность обрабатывать собственные транзакции. Также разработчики расширили возможности системы по обработке параллельных запросов.
Подробнее: https://tproger.ru/news/postgresql-11-released/
Tproger
В свободный доступ вышла система управления базами данных PostgreSQL 11
СУБД ориентирована на работу с большими массивами данных. PostgreSQL 11 получила функцию JIT и новый способ секционирования таблиц.
Вышла очередная версия платформы Angular — под номером 7.0. Она получила поддержку TypeScript 3.1, RxJS 6.3, Node 10 и ещё горстку новых возможностей.
Что за возможности? Во-первых, подсказки при вводе CLI-команд, чтобы помочь пользователю разобраться с их работой. Во-вторых, автоматическое удаление из файла для полизаполнения перед продакшном отображения мета-данных. В-третьих, два модуля: ScrollingModule и DragDropModule. Первый в потоке скроллинга загружает и удаляет элементы, а второй отвечает за их отрисовку при перемещении методом Drag’n’Drop.
Подробнее: https://tproger.ru/news/angular-7-0-release/
Что за возможности? Во-первых, подсказки при вводе CLI-команд, чтобы помочь пользователю разобраться с их работой. Во-вторых, автоматическое удаление из файла для полизаполнения перед продакшном отображения мета-данных. В-третьих, два модуля: ScrollingModule и DragDropModule. Первый в потоке скроллинга загружает и удаляет элементы, а второй отвечает за их отрисовку при перемещении методом Drag’n’Drop.
Подробнее: https://tproger.ru/news/angular-7-0-release/
Tproger
Вышло обновление платформы Angular до версии 7.0
В Angular 7.0 появились подсказки для CLI-команд и модуль для автоматической загрузки и удаления элементов во время скроллинга.
23 октября стартует Google Code-in 2018 — ежегодный конкурс по Open Source для подростков от 13 до 17 лет со всего мира. Им предстоит в течение 7 недель решать на выбор задачи, связанные с разработкой проектов с открытым исходным кодом.
Всем участникам будут помогать представители различных Open Source организаций, поэтому принять участие могут школьники любого уровня подготовки: https://tproger.ru/events/google-code-in-2018/
Всем участникам будут помогать представители различных Open Source организаций, поэтому принять участие могут школьники любого уровня подготовки: https://tproger.ru/events/google-code-in-2018/
Tproger
23 октября − 12 декабря: конкурс Google Code-in 2018
Цель Google Code-in 2018 — вовлечь подростков со всего мира от 13 до 17 лет в разработку проектов с открытым исходным кодом.
Разработчики ОС Windows рассказали об улучшенном методе обновления прошивок и драйверов устройств. Он подразумевает автоматизацию процесса обновления.
Чем он лучше предыдущего? Метод Component Firmware Update (CFU) должен исключить пользователя из процесса. Иначе говоря, система сама определяет, нужно ли обновление, получает его через Windows Update и устанавливает. С другой стороны, такой подход может привести к неработоспособности устройства или всего ПК, а методов отката в CFU пока нет.
Подробнее: https://tproger.ru/news/cfu-drivers-update/
Чем он лучше предыдущего? Метод Component Firmware Update (CFU) должен исключить пользователя из процесса. Иначе говоря, система сама определяет, нужно ли обновление, получает его через Windows Update и устанавливает. С другой стороны, такой подход может привести к неработоспособности устройства или всего ПК, а методов отката в CFU пока нет.
Подробнее: https://tproger.ru/news/cfu-drivers-update/
Tproger
Разработчики Windows рассказали о новом механизме обновления компонентов
CFU автоматизирует обновления драйверов и внутренних прошивок устройств, чтобы исключить ошибки из-за несовместимости Windows и стороннего ПО.
В компании Checkmarx разработали атаку NFCdrip, которая использует NFC устройств для скрытого извлечения данных с расстояния десятков метров. NFCdrip работает, если в гаджете изменён режим использования бесконтактной технологии, отключены Wi-Fi, Bluetooth или GSM, либо если устройство работает в «режиме полёта».
