Аналітика

Аналітичні статті

Google Labeler. ШІ для ШІ версія друга.

Ось тут Штучний інтелект для штучного інтелекту на нашому сайті Сергієм Адамчуком уже піднімалося питання того, що штучний інтелект потребує не раз зовнішньої підтримки, яка приходить у формі залучення рядових користувачів Інтернету до виконання рутинно-інтелектуальних дій. Такий собі "Штучний інтелект для штучного інтелекту". У першу чергу це стосується задач розпізнавання графічних образів.
Звичайно, такий підхід вимагає мотивації користувачів. А платити ніхто не хоче. І тоді замість матеріальної мотивації використовується, скажемо так, слабкість людського духу.
Мені відомі випадки, коли такі задачі доручалися людям взамін за доступ до порно ресурсів. Тобто для входу в закриту зону сайту з порноконтентом користувач повинен був розпізнати капчу або щось подібне, яка насправді не була оригінальною капчою порносайту, а зображенням з якогось сайту, де вона була бар'єром на шляху бота. Коли користувач правильно розпізнавав капчу, бот виконував свою "чорну" справу, а користувач добирався до такого бажаного контенту.
Але виявляється, хіть не єдина людська слабкість, що дає можливість запрягти людину у таку специфічну діяльність. Азарт - ось наступна вада людини, що стала використувуватися у подібних задачах.
Проте, на цей раз, азарт користувачів використовують не якісь безіменні хакери чи бездушні боти, а, як це не дивно, сам Google. Як це відбувається і для чого? Якщо вам цікаво подивитися, то вам сюди - http://images.google.com/imagelabeler/

не довіряй нікому

Якось нещодавно довелось мені зустрітись із проблемою недовіри користувачам. Проблема є тривіальною, проте програмери роблять стільки помилок, що аж волосся випадає, при чому не тільки в мене. У даному випадку я наведу приклад від якого можна відштовхуватись і на його базі буде представлена концепція взаємодії з користувачами. А суть проста, як двері – не довіряти нікому, навіть якщо користувачем є рідна мама. Наприклад є така форма

1.form action=log.php method=GET
2.input maxlength=10 type=”input” name=”username”>Username /input
3./form

От ніби класична форма, яку завше використовують(тут ще повинні бути розставлені символи < та >, але фільтр it.ridne.net їх не пропускав, тому я їх видалив, скористайтесь фантазією і поставте їх де потрібно). Але вона містить потенційну вразливість. І полягає вона в обмеженні довжини до 10 символів(2-а стрічка). Справа в тому, що це обмеження спрацьовує на стороні клієнта, а не сервера. Це означає, що я можу : використати браузер який нехтує параметром maxlength , можу написати свій браузер який буде нехтувати цей параметр і зрештою направити наступний url :

Взлам бази даних Oracle 9i

Але перед тим як дати опис тої фігні хотілося б дати опис програм для пошуку точок входу у програму. Для застарілої Windows NT перелік засобів для перегляду реєстра і файлової системи розміщені за адресою http://www.sysinternals.com . Найбільш популярні програми це filemon та regmon. Інший тип програм це АРІ монітори. Ці програми підключаються до певних викликів АРІ і дозволяють визначити, які параметри передаються цим викликам.
Для зміни викликів функцій АРІ можна використати програму Failure Simulation Tool компанії Cigital. Програма FST працює між програмою і DLL за допомогою перезапису таблиці адрес переривань. Завдяки такому підходу видно, які функції АРІ викликаються і які параметри передаються. Програму можна використовувати для генерації рапорту про помилки в програмах. А якщо є помилки – то програма швидше ламається. Цей відступ був для загального розвитку, просто щось собі нагадалось.

Сумна статистика

Ще колись в давні часи постало питання виміру програмного забезпечення. І найкраще для цього підійшла одиниця – кількість стрічок коду. Відповідно до цього критерію ввели поняття кількості помилок на 1000 стрічок коду. Це значення повинне лежати в діапазоні від 5 до 50. Системи, що пройшли контроль якості (Quality Assurance) повинні містити не більше ніж 5 помилок на 1000 стрічок коду. Зараз програмне забезпечення тільки ускладнюється і значно зростає в об’ємі. Так наприклад, система Netscape містить 17 млн. стрічок коду, космічна станція – 40 млн., windows 95 – 5млн., windows xp – 40млн., Linux – 5млн. Для наведених систем частота помилок коливається від 5 до 50 на 1000 стрічок коду. Подивившись на цю статистику найбільш приємний той факт, що Linux потенційно стабільніший від windows xp у 8 разів.

