книги хакеры / журнал хакер / 168_Optimized

СТИВЕНСИНОФСКИ ПОКИНУЛMICROSOFT

КОМПАНИЮОСТАВИЛОДИНИЗВЕТЕРАНОВ

ромкой отставкой ознаменовался

Гконец2012 года:компанию Microsoft последвадцати трехлетработы

покинул одиниз ветеранов— СтивенСинофски. На протяжении последнихлетСинофски отвечал за разработкуимаркетинг Windows, Windows Liveи Internet Explorer.Именно ему мы обязаныстабильной Windows7, именно под егошефством проходиларазработкаWindows 8 и планшета Surface.Тем удивительнее выгляделоувольнениеСинофски, случившееся совсем скоро послевыходаWindows 8,делау которой пошлидалеконетакплохо,какпредрекали многие злопыхатели.

НепосредственнопередуходомСтивенСинофскинаписалписьмо,обращенноексотрудникамMicrosoft,однакотамничегонеговорилось опричинахегоувольнения.Темвременеммногие источникиутверждали,чтопричинойпослужил конфликтбывшегоруководителяподразделенияWindowsличносглавойкомпанииСтивом Баллмеромимногимидругимичленамисовета директоров.ЯкобыСинофскиотличалсяисключительнойконфликтностьюинесговорчивостью,

врезультатечеготакинесумелстатьчастью команды.Практически«ответное»официальное письмонаписалисамСтивБаллмер,разумеется опровергнувэтислухиизаявив,что«расставаниепрошлонадружескойноте».Поверитьвэто безоговорочносложно:втомжеписьмеБаллмер непрозрачнонамекает,чтотеперьподразделе- ниеWindowsвозглавитДжулиЛарсон-Грин(ко- тораязанималасьразработкойIDEдляVisualC++,

в1997годувозглавилакомандуFrontPage),иуж она-тообладаетзамечательнымиспособностями ккоманднойигре.Почему-тотакихочетсядо- бавить«вотличиеот...».Кстати,главуподразделениятеперьбудетдва,финансовымдиректором назначилиещеоднуженщину—ТамиРеллер. Разумеется,мыникогданеузнаемвсей

правдыобэтомгромкомувольнении,нонекотораяпищадляразмышленийздесьвсеже есть.Покаодниутверждают,чтоСинофскихотел получитьбольшевластинадопределенными подразделениямиMicrosoftипрактическипоставилультиматумначальству,другиеговорят, чтоон,напротив,«воевал»совсеми,ктонеот-

носилсякподразделениюWindows,ибуквально саботировалвзаимодействиемеждуразными подразделениями.ЭтитеорииСинофскиужепоспешилопровергнутьлично,новсеещеостается одиннебольшойнюанс.Согласномножеству инсайдерскихисточников,Синофскидействительнонедолюбливалнекоторыепроекты Microsoftидажепротиводействовалим,если виделвнихугрозудляWindows.Вчастности, именноондопоследнегостаралсяпомешать компаниинаклепатьтысячиотвратительных планшетовнаWindows7.Да,ужетогдабыло

СтивенСинофски считалсяодним изнаиболеевероятныхпретендентов

накреслонынешнего CEOкорпорацииСтиваБаллмера,однако всевышлоиначе.

ясно,чтобезпланшетовнарынкеделатьнечего,

ивWindows8появиласьподдержкасенсорных экрановимногиедругиефункции,необходимыедлямобильныхустройств.Однакоитогда Синофски,кпримеру,оченькритиковалиосуждалрешениеубрать«Пуск»срабочегостола, котороеругаютсейчаспрактическивсе.Словом, похоже,что«конфликтность»бывшегоглавы подразделенияWindowsзачастуюбыланечем иным,какголосомразума,который,увы,сильно диссонировалсвыбраннымкомпаниейвектором

имнениемсоветадиректоров.

Windows RT

VivoTab RT работает под управлением операционной системы Windows 8, специально разработанной для мобильных устройств. Это значит, что интерфейс адаптирован для сенсорных экранов, а приложения поддерживают все современные технологии, вклю-

чая геолокацию, интеграцию с облачными и социальными сервисами и многое другое.

