Аналітичні матеріали та блог про сучасні інформаційні технології. Основні теми: Інтернет та WWW, комплексна автоматизація підприємств та установ, інформаційна безпека, системи аналітичної обробки інформації.

Google Labeler. ШІ для ШІ версія друга.

Ось тут Штучний інтелект для штучного інтелекту на нашому сайті Сергієм Адамчуком уже піднімалося питання того, що штучний інтелект потребує не раз зовнішньої підтримки, яка приходить у формі залучення рядових користувачів Інтернету до виконання рутинно-інтелектуальних дій. Такий собі "Штучний інтелект для штучного інтелекту". У першу чергу це стосується задач розпізнавання графічних образів.
Звичайно, такий підхід вимагає мотивації користувачів. А платити ніхто не хоче. І тоді замість матеріальної мотивації використовується, скажемо так, слабкість людського духу.
Мені відомі випадки, коли такі задачі доручалися людям взамін за доступ до порно ресурсів. Тобто для входу в закриту зону сайту з порноконтентом користувач повинен був розпізнати капчу або щось подібне, яка насправді не була оригінальною капчою порносайту, а зображенням з якогось сайту, де вона була бар'єром на шляху бота. Коли користувач правильно розпізнавав капчу, бот виконував свою "чорну" справу, а користувач добирався до такого бажаного контенту.
Але виявляється, хіть не єдина людська слабкість, що дає можливість запрягти людину у таку специфічну діяльність. Азарт - ось наступна вада людини, що стала використувуватися у подібних задачах.
Проте, на цей раз, азарт користувачів використовують не якісь безіменні хакери чи бездушні боти, а, як це не дивно, сам Google. Як це відбувається і для чого? Якщо вам цікаво подивитися, то вам сюди - http://images.google.com/imagelabeler/

не довіряй нікому

Якось нещодавно довелось мені зустрітись із проблемою недовіри користувачам. Проблема є тривіальною, проте програмери роблять стільки помилок, що аж волосся випадає, при чому не тільки в мене. У даному випадку я наведу приклад від якого можна відштовхуватись і на його базі буде представлена концепція взаємодії з користувачами. А суть проста, як двері – не довіряти нікому, навіть якщо користувачем є рідна мама. Наприклад є така форма

1.form action=log.php method=GET
2.input maxlength=10 type=”input” name=”username”>Username /input
3./form

От ніби класична форма, яку завше використовують(тут ще повинні бути розставлені символи < та >, але фільтр it.ridne.net їх не пропускав, тому я їх видалив, скористайтесь фантазією і поставте їх де потрібно). Але вона містить потенційну вразливість. І полягає вона в обмеженні довжини до 10 символів(2-а стрічка). Справа в тому, що це обмеження спрацьовує на стороні клієнта, а не сервера. Це означає, що я можу : використати браузер який нехтує параметром maxlength , можу написати свій браузер який буде нехтувати цей параметр і зрештою направити наступний url :

Ґаджет SendSMS.com.ua для відправки СМС з інтернету

Вступ

Чи доводилось вам відправляти СМСки своїм друзям та близьким з інтернету? Якщо ви проводите значну частину свого часу за комп'ютером, то я впевнений що так. В такому разі ґаджет SendSMS.com.ua саме для вас, всі українські оператори у компактному ґаджеті, та ще й ваші контакти зберігатимуться.
Я вже зустрічав у блоґах невеличкі огляди свого ґаджету для відправки СМС, на цей раз представляю вашій увазі власний розгорнутий огляд ґаджету SendSMS.com.ua. Спробую поділитись інформацією, у чому я бачу особливість цього ґаджету.
Перш за все ґаджет призначений для швидкої і безкоштовної відправки СМС на всі мобільні оператори України. Користуватись ґаджетом можуть усі, у кого є браузер, ніякого особливого програманого забезпечення не потрібно, і ваші контакти будуть доступні вам будь-де, де є доступ до інтернету.