Вразливі місця Microsoft SQL Server

При аналізі та пошуку вразливих місць у програмах використовується кілька підходів. В даному випадку я наведу найпростіший. Схема роботи буде проста як двері. Компанія Rational створила програму Purify для динамічного дослідження програмного забезпечення. Ось її і будемо використовувати. За допомогою програми Hailstorm запускаємо процес внесення помилок у SQL Server 7 і за допомогою Purify будемо відслідковувати стан програми. Враховуючи, що у даному СУБД більше помилок, ніж стрічок з програмним кодом, використаємо хоча б одну з них. Наприклад, при внесенні некоректних даних в пакет протоколу SQL Server виникає проблема затирання даних в пам’яті. Збій проходить в результаті неправильної обробки даних. SQL сервер приймає запити по 1443 порту. Для цього порту жодних специфікацій не існує. Направимо на цей порт випадкові дані( нехай це будуть згенеровані цифри) з інтенсивністю 20 пакетів в секунду. SQL Server буде сприймати ці пакети без жодних проблем. Вхідні дані обробляються різними фрагментами коду. Фактично ці фрагменти виконують читання заголовків протоколу. Через деякий час Purify вкаже на виникнення помилки і на зміну даних у пам’яті. Такого роду помилка призводить до відмови в роботі сервера. І як результат нашої роботи ми отримаємо звіт програми Heilstorm, а програма Purify вкаже на точне місце в програмному коді, де міститься помилка. Як використовувати цю помилку вже залежить не від мене. Якби мені довелось б піти іншим шляхом ( наприклад, вводяться в програму дані і досліджується фрагмент коду, що відповідає за обробку цих даних) напевне це зайняло б у мене кілька днів. Наведений метод є ефективний хіба для продуктів мікрософту, де помилка помилку поганяє. Для нормального програмного забезпечення існують складніші методи та підходи до взламування.

Moneytrackin - online сервіс для ведення фінансів

Новий сервіс, повністю у стилі Web 2.0, та ще й при цьому дуже швидко розвивається, набуваючи все новіших можливостей і стаючи все зручнішим для пересічного користувача. Однією з цікавих можливостей є не просто підтримка багатьох мов, але й можливість участі будь якого користувача у локалізації сервісу - для цього розроблено простий і зручний інструмент. Тому сервіс підтримує і українську мову. Але це все ж не основне, що дає сервіс. Сервіс успішно використовує вироблені впродовж останнього часу можливості, які дають користувачу онлайн програми у стілі Web 2.0 1. Швидкий інтерфейс з використанням AJAX

Переворот їхнього світу

Міністр освіти Російської Федерації трішки пообіцяв до першого вересня забезпечити всі школи ліцензійним ПЗ. А це становить 650 000 компутерів, з них 98% використовують піратську вінду і все що з нею пов’язано. Міністерство провело переговори з Microsoft (а також Adobe Systems, Corel Draw, Лабораторией Касперского, «Доктор Веб»” і «RarLab») для визначення пільгової ціни на програмні продукти. І як результат получилось 353 рублі на один комп’ютер в рік. Міністерству ця пропозиція підійшла. Але в гру вмішалось міністерство економіки. Перший зам запропонував перейти на Лінукс, що скоротить витрати до 150 рублів в рік. Але потрібно зробити великий одноразовий грошовий вклад для адаптації шкільних програм під цю операційку і відповідно на навчання вчителів. А причина таких дій проста як двері – фактично вся країна попаде у монопольну залежність від Майкрософт. Тепер треба почекати, чим це все закінчиться.

USB-флешки. Остерігайтеся випадкових зв'язків.