NVIDIA Tegra 3

Работу ноутбука обеспечивает популярнейший чипсет Tegra 3. Четырехъядерный процессор и мощная графическая подсистема позволят играть в современные игры с отличной графикой и комфортно работать с мультимедийным контентом. Мощная начинка также обеспечивает плавную и стабильную работу системы и любых приложений.

Файлы в облаке

Новая Windows RT изначально интегрирована с облачным сервисом SkyDrive, благодаря которому пользователь сможет легко переносить настройки и личную информацию между всеми компьютерами под управлением Windows 8. Для хранения больших объемов данных на три года предоставляется 32 гигабайта в сервисе ASUS WebStorage.

Для работы и развлечений

На планшете предустановлена предварительная версия Office 2013, что позволяет уже сейчас попробовать следующую версию среды для работы с документами, электронными таблицами и презентациями. Обновление до финальной версии для владельцев VivoTab RT будет доступно бесплатно.

ASUS VivoTab RT

8 поводов для радости

Полная

мобильность

Вес VivoTab RT составляет 535 граммов, а с клавиатурой — чуть больше килограмма. При этом благодаря дополнительной докстанции время работы от батареи составляет почти 16 часов. Кроме того, опционально VivoTab RT может оснащаться 3G-модулем, что позволяет работать в любом месте.

Любые

аксессуары

Благодаря док-станции VivoTab RT оснащен полноформатным портом USB, что позволяет использовать внешние накопители, мышки и другую периферию. Поддержка Bluetooth и NFC позволяет легко подключаться к беспроводным аксессуарам и обмениваться информацией с другими устройствами.

Медийная реальность

Планшет оснащен сразу двумя камерами. Задняя камера на 8 мегапикселей позволяет снимать видео в формате Full HD, а передняя камера отлично подойдет для видеоконференций в Skype и других мессенджерах. Для просмотра кино как нельзя кстати будет яркий IPS-экран и четыре стереодинамика с фирменной технологией

SonicMaster.

Экосистема Microsoft

Благодаря новой Windows VivoTab RT отлично взаимодействует с другими продуктами Microsoft. Если интеграция со смартфонами на Windows Phone вполне ожидаема, то куда интереснее приложение Smartglass, позволяющее управлять консолью Xbox для просмотра кино на большом экране.

САМЫЕУЯЗВИМЫЕ

ИПОПУЛЯРНЫЕSCADA-СИСТЕМЫ

АНАЛИТИКАЗАПЕРИОД2005–2012ГОДОВ

омпанияPositiveTechnologiesопубликовалалюбопытныйотчет.

КСпециалистыкомпаниипроанализировалиуязвимости,обнаружен- ныевпромышленныхSCADA-системах,однаковотчетвошлиданные

незапоследнийгод,нозапериодс2005годадоосени2012года.Чтобыоценить популярностьсамойАСУТП,аналитикиPositiveTechnologiesиспользовали статистикувакансийнасайтеhh.ru.Всвоюочередь,подсчитатьуязвимости всистемахпомоглибазыуязвимостей(ICS-CERT,NVD,Bugtraq),уведомле- нияразработчиков,сборникиэксплойтов(SAINTexploit,Metasploit,Immunity Canvas)итакдалее.

НаиболеепопулярнойоказаласькомпанияSiemensсрешениямиStep7 (более22%),WinCC(свыше18%)иPCS7(почти8%).СледомидутWonderware (InTouchHMI,более12%)иIconics(Genesis,свыше5%).ЗдесьаналитикиPositive Technologiesотмечают,чтовсписокнепопалинекоторыепопулярныеотечественныепродукты,обуязвимостяхвкоторыхничегонеизвестно,таккакони редковыводятсявовнешниесети.Вцеломпериод2005–2010годовбылтихим инасчитываллишьдевятьуязвимостей.Дальшеинтересктемеподстегнул Stuxnet,ив2011годуэтотпоказательвыросдо64,азапервыетриквартала2012 годаобнаружено98новыхдыр—больше,чемзавсеостальноевремяисследо- вания.Завесьрассматриваемыйпериоднаибольшеечислоуязвимостейбыло найденовразработкахSiemens.

ТакжеPositive Technologiesизучилиуязвимости АСУТП,открытых вобщуюсеть.