Взлам бази даних Oracle 9i

Але перед тим як дати опис тої фігні хотілося б дати опис програм для пошуку точок входу у програму. Для застарілої Windows NT перелік засобів для перегляду реєстра і файлової системи розміщені за адресою http://www.sysinternals.com . Найбільш популярні програми це filemon та regmon. Інший тип програм це АРІ монітори. Ці програми підключаються до певних викликів АРІ і дозволяють визначити, які параметри передаються цим викликам.
Для зміни викликів функцій АРІ можна використати програму Failure Simulation Tool компанії Cigital. Програма FST працює між програмою і DLL за допомогою перезапису таблиці адрес переривань. Завдяки такому підходу видно, які функції АРІ викликаються і які параметри передаються. Програму можна використовувати для генерації рапорту про помилки в програмах. А якщо є помилки – то програма швидше ламається. Цей відступ був для загального розвитку, просто щось собі нагадалось.

Мета-таг unavailable_after. Новий стандарт від Google

Google знову задає новий стандарт для пошукових систем.
Після появи ряду нових технологій та розширень, зокрема технології sitemap, це вже стає доброю традицією.
На цей раз Google пропонує певний контроль за часом зберігання сторінки в кеші пошукової системи. З цією метою він уводить новий мета-таг unavailable_after.
Суть нововедення наступна. Даним тегом Веб-майстер може зазначити, доки дана сторінка зберігатиме актуальність і відповідно, доки її доцільно зберігати в БД пошукової системи.
Ось приклад такого визначення

Як відзначають аналітики на тематичних блогах і форумах, особливо цінним даний таг є для електронних магазинів, де таким чином можна описувати актуальність розміщених пропозицій (щоби вони потім не уводили в оману у результатах пошуку Google), та для різного роду видань, у яких є безкоштовні та платні розділи. Наприклад, цей таг може стати у пригоді, якщо планується переміщення матеріалу з безкоштовної в платну зону.

Про альтернативне кодування

У матеріалі мова йтиме про слабкості фільтрів вхідних даних при роботі з веб-серверами. Так наприклад, стрічки http://server/dir\..\..\..\winnt та http://server/dir/../../../winnt є еквівалентними. А це означає, що якщо проходить фільтрація символу «/» то я спокійно використаю символ «\» . А ще існує така річ як кодування url, utf-8, Unicode. Наприклад, стрічка, еквівалентна до попередньої прийме вигляд http://server/dir\..%5C..%5C..\winnt ( %5C те саме що і символ «\»). Багато фільтрів виконують пошук мета символів, але можуть пропустити деякі з них при наявності символу ESC . Він, зазвичай, встановлюється на початку керуючої послідовності символів. Без цього символу керуюча послідовність буде перетворена на інший символ:

Сумна статистика

Ще колись в давні часи постало питання виміру програмного забезпечення. І найкраще для цього підійшла одиниця – кількість стрічок коду. Відповідно до цього критерію ввели поняття кількості помилок на 1000 стрічок коду. Це значення повинне лежати в діапазоні від 5 до 50. Системи, що пройшли контроль якості (Quality Assurance) повинні містити не більше ніж 5 помилок на 1000 стрічок коду. Зараз програмне забезпечення тільки ускладнюється і значно зростає в об’ємі. Так наприклад, система Netscape містить 17 млн. стрічок коду, космічна станція – 40 млн., windows 95 – 5млн., windows xp – 40млн., Linux – 5млн. Для наведених систем частота помилок коливається від 5 до 50 на 1000 стрічок коду. Подивившись на цю статистику найбільш приємний той факт, що Linux потенційно стабільніший від windows xp у 8 разів.