Во время атаки применяется амплитудная манипуляция on-off keying, и меняется режим использования NFC для модуляции данных. В итоге, с помощью вредоносного ПО исследователям удалось добиться передачи данных со скоростью 10–12 бит в секунду на расстояние 2,5 метров. При передаче более чем на 10 метров сигнал слабеет и возникают ошибки, но они поддаются корректировке. Максимальное расстояние, на которое удалось распространить данные, — около 60 метров: https://tprg.ru/XQr9
Во время атаки применяется амплитудная манипуляция on-off keying, и меняется режим использования NFC для модуляции данных. В итоге, с помощью вредоносного ПО исследователям удалось добиться передачи данных со скоростью 10–12 бит в секунду на расстояние 2,5 метров. При передаче более чем на 10 метров сигнал слабеет и возникают ошибки, но они поддаются корректировке. Максимальное расстояние, на которое удалось распространить данные, — около 60 метров: https://tprg.ru/XQr9
YouTube
NFC OOB data exfiltration PoC
Private demo of a practical implementation of a NFC out-of-band data exfiltration technique.
Исследователи из Корнеллского университета провели эксперимент: предложили съесть три куска сыра людям в VR-шлемах. Они поочерёдно ели образцы в стандартной сенсорной камере, «на скамейке в парке», затем — «в коровнике Корнелла». В итоге участники эксперимента стали описывать различия во вкусах сортов, хотя все три образца были идентичными: https://tprg.ru/ecJW
Выпущена Ubuntu 18.10 Cosmic Cuttlefish. Она получила обновлённые приложения и компоненты, а также ядро Linux версии 4.18.
Что ещё изменилось? Повышена производительность отрисовки и увеличена экономия ресурсов за счёт включения сглаживания только при наличии мощного процессора. Менеджер установки приложений дистрибутива Kubuntu поддерживает пакеты Snap, а в LibreOffice изменены используемые по умолчанию фреймворки. В Ubuntu Server реализована разбивка дисков при помощи консольного интерфейса.
Подробнее: https://tproger.ru/news/ubuntu-18-10-release/
Что ещё изменилось? Повышена производительность отрисовки и увеличена экономия ресурсов за счёт включения сглаживания только при наличии мощного процессора. Менеджер установки приложений дистрибутива Kubuntu поддерживает пакеты Snap, а в LibreOffice изменены используемые по умолчанию фреймворки. В Ubuntu Server реализована разбивка дисков при помощи консольного интерфейса.
Подробнее: https://tproger.ru/news/ubuntu-18-10-release/
Tproger
Вышла Ubuntu 18.10 Cosmic Cuttlefish
Представлен дистрибутив Ubuntu 18.10, в котором разработчики доработали интерфейс и пересмотрели использование ресурсов системы.
До 24 октября открыта регистрация на всероссийский чемпионат по решению инженерных кейсов CUP MISIS CASE 2018. Приглашаются ученики старших классов школы, бакалавры и магистры. Будете решать актуальные задачи, стоящие перед технологическими компаниями: https://tproger.ru/events/cup-misis-case-2018/
Tproger
25 октября, онлайн: чемпионат CUP MISIS CASE 2018
Кейсы CUP MISIS CASE будут представлены в разных направлениях: инженерия, стратегической планирование, задачи промышленности.
В интервью изданию BuzzFeed генеральный директор Apple Тим Кук впервые высказался касательно ситуации с микрочипами-шпионами китайской компании Supermicro.
Он заявил, что в корпорации даже не слышали о жучках в серверных установках, а также намекнул Bloomberg, что «им следует извиниться и отозвать статью», назвав её провокационной и выдуманной: https://tprg.ru/Jp1e
Если вдруг конфликт Bloomberg и Apple прошёл мимо, то можно ознакомиться с нашими карточками, в которых подробно описан весь ход расследования.
Он заявил, что в корпорации даже не слышали о жучках в серверных установках, а также намекнул Bloomberg, что «им следует извиниться и отозвать статью», назвав её провокационной и выдуманной: https://tprg.ru/Jp1e
Если вдруг конфликт Bloomberg и Apple прошёл мимо, то можно ознакомиться с нашими карточками, в которых подробно описан весь ход расследования.