Оказалось,чтопочти третьотобщего числатакихSCADAсистемнаходится вСША(31,3%).Второе итретьеместа сбольшимотрывом

досталисьИталии (6,8%)иЮжнойКорее (6,2%).

БЕСПИЛОТНИКИ ВОПАСНОСТИ!

ПЕРЕХВАТКАРТИНКИСВОЕННЫХДРОНОВ

еспилотныелетательныеаппараты—этонетолько

БприкольныегаджетывродеAr.Drone,ноисерьезнаябоеваятехника,которуюширокоиспользуют

военныемногихстранмира.Вчастности,армияСШАуже многолетприменяетдлясвоихоперацийбеспилотники PredatorиReaper,оснащенныевидеокамерами.Интересно, чтоприэтомдронынеукомплектованыхотькаким-тообору- дованиемдляшифрованиявидеопотокаиспокойновещают «вовне»попротоколуCommonDataLink.Оданнойпроблеме известнодавно,иещевдалеком2008(!)годуонаперестала бытьтеоретической.

Тогдаиракскиеополченцынаучилисьперехватыватьвидеопотоксамериканскихдронов,используяпримитивный софтстоимостью26долларов.Пентагонтогдаклятвенно заверилобщественность,чтодырузакроют,беспилотникипереведутнадругойпротоколи,конечноже,начнут шифроватьвидео.КаквыясниливизданииDangerRoom, возинынетам.

Прошлочетырегода,иоказалось,чтотолько30–50% дроновнаданныймоментоснастилишифровальнымипе- редатчиками,другиепо-прежнему«транслируют»видео воткрытомвиде.DangerRoomсообщают,чтооснастить весьфлотшифрованием,похоже,получитсянераньше 2014года.

ЛЕГКИМДВИЖЕНИЕМРУКИ

WINDOWSПРЕВРАЩАЕТСЯ...

КАКПИРАТСКАЯ«ВОСЬМЕРКА»СТАЛАЛИЦЕНЗИОННОЙ

итуациявокругвыходаWindows8итаксложиласьнеоднозначная

C(многиевидныедеятеливысказывалисьоновойОСдостаточно резко,опросыпоказывают,чтопереходитьна«восьмерку»со-

бираетсянеслишкомбольшойпроцентпользователей,итакдалее),атут ещеподоспелановостьотом,чтопиратскуюверсиюWindows8припомощи парыпростыхманипуляцийможнопревратитьвлицензионную.

ОбнаружилиэтотбагпользователиReddit.Оказалось,чтосистемаактивацииWindows8таитвсебековарнуюошибку,благодарякоторойОСможно превратитьвлицензионную.Бесплатноипросто.СпособработаетдляWindows 8Pro,активированнойвременнымключом(вомногихслучаяхактивациясрабатываетдаженасвежейсистеме,такчтовременныйключненужен).

Чтобырегистрацияизвременнойпревратиласьвпостоянную,достаточнозагрузитьWindowsMediaCenter(WMC)ссайтаMicrosoftиустановитьпрограммунакомпьютер.Дело,похоже,втом,чтоMediaCenter долженбылвойтивчастьплатногопакета,новпоследниймоментего решилисделатьбесплатнымапгрейдомдо31января2013года.Сейчас сприложениемдаетсяключ,который(поошибке,конечно)активирует нетолькосамWMC,ноивсюсистемувцелом,притомнанеограниченное время!Замечу,чтонамоментнаписанияэтихстрокспособпо-прежнему работал.

25-значныйключссайтаMicrosoftприсылаютвписьмевтечение72часовпослеподачизаявки.

НЕОЖИДАННЫЕРЕЗУЛЬТАТЫAV-TEST

АНТИВИРЬMICROSOFT SECURITYESSENTIALSЕДИНСТВЕННЫЙНЕСУМЕЛПРОЙТИ ТЕСТНЕЗАВИСИМОГОИНСТИ- ТУТАИТ-БЕЗОПАСНОСТИ

SYMANTECПРОЗРЕВАЕТ БУДУЩЕЕ

КИБЕРБЕЗОПАСНОСТЬВ2013ГОДУ

рошедшийгодбылнесамымлегкимдлякомпании

ПSymantec—утечкиисходниковихакерскиеатаки подпортилирепутациюкомпанииинервыеесотруд-

ников.ТемнеменееSymantecостаетсясерьезнымигроком рынкаинформационнойбезопасности,поэтомупройтимимо интересногоаналитическогопрогнозакомпаниимынесмогли:).СпециалистыSymantecопросилисотништатныхинезависимыхэкспертовпобезопасности,собралимножествоидей, поработалисполученнымиданными,проведяколлективный мозговойштурм,ивитогеполучилиинтересныйпрогноз на2013год.Итак,какиетенденцииждутнасвэтомгоду?