Вразливі місця Microsoft SQL Server

При аналізі та пошуку вразливих місць у програмах використовується кілька підходів. В даному випадку я наведу найпростіший. Схема роботи буде проста як двері. Компанія Rational створила програму Purify для динамічного дослідження програмного забезпечення. Ось її і будемо використовувати. За допомогою програми Hailstorm запускаємо процес внесення помилок у SQL Server 7 і за допомогою Purify будемо відслідковувати стан програми. Враховуючи, що у даному СУБД більше помилок, ніж стрічок з програмним кодом, використаємо хоча б одну з них. Наприклад, при внесенні некоректних даних в пакет протоколу SQL Server виникає проблема затирання даних в пам’яті. Збій проходить в результаті неправильної обробки даних. SQL сервер приймає запити по 1443 порту. Для цього порту жодних специфікацій не існує. Направимо на цей порт випадкові дані( нехай це будуть згенеровані цифри) з інтенсивністю 20 пакетів в секунду. SQL Server буде сприймати ці пакети без жодних проблем. Вхідні дані обробляються різними фрагментами коду. Фактично ці фрагменти виконують читання заголовків протоколу. Через деякий час Purify вкаже на виникнення помилки і на зміну даних у пам’яті. Такого роду помилка призводить до відмови в роботі сервера. І як результат нашої роботи ми отримаємо звіт програми Heilstorm, а програма Purify вкаже на точне місце в програмному коді, де міститься помилка. Як використовувати цю помилку вже залежить не від мене. Якби мені довелось б піти іншим шляхом ( наприклад, вводяться в програму дані і досліджується фрагмент коду, що відповідає за обробку цих даних) напевне це зайняло б у мене кілька днів. Наведений метод є ефективний хіба для продуктів мікрософту, де помилка помилку поганяє. Для нормального програмного забезпечення існують складніші методи та підходи до взламування.

Google тестує AdSense для мобільних пристроїв

Згідно з інформацією MobiAd http://www.mobiadnews.com/?p=879 Google розпочав тестування рекламної системи AdSense для мобільних телефонів.
Тестування закрите, потрапити туди можна лише за запрошенням від Google.

На мобільну реклама накладаються досить сильні обмеження по розміру - дві стрічки тексту по 12-18 символів. Окремо є ще стрічка адреси сайт та телефон для контакту.
В даний момент передбачено таргетинг на ряд розвинутих країн.
Загальні принципи визначення ціни реклами та прибутку рекламної площадки ніби ті самі, що для традиційного Google Adsense

Google Desktop для платформи Linux

Приємна новина для користувачів Лінукса на робочих станціях. Google випустив у світ свій популярний пошук по локальному комп'ютеру Google Desktop для платформи Linux. Раніше свою популярність Google Desktop набував на машинах з Windows.
Такий крок знову ж свідчить про підтримкою Google платформи Linux, проте сам Google Desktop до відкритого ПЗ не відноситься.
Розробники стверджують, що підтримуються версії Debian 4.0, Fedora Core 6, Ubuntu 6.10, Novell Suse 10.1 та Red Hat 5. Графічний інтерфейс працює під KDE та GNOME.
Лежить даний програмний продукт тут http://desktop.google.com/linux

Про вразливість мережних пристроїв

За повідомленням компанії Calyptix Security у програмному забезпеченні мережних пристроїв багатьох відомих виробників віднайдена серйозна вразливість. Це вразливість, що дозволяє реалізацію CSRF атак. Суть атаки полягає у можливості контролювання атакуємий пристрій шляхом генерації запиту від імені авторизованого користувача. Для реалізації такої атаки на мережний пристрій потрібно заставити користувача, що має доступ до пристрою, під’єднатися через до пристрою через веб-інтерфейс і в цей момент відкрити в браузері сформований певним чином сайт.
Атакам такого типу можуть підлягати апаратні брандмауери, маршрутизатори, мережні принтери та ін. Через вразливість можна створювати нові облікові записи, змінювати паролі користувачів, налаштування. Найцікавіше тут, те що виробники мережних пристроїв чомусь не збираються виправляти помилки програмного забезпечення (крім Check Point Software Technologies, яка блискавично відреагувала на виявлення вразливості і відразу її ліквідувала ). Інші компанії намагаються відмовчатися.

Про захист банківської мережі.