Користувачі ПК останні роки плавно змінюють у задачах оперативного обміну інформацією традиційні дискетки на usb-носії. Це зручно, просто, ефективно. Аналогія між дискетою і флешкою насправді увійшла в життя досить глибоко.
Користувачі не задумуються над однією важливою особливістю флешки. Вона містить драйвер, який встановлюється на комп'ютер користувача при першому використанні носія.
Ця особливість USB-носіїв дає шанс здійснювати певного виду атаки на компютер користувача.
Прикладом такої атаки може служити випадок, що трапився на одній з парковок Лондона, де було розкидано кілька (?) флешок, які потім виявилися носіями шкідливого коду, що дозволяв викрасти банківські коди доступу та паролі користувачів. Про кількість флешок, та про кількість необачливих користувачів, що позасували собі до комп'ютера ці носії на жаль у повідомленні за адресою http://www.theregister.co.uk/2007/04/25/usb_malware/

Аналіз методів ідентифікації особи за відбитками пальців

Розглянуто методи ідентифікації особи за відбитками пальців. Приведено класичний підхід до проведення ідентифікації та на його основі здійснено аналіз модифікацій різних його частин. Виділено проблеми, які виникають на різних етапах у систем ідентифікації.

Вступ

Біометрія, як наука вивчення математичних або статистичних властивостей у фізіологічних і поведінкових людських характеристиках, широко використовується у сфері захисту інформації. Використання відбитків пальців в якості біометрії є одним з найстаріших методів автоматизоматизованої ідентифікації особи і водночас найбільш поширеною в наш час. До числа факторів, які сприяють поширенню використання систем такого типу можна віднести: незначні розміри та вартість апаратури для обробки зображень відбитків пальців, високопродуктивне апаратне забезпечення, степінь та швидкість розпізнавання, що відповідають вимогам програмного забезпечення, різкий ріст та розвиток мережних технологій та Інтернету, а також усвідомлення необхідності простих, базових методів захисту та безпеки інформації.

Штучний інтелект для штучного інтелекту

Виявляється не лише людям потрібний штучний інтелект, але й штучному інтелекту потрібен штучний інтелект (тавтологія не моя, це все Amazon).

Amazon придумав, як у програми вбудувати штучний інтелект. Для цього вони створили спеціальний API, при цьому ваша програма може формувати задачі, які на сьогоднішній день здатна розв'язати лише людина, і за допомогою цього API передавати на спеціальний сайт, де всі, хто проходить повз може розв'язати. Таким чином створюється ілюзія, що ваша програма має інтелект.
Наприклад, людина тільки глянувши на фото зможе визначити, чи є на ній людина чи ні... Технологія від Amazon дозволяє наділяти програми такими можливостями вже сьогодні.

Поповни свій Kyivstar-рахунок

Зараз мережею і людьми поповзли чутки про можливість поповнення свого рахунку за допомогою якоїсь хакерської програми. Перша це звичайний вірус. Після його активації з’являється попередження, що якщо користувач не заплатить гроші хакеру, то вся інформація на вінчестері буде втрачена. І після проплати користувач отримує код, що зупинить роботу програми. Друга програма більш цікавіша. Це не вірус. З’явилась невідома група людей, що назвала себе Invisible group Software та пропонує людям, як вони самі називають, українські нелегальні програми. Побачити це можна на http://ukr.sitesled.com/download.html . Наразі пропонується 2 програми: UA-ID – програма, що виводить інформацію про людину з її ідентифікаційного коду, а саме дату народження та стать. Програма реально працює, на собі провіряв; та програма з назвою KyivstarGSM – для поповнення свого рахунку мобільного телефону з тарифними планами Kyivstar, Djuse. З цією вже виникли проблеми. Скачати можна тільки демоверсію. Оригінал коштує 80 дольців. Заплатіть гроші і вам вишлють код активації. Демоверсія не генерує останніх 4 цифр коду поповнення рахунку. Програма працює за наступною схемою – користувач вибирає суму номіналу поповнення рахунку (25, 50, 100, 300) і натискає кнопку генерування коду. Я спробував ризикнути і запустив 2 програми на свому компі і що найгірше, він ще працює і наразі жодних збоїв я не зафіксував, хоча і не користуюсь антивірусами.