1.Киберразборкистанутнормой.Начинаяс2013года,локальныекиберконфликтымеждугосударствами,организациямиичастнымилицамибудутигратьключевуюроль

вСети.Примерыпоследнихлетпоказали,чточерезинет можноосуществлятьэффективныйшпионаж.В2013году государства,частныекомпаниииотдельныегражданебудут использоватькибератакитакжедлядемонстрациисилы иливкачестве«послания»своимоппонентам.Крометого,

вновомгодунеуспокоятсяитакназываемыехактивисты.

2.Малварь,котораятребуетденегизапугиваетпользователей.Фальшивыеантивирусыпродолжатсвоечерное дело,ностанутдействоватьжестчеидеструктивнее—бу- дутблокироватьсистему,шифроватьфайлы,запугивать пользователейприсутствиемнамашиневирусовитакдалее. Экспертыпрогнозируют,чтов2013годуширераспростра- нитсяименно«бизнес-модель»,гдеглавнаяцель—запугать пользователяипринудитьегонемедленноотправитьденьги.

3.Мобильныезловредыстанутещепопулярнее.Только запоследниедевятьмесяцевколичествовредоносных

мобильныхприложенийвырослона210%,такчтотенденция очевидна.Многиеизразработчиковрекламныхзловредов такжеработаютподвидомлегальныхкомпаний,которые помогаютмонетизировать«бесплатные»приложенияпод Android.

4.Монетизациясоциальныхсетейпринесетновыеопасности.Пользователиизлишнедоверяютсоциальнымсетям ихраняттамперсональныеданные,тратятденьгинаигры, дарятподаркидрузьям.ВскореFacebookсобираетсяначатьочереднойэтапмонетизации,входекоторогодолжна появитьсяплатнаявозможностьдоставкиподарков. Естественно,этооткроетновыевозможностидлязлоумышленников.Платежныеданныепользователейидругаяпотенциальноопаснаяинформациябудутиспользоватьсявсоциальнойсети,чтооблегчиткражу.

5.Пользователипереходятнамобильныеустройства ивоблака,акиберпреступникитянутсязаними.Стре-

мительныйроствредоносногоПОдляAndroidв2012году говоритотом,чтокиберпреступникиследуютзатенденциямирынка.КактолькоAndroidсталпопулярен,мошенники переориентировалисьнанего.СпециалистыSymantec считают,чтоскоромобильныеустройстваиоблачные сервисыбудутприноситькиберпреступникамдоход, сравнимыйсдоходомотплатныхSMS.Возможно,хакеры найдутэффективныеспособывнедрятьсявчужиеплатежныесессиииосуществленияфродовыхтранзакций.Ктому жевпоследнеевремяпроявилисьпроблемысграмотной реализациейSSLвмобильныхприложениях.Активная эксплуатацияуязвимостейтакогородаможетначаться

в2013году.

СКАНЕР-РЕКОРДСМЕН

ЯПОНЦЫПОКАЗАЛИОДИНИЗСАМЫХБЫСТРЫХСКАНЕРОВВМИРЕ

1000страницза90минутспособеноцифроватьсканер,созданныйинженером GoogleБенджаминомСтаффином.Этодлясравнения.

нашвекпланшетовиэлектронныхкнигмыпоройне- В справедливозабываемосуществованииобыкновенных

книжек—бумажных.Аведьвопросоцифровкибумажной литературыпо-прежнемуоткрытиоченьактуален.Нет,вовсе недляпиратов,какмногиесейчасподумали,нодлябиблиотекинаучныхучреждений.Вэтомсветедетищеяпонскихученыхкажется непростокрутым,ноивесьмаполезнымагрегатом.