У даному матеріалі буде розглянуто найновішу концепцію захисту інформації у банківській інформаційній системі.
Спочатку створюється база працівників банку. І відповідно кожному з них надається індивідуальний ідентифікатор та пароль(зазвичай це робить адміністратор). По цьому ідентифікатору визначаються права доступу у банківську мережу та привілеї роботи. Далі адміністратором визначається перелік можливих робочих місць користувача, при цьому мережний ідентифікатор та пароль користувачу не повідомляються. Натомість користувач отримує спеціальний ключ у вигляді елементу Touch Memory, де криптографічно записано паспорт ключа, мережний ідентифікатор та пароль, пароль входу у банківську систему. Для автентифікації користувача створена спеціальна програма, що контролює ввід пароля, читає елемент Touch Memory і здійснює криптографічний контроль вмісту пам’яті ключа, проводить ідентифікацію користувача, і надає доступ до мережі відповідно до прав та привілеїв. Передача даних по каналам зв’язку забезпечується комбінованою криптографічною системою. Платіжні документи клієнта, банк отримує виключно при наявності цифрового підпису( криптосистема з відкритим ключем). Захист пересилання файлу з платіжними документами забезпечується криптосистемою із закритим ключем. Ну а носієм закритого ключа клієнта банку є елемент Touch Memory.
При такій організації захисту визначені дві вразливості – адміністратор та програма, що проводить ідентифікацію користувачів. Проблемою також є втрата чи передача іншій особі елементу Touch Memory.

Moneytrackin - online сервіс для ведення фінансів

Новий сервіс, повністю у стилі Web 2.0, та ще й при цьому дуже швидко розвивається, набуваючи все новіших можливостей і стаючи все зручнішим для пересічного користувача. Однією з цікавих можливостей є не просто підтримка багатьох мов, але й можливість участі будь якого користувача у локалізації сервісу - для цього розроблено простий і зручний інструмент. Тому сервіс підтримує і українську мову. Але це все ж не основне, що дає сервіс. Сервіс успішно використовує вироблені впродовж останнього часу можливості, які дають користувачу онлайн програми у стілі Web 2.0 1. Швидкий інтерфейс з використанням AJAX

Покращуємо захищеність FreeBSD

А почну я із файлу /etc/inetd.conf. Звідти необхідно видалити все, що не використовується сервером( зокрема команди shell,exec,login). У файлах /etc/rc.* , /usr/local/etc/rc.d/ міститься весь перелік програм, що запускаються. Тому його потрібно проаналізувати і також забрати весь непотріб. У файлі /etc/rc.conf виставити параметр tcp_extensions=”NO” для запобігання DoS атакам. Хоча тут все залежить від версії ядра. У старіших версіях цей параметр прописувався при перекомпіляції ядра, у новіших – його винесли у вказаний файл. Для контролю за цілісністю сервера можна використовувати готові утиліти – tripwire, mtree . Мені ліньки їх описувати, тому детальніше про на лаштування і роботу цих демонів можна нарити в Інтернет.

Переворот їхнього світу

Міністр освіти Російської Федерації трішки пообіцяв до першого вересня забезпечити всі школи ліцензійним ПЗ. А це становить 650 000 компутерів, з них 98% використовують піратську вінду і все що з нею пов’язано. Міністерство провело переговори з Microsoft (а також Adobe Systems, Corel Draw, Лабораторией Касперского, «Доктор Веб»” і «RarLab») для визначення пільгової ціни на програмні продукти. І як результат получилось 353 рублі на один комп’ютер в рік. Міністерству ця пропозиція підійшла. Але в гру вмішалось міністерство економіки. Перший зам запропонував перейти на Лінукс, що скоротить витрати до 150 рублів в рік. Але потрібно зробити великий одноразовий грошовий вклад для адаптації шкільних програм під цю операційку і відповідно на навчання вчителів. А причина таких дій проста як двері – фактично вся країна попаде у монопольну залежність від Майкрософт. Тепер треба почекати, чим це все закінчиться.

USB-флешки. Остерігайтеся випадкових зв'язків.

Користувачі ПК останні роки плавно змінюють у задачах оперативного обміну інформацією традиційні дискетки на usb-носії. Це зручно, просто, ефективно. Аналогія між дискетою і флешкою насправді увійшла в життя досить глибоко.
Користувачі не задумуються над однією важливою особливістю флешки. Вона містить драйвер, який встановлюється на комп'ютер користувача при першому використанні носія.
Ця особливість USB-носіїв дає шанс здійснювати певного виду атаки на компютер користувача.
Прикладом такої атаки може служити випадок, що трапився на одній з парковок Лондона, де було розкидано кілька (?) флешок, які потім виявилися носіями шкідливого коду, що дозволяв викрасти банківські коди доступу та паролі користувачів. Про кількість флешок, та про кількість необачливих користувачів, що позасували собі до комп'ютера ці носії на жаль у повідомленні за адресою http://www.theregister.co.uk/2007/04/25/usb_malware/

Аналіз методів ідентифікації особи за відбитками пальців

Розглянуто методи ідентифікації особи за відбитками пальців. Приведено класичний підхід до проведення ідентифікації та на його основі здійснено аналіз модифікацій різних його частин. Виділено проблеми, які виникають на різних етапах у систем ідентифікації.