Про банківський домен

Продовжуючи доменну тему, Європа запропонувала ICANN створити для банків та фінансових організацій окремий домен -- .bank, .safe, .sure . Основну ціль яку ставлять банки, так це уберігання клієнта від шахраїв. Домен будуть видавати тільки після проходження певної процедури. Фактично, схема буде такою самою як і з .gov .
Це вже наступна спроба банків перейти на наступний рівень безпеки роботи з клієнтами в Інтернет. Спочатку висувалась ідея модифікації веб-браузера – при відвідуванні безпечних сайтів фінансових структур, адресна стрічка браузера забарвлюється у зелений колір. Але щось ідея заглохла. Тепер банки хочуть мати окремий домен. ICANN наразі не подає жодних коментарів на цю тему. Особисто мені ця ідея сподобалась. Цей хід може значно скоротити кількість шахраїв. Оскільки, Україна теоретично рухається в Європу то напевне нам такого домену давати не будуть, ну це за умови що взагалі буде створено такий домен.

Рух життя або динамо. За Подерв’янським.

У даному матеріалі мова піде про загальні алгоритми проектування розподіленої обчислювальної мережі з повністю визначеною інформацією про її об’єкти. Метою написання матеріалу є виключення можливості роботи алгоритмів віддаленого пошуку.
Однією із причин успішної атаки на розподілену обчислювальну мережу (ОМ) є відсутність інформації про доступ до віддаленого об’єкту. І тому, якщо на початку створення ОМ таку інформацію повність визначити, то це може суттєво скоротити серію атак на цю мережу. Але при високій кількості таких об’єктів, таку мережу побудувати практично не реально.
Сцена поступово освічується місячним сяйвом. Так, що становиться видно перший алгоритм, що базується на використанні інформаційно-пошукового сервера, та другий із використанням широкомовного запиту. Раптом зверху падає кінець і по ньому швидко з’їжджає хакер і дає _____ другому алгоритму. Хакер:

True чи False? Ось запитання.

Пригадується, ще за часів життя короля Косяка, саме того який віддав свою Маріхуанну-Прекрасну і півцарства за Івана-Наркомана, був тоді галімий Інтернет без DNS серверів. І означало се, що доводилось тоді користуватись 32-розрядними ІР-адресами. Але знайшлися мудреці, котрі створили текстовий файл із відповідністю імен комп’ютерів до їх ІР-адрес – так званий host file. І абгрейдився цей файл кожного разу і передавався він від одного компа до іншого і тільки заради того, щоб юзер міг собі замість 127.0.0.1 набрати у стрічці браузера чарівне слово localhost. Але мережа росла, наркомани розмножувались і постала тоді необхідність у створенні єдиного інформаційного сервісу котрий б здійснював перевід мнемонічно зрозумілих імен у ІР-адреси та навпаки. І постала тоді доменна служба імен DNS (Domain Name Server) зі своїм спеціяльно створеним протоколом. Тоді всі зібрались, ширку прийняли, димедрол ковтнули, траву скурили та й вирішили, що буде працювати тоді цей DNS та ще й за таким алгоритмом :

Форум Міністерства науки та освіти. Український досвід

Натрапив на форум офіційного сайту Міністерства науки та освіти України http://www.mon.gov.ua/phpbb/index.php
У перший момент не повірив - один з двох розділів - "Хабарництво у навчальних закладах". Якщо чесно, ситуація мене зацікавила, а навіть і вразила. Я вже п'ять років адмініструю досить популярний форум http://misto.ridne.net і знаю, як важко буває, коли на форумі зявляється компрометуючий когось допис (особливо про корупцію).
А тут - цілий розділ. Та ще й на офіційному сайті міністерства. А тепер питання - навіщо воно їм? Адже по анонімному допису якось складно вживати заходів, з другого боку - інформація з форуму не видаляється. І так виходить, що на офіційному сайті міністерства висить повідомлення, що "такий-то директор садочку взяв у мене 100 баксів". Для більшості людей, що не близькі до інтернету, різниці між форумом та сайтом нема жодної. Як і для юристів (до речі, можна переглянути наприклад, ось цей матеріал про відповідальність власників та модераторів форумів http://it.ridne.net/moderators-law).
Зразу моделюю ситуацію - хтось на замовлення кидає повідомлення, де "жертва" виступає як "хабарник", далі дається відмашка для проведення комплексної перевірки і пішло-поїхало...
Думаю, форум МОНУ - це помилка. Форуми при державних органах можуть і повинні існувати, але не в форматі Гайд-Парку, а в форматі "громадської приймальні" та "бази знань"
P.S.Не думайте, що тут щось особисте. Форум переглянув, жодного знайомого прізвища чи закладу не знайшов.