СканерBFS-Auto(bookflippingscanning)созданученымиТокий- скогоуниверситета(лабораторияИшикаваОку).Стоитотметить, чтоэталабораториядолгоевремяразрабатывалатехнологию сверхбыстройсъемкиобъектоввдвиженииснормальнымфокусом. Готовуютехнологиюяпонцырешилиприменитьнапрактике.BFSAutoспособеноцифровать1000страницзачетыреминуты.Тоесть егопроизводительностьравна250страницвминуту,аэтоочень иоченьвысокийпоказатель.

Сканерустроенвесьмапросто.Книгарасполагаетсянаспециальнойподставке,надкоторойустановленоустройстводляперелистываниястраниц.Лазерыформируютнаповерхностиоткрытой книгисетку,послечегосканерделаетснимок.Съемкапроизводится снесколькихракурсов,послечеговсетриотснятыекадраавтоматическиобъединяются.Этопомогаетизбежатьискажений,которые обычнопоявляютсяприобычномсканировании.

DRMISFORLULZ

СМЕШНОЙПРИМЕРСИСТЕМЫЗАЩИТЫОТКОПИРОВАНИЯ

анимательнуюисториюповедалвсвоемблогеЭшерЛенг-

Зтон,сотрудникЛиверморскойнациональнойлаборатории. Будучизаконопослушнымгражданином,Ленгтонприоб-

релвонлайн-магазиненекийфильмисобралсяприятнопровести вечерзаегопросмотром.Но,какэточастобываетсзащищенным контентом,фильмпотребовалустановкиплеераоткомпании LeapingBrain.СустановкойПОнаiPhoneуЛенгтонавозниклипроблемы,пытаясьразобратьсяскоторымионобнаружил,чтофильм лежитвскрытойпапке,ввидесамыхобычныхфайловформатаmov (проигратькоторыенеудалось).Удивившись,Ленгтонпродолжилкопатьивскорепришелквыводу,чтоплееротLeapingBrain нечтоиное,какскриптнаPython,построенныйвокругнескольких библиотекVLC.Онсовершалкакие-тодействиянадфайлом,пре- ждечемотдатьегоплееру.

Ленгтонсравнилобработанныйфайлсзашифрованным. Оказалось,что«неприступныйалгоритмшифрования»сводится ктому,чтовпервых15килобайтахфайланескольконачальных байтовкаждогокилобайтногоблокабылиXOR’нутыс«секретным ключом»,аименнострокой«RANDOM_STRING».

Ужеэтосмешно,новишенкойнатортесталочтениеразделаFAQ насайтекомпанииLeapingBrain.Производителиуверяют,чтоим «неизвестноосуществованииболеенадежнойсхемы,чемэта. WindowsMediaDRMлегкоподдаетсявзломуиработаеттолькопод Windows,тогдакакалгоритмBrainTrustотличноработаетналюбой платформеиегопрактическиневозможновзломать».

КАКВДОХНОВИТЬСЯ ТРОЛЛИНГОМВTWITTER

УДИВИТЕЛЬНАЯИСТОРИЯПИТЕРАМОЛИНЬЕ

авернякаимяПитераМолиньезнакомонашимчитателям.

ННавсякийслучайпоясниминапомним,чтоэтотбезпреувеличениялегендарныйразработчикигрпридумалBlack

&White,TheMovies,Fableимножестводругихоченьнеобычных игрушек,которымзачастуюприсущичертысимуляторабога. Кстати,Молиньеявляетсяродоначальникомэтогожанра.Успел МолиньепринятьинепосредственноеучастиевсозданииMicrosoft Kinect,поработатьвElectronicArtsиосноватьLionheadStudios.

Однако,несмотрянавсеэтибесспорныезаслуги«передобществом»,ПитерМолиньевсегдаоставалсяличностьюнеоднозначнойидовольноэксцентричной.Например,онславитсятем, чтозадолгодорелизаигрылюбитрассказатьокакой-нибудьфан- тастическойфункциональности,котораяобязательнобудетвконечномпродукте,новитоге,разумеется,ничегоподобноговигре необнаруживается.Из-заэтогоМолиньеприходилосьдесятки разизвинятьсяпередпубликой.Словом,идейуМолиньевсегда былодажеслишкоммного,иреализоватьихвсе(иреализовать правильно)удавалосьдалеконевсегда. Весной2012годаПитер Молиньенеожиданнодлявсехобъявил,чтопокидаетMicrosoft

иLionheadрадистартапа22Cans,которыйоносновалсовместно снекоторымисотрудникамиLionhead.Напомним,чтосейчаслегендарномуразработчикузапятьдесят,такчтоегорешениебросить всевыгляделодействительностранным.