«Яндекс», Mail.Ru Group, oneFactor, «МегаФон» и «Тинькофф Банк» создали Ассоциацию участников рынка больших данных. Она открыта для новых членов, и вступление в организацию уже рассматривают «Газпромбанк» и «Ростелеком».
Зачем она нужна? По данным «Мегафона», выручка бизнеса от использования больших данных в ближайшие 5 лет вырастет до 0,5−1,5 % ВВП. Такое расширение потребует создания общих правил — для защиты интересов пользователей и всех участников рынка. Ассоциация сможет отстаивать позицию бизнеса при выработке законодательных норм и предоставлять экспертную оценку.
Подробнее: https://tproger.ru/news/russian-big-data-association/
Зачем она нужна? По данным «Мегафона», выручка бизнеса от использования больших данных в ближайшие 5 лет вырастет до 0,5−1,5 % ВВП. Такое расширение потребует создания общих правил — для защиты интересов пользователей и всех участников рынка. Ассоциация сможет отстаивать позицию бизнеса при выработке законодательных норм и предоставлять экспертную оценку.
Подробнее: https://tproger.ru/news/russian-big-data-association/
Tproger
В России появилась Ассоциация участников рынка больших данных
Ассоциация будет разрабатывать стратегии развития рынка больших данных и формировать этические нормы для защиты интересов пользователей.
Китайские разработчики из Университета Цинхуа создали прототип голосового помощника, который распознаёт беззвучные команды. Для этого используется свёрточная нейросеть.
Как работает помощник?
Система распознаёт движения губ пользователя и переводит их в текст. Распознанные команды могут применяться в рамках всей операционной системы или конкретных приложений. Точность распознавания, по словам специалистов, составляет 99,5 %.
Подробнее: https://tproger.ru/news/voice-assistant-china/
Как работает помощник?
Система распознаёт движения губ пользователя и переводит их в текст. Распознанные команды могут применяться в рамках всей операционной системы или конкретных приложений. Точность распознавания, по словам специалистов, составляет 99,5 %.
Подробнее: https://tproger.ru/news/voice-assistant-china/
Tproger
Голосовой помощник научили распознавать беззвучные команды
Программа использует для работы фронтальную камеру смартфона и считывает движения губ. После этого на отдельном ПК производится распознавание команд.
Сообщество Linux Foundation одобрило изменения в документе Code of Conduct, регулирующем межличностные отношения между сотрудниками. Автором основных идей стал Грег Кроа-Хартман, сопровождающий разработчик ядра Linux, который объединил отзывы своих коллег и выразил их в предложениях по изменению документа.
Что нового? Основные идеи по улучшению кодекса — предложение по разработке документа, раскрывающего некоторые детали Code of Conduct, и введение должности посредника во внутренних конфликтах Linux, которую займёт юридический директор SFLC Миши Чоудхари. Также нововведения обязывают сотрудников при возникновении спорных ситуаций обращаться теперь к Комитету Code of Conduct, нежели к Техническому консультативному совету Linux Foundation.
Подробнее: https://tproger.ru/news/linux-coc-revision/
Что нового? Основные идеи по улучшению кодекса — предложение по разработке документа, раскрывающего некоторые детали Code of Conduct, и введение должности посредника во внутренних конфликтах Linux, которую займёт юридический директор SFLC Миши Чоудхари. Также нововведения обязывают сотрудников при возникновении спорных ситуаций обращаться теперь к Комитету Code of Conduct, нежели к Техническому консультативному совету Linux Foundation.
Подробнее: https://tproger.ru/news/linux-coc-revision/
Tproger
Изменения Code of Conduct: пояснение отдельных деталей и посредник в конфликтах ядра Linux
Code of Conduct был представлен Линусом Торвальдсом в сентябре 2018 года. Изменения «свода правил» войдут в силу не раньше выхода ядра Linux 4.19.