Вступ

Біометрія, як наука вивчення математичних або статистичних властивостей у фізіологічних і поведінкових людських характеристиках, широко використовується у сфері захисту інформації. Використання відбитків пальців в якості біометрії є одним з найстаріших методів автоматизоматизованої ідентифікації особи і водночас найбільш поширеною в наш час. До числа факторів, які сприяють поширенню використання систем такого типу можна віднести: незначні розміри та вартість апаратури для обробки зображень відбитків пальців, високопродуктивне апаратне забезпечення, степінь та швидкість розпізнавання, що відповідають вимогам програмного забезпечення, різкий ріст та розвиток мережних технологій та Інтернету, а також усвідомлення необхідності простих, базових методів захисту та безпеки інформації.

Turnitin судять за плагіат

Якщо вірити ось цьому джерелу - http://www.securitylab.ru/news/293658.php, на систему збору та аналізу Веб-контенту Turnitin подали позов у сумі майже мільйон доларів за недозволене використання чужих інформаційних матеріалів.
Особливої оригінальності даній події додає те, що Турнітін є власне системою виявлення плагіату, а головними споживачами даної послуги є західні освітні заклади.
До суду притягнули Турнітін студенти, які вважають, що їхні матеріали потрапили в службу без дозволу власників і потім використовувалися на комерційних засадах (річ у тім, що послуги Турнітіна є платними).

Штучний інтелект для штучного інтелекту

Виявляється не лише людям потрібний штучний інтелект, але й штучному інтелекту потрібен штучний інтелект (тавтологія не моя, це все Amazon).

Amazon придумав, як у програми вбудувати штучний інтелект. Для цього вони створили спеціальний API, при цьому ваша програма може формувати задачі, які на сьогоднішній день здатна розв'язати лише людина, і за допомогою цього API передавати на спеціальний сайт, де всі, хто проходить повз може розв'язати. Таким чином створюється ілюзія, що ваша програма має інтелект.
Наприклад, людина тільки глянувши на фото зможе визначити, чи є на ній людина чи ні... Технологія від Amazon дозволяє наділяти програми такими можливостями вже сьогодні.

Поповни свій Kyivstar-рахунок

Зараз мережею і людьми поповзли чутки про можливість поповнення свого рахунку за допомогою якоїсь хакерської програми. Перша це звичайний вірус. Після його активації з’являється попередження, що якщо користувач не заплатить гроші хакеру, то вся інформація на вінчестері буде втрачена. І після проплати користувач отримує код, що зупинить роботу програми. Друга програма більш цікавіша. Це не вірус. З’явилась невідома група людей, що назвала себе Invisible group Software та пропонує людям, як вони самі називають, українські нелегальні програми. Побачити це можна на http://ukr.sitesled.com/download.html . Наразі пропонується 2 програми: UA-ID – програма, що виводить інформацію про людину з її ідентифікаційного коду, а саме дату народження та стать. Програма реально працює, на собі провіряв; та програма з назвою KyivstarGSM – для поповнення свого рахунку мобільного телефону з тарифними планами Kyivstar, Djuse. З цією вже виникли проблеми. Скачати можна тільки демоверсію. Оригінал коштує 80 дольців. Заплатіть гроші і вам вишлють код активації. Демоверсія не генерує останніх 4 цифр коду поповнення рахунку. Програма працює за наступною схемою – користувач вибирає суму номіналу поповнення рахунку (25, 50, 100, 300) і натискає кнопку генерування коду. Я спробував ризикнути і запустив 2 програми на свому компі і що найгірше, він ще працює і наразі жодних збоїв я не зафіксував, хоча і не користуюсь антивірусами.

Syndicate content

© Інформаційні технології. Аналітика , Рідна Мережа