Ещеболеестраннымдлямногихсталото,чтонаэтотшагМо- линьевдохновил...двойник-тролльизTwitter.Нет,этонешутка.

С2009годавTwitterпоявилсяпользователь@PeterMolydeux,которыйденьотодняпубликовалбезумныеисмешныеидеиигр.Чего тамтольконебыло!Играпропочтальонасрентгеновскимзрением. Играпровоображаемогодруга,которогонужноубедитьвреально-

Зааккаунтом@PeterMolydeux,какоказалось,скрывалсяАдамКапоне—молодой игровойдизайнер,ещевдетствеполюбившийигрыМолинье(вчастности,Theme Park).Шуточныйаккаунтоноткрыл,когдапонял,чтоемуотчаяннохочется,чтобы большеечислодевелоперовнебоялисьвзваливатьнасебянепосильныеипочти невозможныезадачи,какэтовсегдаделалПитерМолинье.

стиглавногогероя.Гонки,гдетыуправляешьнемашинами,нодорогой.Игра,гдеперсонажпритворяетсяслепымидолженнатыкатьсянаокружающиепредметы,дабыневызыватьподозрений. Мультиплеердлявосьмиигроковпроогромногоосьминога,где каждыйигрокуправляетсвоимщупальцем,ккоторомуприкрепленооружие.Настоящийпирдуха.Вскоренааккаунтподписались такиемонстры,какKotakuиGameSetWatch,шутникафоловилиуже десяткитысяччеловек,ивсегадали,ктожеонтакой.

ОдинтолькоМолиньесчиталвсеэтораздражающим,ашутника жалким. Времяшло,иМолиньезаметил,чтоначалпроникаться ксвоемудвойникусимпатией.Егоидеи,конечно,былидурацкими исмешными,новтожевремявесьмаинтересными.Становилось ясно,чтоктобынистоялзавсемэтим,онвесьмаумен.Молинье сталвосприниматьтвитыдвойникакакпосланияотсобственного молодогоальтерэго,вспомнилтовремя,когдахотелиотчаянно

стремилсясоздатьтакуюигру,какоймирникогданевиделраньше. Всеэтопривелоктому,чтовесной2012годаонрешилпопробоватьещераз:броситьвсеипопытатьсявоплотитьвжизньсвои безумныеинепохожиениначтоидеи.Такбылаоснованастудия

22Cans.Пока,кроменеоднозначногопроектаCuriosity,студия МолиньевывеланаKickstarterсимуляторбогаGodus,минимальнаясуммафинансированиякоторогосоставляет450тысячфунтов стерлингов.Сборсредствначалсявконценоября.

КОЛОНКА СТЁПЫИЛЬИНА

ПРОГИГИЕНУ РАБОТЫСКОДОМ

ГРЕХ ПРОГРАММИСТОВ

Сложно представить, сколько людей попрежнему создают папки v0001, v0002, чтобы хранить исходники разных версий своего проекта. Но я знаю точно: их много! За последний год мне не раз приходилось повторять прописные истины о том, что так делать нельзя, — пора оформить их в виде колонки. Следующие рекомендации, конечно, не пригодятся тем людям, которые профессионально

идавно занимаются разработкой, но тем, кто только начинает свой путь, их необходимо прочитать обязательно. Для примера возьму самую распространенную сегодня ситуацию — разработку веб-проекта.

Молитьсянасистемуконтроляверсий.