Holidays in Greece
HDR and 4K TV Review

Байка про експлойти 80 порта

[13:31] ВОНО: піпл, дайте ай-пі якогось придурка!!
[13:32] Хтось: 127.0.0.1
[13:32] ВОНО: дякую!
[13:32] ВОНО: зараз він здохне
[13:33] ** ВОНО вийшло з чату
А щоб вияснити прізвище та ім’я ВОНО необхідно прочитати даний матеріал до кінця. Я наведу перелік простих сигнатур котрі залишаються в логах після спроб взлому веб-сервера. Вони охоплюють перелік поширених дір сервера apache, а також можуть використовуватись для аналізу захищеності веб-проектів.

А почну я мабуть із найбільш поширеної вразливості – переповнення буферу. При такій вразливості стрічка може мати вигляд : http://ip-host/cgi-bin/test?type= 1111111111(256 разів).

Якщо веб-сервер запущений під root то зловмисник може отримати повний доступ до системи. Тобто, якщо у логах знайдете стрічку такого типу, значить сервер тестувався на предмет переповнення буферу.
Використання «<?»
Передбачає спробу внесення РНР коду. Наприклад : http://ір-host/andr.php=<? passthru("id");?> , при чому запит може бути написаний у 16-й системі числення.

Використання «<» та « >»
Символи передбачають перенаправлення вводу-виводу у файл. Приклад : "http://ip-host/andr.php=Hello" . Це належить до атаки типу SSI (Server Side Include).

Використання «!». Може статися халепа, якщо користувач натисне на таке посилання http://ip-host1/andr.php= . У такому разі файли зільються докупи andr.php та andr-bad.php, стануть одним цілим. Це також SSI.
При такій стрічці : http://ір-host/andr.php= зловмисник запустить команду id . А при такій http://ip-host/andr.php= взагалі приєднає файл із паролями .htpasswd. За замовчуванням apache не повинен бачити і мати доступ до файлів, що починаються із .ht . Проте тут ситуація трохи інша і SSI обходить цю заборону.

Використання «|». В Юнікс ця команда передбачає виконання кількох команд одночасно. Команду можна використати, наприклад, так : http://ip-host/cgi-bin/andr.cgi?page=cat%20access_log|grep%20-i%20"andr"
Використання «%00»
Це є 16-ве представлення нульового байту. Використувається для емуляції запиту іншого файлу : http://ip-host/cgi-bin/andr.cgi?page=../../../../etc/motd%00.html . Вразливість використвується при дозволених запитах виду http://ip-host/cgi-bin/andr.cgi?page=index.html .
Використання «.» «..» «...»
Ця сигнатура використовується для зміни директорії на сайті. Її найчастіше використовують у CGI дірах. Наприклад http://ip-host/cgi-bin/andr.cgi?file=../../../../etc/mount

Більшість систем-аналізаторів запитів досліджує їх «прямо», пропускаючи семантичне навантаження. Тобто, якщо представити запит у 16-й системі числення то більшість IDS можуть такий запит пропустити. І в результаті получається як в тім анекдоті : «Один процесор іншому – Які ті люди є тупими. Бешкетуємо ми, а гримають вони по моніторам.»

Тобто при створенні веб-проектів не варто використовувати тільки засоби захисту, які пропонує сервер. Цей комплект необхідно доповнити ще й своєю системою захисту. І нехай connect буде з вами ...