Чтоназывается,безвариантов.Есливрабочей папкепроектаутебягрудафайловсо100500 копийбэкапов,вкоторыхтыужеисамдавно неможешьразобраться,тонетдругогопути, какпрямосейчасначатьиспользоватьGit(ну илидругуюсистемуконтроляверсий).Чтобы прочитатьэтотмануал(bit.ly/SMm9Ol)отом, какначатьработусGit,коммититьизменения вкодеирешатьвозникшиеконфликты,уйдет минуттридцать,нопослеэтоготебеникогда непридетвголовуидеяработатьсисходниками безконтроляверсий.Работаешьнадпроектом неодин?Тогдатемболеенуженединыйрепози-

торийкода.Акакещеможносовместноработать сисходниками(апредставь,каковокрупным компаниям,гденадоднимпроектомработают сотнипрограммистов),вестипараллельнуюработунадразнымифичамиинемешатьдругдругу, еслинеиспользоватьединыйрепозиторий кода?Кстати,егоможнодержатьусебя,аможно вспециальномхостинге.ИеслинаGitHub(github. com)придетсязаплатитьзазакрытыйрепозиторий(иначевсесорцыбудутдоступныopensource),тонаBitBucket(www.bitbucket.com) можноиспользоватьбесплатноприусловии, чтоработатьснимбудетнебольшепятиюзеров. Такимобразом,помимонадежногохостинга кода,тыполучаешьещеиклассныйинструмент скучейдополнительныхфишек,которыебудут особеннополезныприкоманднойработе.

ЗабытьпроFTP.Всекогда-тоделалитак: редактировалифайлыналокальномкомпе

ипотомзагружалиихнасерверпоFTP.Ноделатьтакбольшененадо.Когдамыговорим

охудо-бедносерьезномпроекте,гдепостоянно выкатываютсякакие-тоизменения,тобыстро приходитсяпереключатьсянадругиереше- ния,—иопятьженепонимаешь,кактыжил раньшеGitилиMercurial.Посколькувеськодуже лежитврепозитории,товсе,чтонужносделать дляразвертываниякоданановомсервере,—это подключитьсяпоSSH(желательнопоключу,чтобыневводитьлогинипароль)иврабочейпапке склонироватьвсефайлыизрепозитория(проще говоря,скачатьактуальнуюверсиювсехфайлов):

$ ssh secureuser@securehost.com

$ cd public_html

$ git clone git@github.com:

secureuser/example.com.git

Далее, чтобы накатить изменения, элементарно выполняются git pull’ом (загрузить все обновления файлов из репозитория):

$ ssh secureuser@securehost.com

$ cd public_html/example.com

$ git pull origin master

И боже упаси тебя что-то вручную поправить на «боевом сервере». Должна быть железная система: любые изменения в коде должны быть обязательно занесены в репозиторий кода. Только тогда это имеет смысл.

Умноразвертывать.Естественно,малокто каждыйразвручнуюподключаетсяксерверу поSSHинакатываетизменения.Зачемэто делать,еслипроцесслегкоавтоматизируется? Впростейшемслучаеможносамомунаписать

элементарныйскрипт,которыйвыполняет подключения,переходитврабочуюпапку

ивыполняетнужныекомандыGit’а.Дополнительно,спомощьютехжескриптов,могутбыть настроеныипоправленыкакие-токонфиги (например,параметрыдлядоступакбазе данных:впростейшемслучаедомаинасервере ониразные).Впрочем,чтобынезаморачиватьсяснастройкамисамому,естьполноготовых инструментов,которыепозволяютобустроить процессразвертывания(деплоя)болеегибко и,чтоважнее,просто.МыупоминалиихвFAQ’е прошлогономера:Fabric(fabfile.org),Capistrano (capistranorb.com),Chef(www.opscode.com/ chef).ПримертакогоскриптанаFabric:

def deploy():

code_dir = '/srv/django/myproject'

with settings(warn_only=True):

if run("test -d %s" %

code_dir).failed:

run("git clone user@

vcshost:/path/to/repo/

.git %s" % code_dir)

with cd(code_dir):

run("git pull")

Прелесть в том, что процедуру деплоя при похожем подходе можно делать очень быстро и сразу на многих серверах.

Все эти бесхитростные приемы, правда

вболее навороченной форме, используются

влюбой технологической компании. На это есть банальная причина: это просто удобно. z

BitBucketпредоставляетприватныерепозитории кодабесплатно, еслиснимиработаетнеболеепяти человек

Proof-of-Concept

БИТСКВОТТИНГ:

ПРОВЕРКА ЭФФЕКТИВНОСТИ

ЧТО ЭТО ТАКОЕ

Битсквоттинг — регистрация доменных имен, которые отличаются на один бит от оригинальных. Битсквоттинг по форме похож на тайпсквоттинг, но придуман совершенно для других целей. Тайпсквоттеры рассчитывают, что пользователь опечатается при вводе URL или

не заметит отличия на один символ в ссылке. Битсквоттинг делает ставку на то, что какоенибудь из подключенных к интернету устройств случайно ошибется и изменит один нужный бит

взапросе к DNS-серверу, так что трафик пойдет вместо оригинального сайта к злоумышленнику.

Это может быть банальная ошибка как

встеке TCP/IP, так и в памяти маршрутизатора,

вбраузере и так далее, на любом этапе обработки запроса. Ошибки в RAM возникают из-за перегрева, скачков напряжения, дефектов оборудования, даже космического излучения. Например, для ПК с 4 Гб DRAM количество ошибок составляет от трех в час до трех в месяц. Можно самостоятельно посчитать, сколько сбоев происходит во всех компьютерах мира.

Например, вот бинарное представление адреса «ВКонтакте»: 01110110 01101011 00101110 01100011 01101111 01101101 (vk.com). Cуществует 16 альтернативных вариантов, каждый из которых отличается от оригинала на один бит.

На практике реально зарегистрировать мы не сможем ни один из этих доменов, так что «ВКонтакте» — один из немногих сайтов в интернете, который защищен от битсквоттерской атаки. Чего не скажешь о microsoft. com (72 варианта для битсквоттинга), amazon. com (48 вариантов) и прочих.

КТО ЭТО ПРИДУМАЛ

Выдвинул идею на конференции Black Hat в августе 2011 года хакер Артем Динабург (Artem Dinaburg).

Автор объясняет, что для такого типа атаки нужно выбирать домены CDN и рекламных сетей, контент с которых подгружается на тысячи популярных сайтов. Это такие домены, как fbcdn.net, 2mdn.net и akamai.com. Для проверки своей теории Динабург зарегистрировал 32 домена методом битсквоттинга, в том числе домены CDN и рекламных сетей. Список адресов, которые принимали участие в эксперименте: ikamai.net, aeazon.com, a-azon.com, amazgn.com, microsmft.com, micrgsoft.com, miarosoft.com, iicrosoft.com, microsnft.com, mhcrosoft.com, eicrosoft.com, mic2osoft.com, micro3oft.com, li6e.com, 0mdn.net, 2-dn.net, 2edn.net, 2ldn.net, 2mfn.net, 2mln.net, 2odn.net, 6mdn.net, fbbdn.net, fbgdn.net, gbcdn.net, fjcdn.

Количествозапросов,поступившихна32домена, зарегистрированныхметодомбитсквоттингавовремя экспериментассентября2010-гопоапрель2011года

net, dbcdn.net, roop-servers.net, doublechick. net, do5bleclick.net.

РЕЗУЛЬТАТ ЭКСПЕРИМЕНТА

Эксперимент Динабурга показывает, что смысл есть. К сайтам действительно поступали DNS-запросы и HTTP-запросы и подключались сторонние устройства. За семь с половиной месяцев с сентября 2010 года по апрель 2011 года поступило в общей сложности 52 317 запросов с 12 949 уникальными IP-адресами. Если не считать трех искусственных всплесков трафика, то в среднем запросы шли с 59 уникальных IP-адресов в день.

Артем Динабург до сих пор продолжает анализировать данные и публикует свежие результаты в блоге dinaburg.org. Недавно он выложил запись всех пакетов (PCAP), по-

ступивших в ходе эксперимента: dinaburg.org/ data/dnslogs.tar.7z. Там есть и автоматически сгенерированные краш-репорты с неправильным битом в адресе, и запросы Windows Update. Эти примеры показывают, что причиной были действительно ошибки в битах, а не неправильно введенный вручную URL.

В качестве бонуса — скрипт на Python для генерации битсквоттерских доменов: dinaburg.org/data/bitsquat.py. z

КоличествоуникальныхIP-адресов,скоторыхпоступали запросы,безучетатрехискусственныхвсплесков трафика