Нові технології кешування в Windows Vista

В кінці 2006-го року всіма нами шанована компанія Microsoft випустила в продаж  давно очікувану нову операційну систему Windows Vista, що покликана прийти на зміну Windows XP. Зразу ж в Інтернеті почалися дискусії на тему – чи є Windows Vista дійсно краща за Windows XP? Чи це лише спроба компанії збільшити власні прибутки за рахунок продажу недосконалої ОС кінцевому користувачу, який власне кажучи вже майже 6 років чекає від Microsoft чогось кращого за ОС Windows XP?

Давайте розберемося, що нового і цікавого може запропонувати Microsoft у своїй новій ОС. Безперечно зміни у новій системі значні, я не маю на увазі тільки новий візуальний інтерфейс AeroGlass. Користувачі бета-версій нової ОС безперечно помітили якісні зміни в інтерфейсі взаємодії з ОС, покращення мережевих та інших функцій. Але тут розмова піде не про це. Перш за все нас цікавлять нові технології кешування даних, анонсовані в Vista - SuperFetch і ReadyBoot. Попробуємо розібратися що це таке.

AJAX - новий підхід до побудови інтерактивних веб-сайтів

AJAX (від англ. Asynchronous JavaScript and XML — «асинхронний JavaScript і XML») — це підхід до побудови інтерактивних користувацьких інтерфейсів веб-додатків. При використанні AJAX веб-сторінка не перезавантажується повністю при взаємодії з користувачем. Замість цього з веб-сервера довантажуються тільки необхідні користувачу дані.

Для того щоб дана концепція працювала необхідно між клієнтом і сервером створити так званий Ajax-движок. Який би виконував функції асинхронного доступу користувача до даних на сервері. Як же ж працює модель Ajax?

  • Користувач заходить на веб-сторінку і натискає на якийсь її елемент.
  • Скрипт (на мові JavaScript, якраз той самий Ajax-движок) визначає, яка інформація необхідна для оновлення сторінки.
  • Браузер відправляє необхідний запит на сервер.
  • Сервер повертає лише ту частину документа, яка була запрошена.
  • Скрипт вносить зміни у веб-сторінку, враховуючи отримані результати (без повної перезагрузки сторінки).

Як було сказано вище Ajax – це лише підхід, а не технологія. Він базується на ряді технологій:

Наукові дослідження торгівлі на еBay

Таке явище як Інтернет-аукціони стали сферою досліджень багатьох вчених різних напрямків.
Такий величезний аукціон як eBay дає багато інформації для наукових досліджень та роздумів. Професори маректингу, економіки, менеджменту і психології опублікували десятки наукових праць, які стосуються роботи на eBay.
Журнал BusinessWeek зробив "екстракт" з усіх наукових праць і навів короткий список основних порад по ефективній торгівлі на інтернет-аукціонах.
Це деякі нюанси, які дозволяют продати дорожче і купити дешевше.

1. Низька стартова ціна лоту приваблює учасників аукціону, яки психологічно готові придбати товар, навіть після суттєвого зростання вартості лоту. Британські вчен-економісти дослідили, що товари, виставлені з стартовою ціною 1 цент, продаються за ціною, вищою за середню. Чим нижча стартова ціна - тим кращий результат торгів

Для чого потрібний брандмауер?

Брандмауер (Firewall) – це захисна стіна, що стоїть між мережним адаптером та операційною системою. Будь-який IP-пакет, перш ніж потрапити на обробку операційної системи (наприклад, для маршрутизації або передачі його web-серверу) проходить через строгий контроль. Будь-який вихідний пакет також натрапляє на цю стіну, і може бути пропущений, відкинутий, підрахований або змінений. Якщо пакет проходить через операційну систему наскрізь (маршрутизується), то його перевірка відбувається як на вході, так і на виході. При складній обробці пакету він може проходити через брандмауер і більшу кількість разів.
Брандмауер дозволяє заборонити доступ до певних портів системи, з певних хостів або по деяких протоколах. Він може запобігти переважній більшості атак, пропускаючи тільки ті пакети, які адміністратор визнав допустимими. За допомогою брандмауера можна робити дві речі. По-перше, фільтрувати пакети по заданих критеріях і, по-друге, вести облік, зберігаючи статистичну інформацію про використання системи, стежачи за тим, які об'єми інформації і звідки надходять.

Syndicate content

© Інформаційні технології. Аналітика , Рідна Мережа