Блог

В интернете появилась информация о том, что найден эксплоит (exploit) для .NET Framework. Я использую этот фреймворк почти каждый день и возлагаю на него большие надежды, поэтому сразу же заинтересовался вопросом. Поски эксплоита меня привели к эксплоиту и его описанию. Достаточно прочитать только это: "The 'exploit' starts with the modification of a framework dll (assembly) from outside the runtime using administrative privileges".

Ну и кто дадумался поднимать панику? Какой же это нафиг эксплоит, который требует административных прав? Тогда и format C: это тоже супер гениальный эксплоит для файловой системы! С правами администратора я могу горы свернуть, они бы еще написали эксплоит, который требует системных прав или уровня ядра!!! Товарищи пытаются создать что-то, при этом абсолютно не понимая, что это такое и как должно выглядеть.

Я думаю, эта проблема связана с слишком доступной информацией. Можно абсолютно не зная даже основ какой-то области хакинга, взламывать сайты с помощью чужих программ. Скрипткидисы наносят наибольший урон серверам и самое страшное - не изучают науку. Я уважаю хакеров, которые пытаются что-то создать, а не только взломать. Я уважаю всех, кто пытается привнести в наш электронный мир что-то новое. Но не могу понять тех, кто только взламывает и не пытается разобраться в сути вопроса.

Меня сегодня спросили по почте, а что я читаю в свободное время. Я читаю книги и то, на что я написал рецензии - я читал, иначе не писал бы рецензии. Я кажется уже говорил где-то, что я не читаю журналы, в том числе и журнал Хакер. Я его не читал уже очень долго. Последний номер я видел в PDF варианте наверно года два назад, и то, не прочитал полностью. Просто посмотрел, как народ пишет, когда меня попросили написать статью для журнала. Полноценно журнал Хакер я впоследний раз читал наверно лет 5 назад, а может и больше. У меня просто времени на журнал нет и когда я его видел впоследний раз, я не нашел в нем ничего полезного для себя. Интересного - да, но полезного - нет. Я даже на сайте журнала не помню, когда был впоследний раз.

Я не читаю определенные сайты (кроме своих конечно же), я читаю разные. Чаще всего бываю на cnews и reddevnews, но так же могу посещать любые другие сайты по программированию или безопасности. Все зависит от настроения и душевного состояния. Но чаще всего зависит от выполняемой работы и используемых технологий. Сейчас интересует C#, поэтому часто читаю про него везде.

Я уже давным давно писал о том, что антивирусным компаниям будет тяжело из-за появления Microsoft OneCare. Компания не может быть на последних позициях, она обязательон должна быть на передовой. Вот так происходит и с антивирусом. Microsoft с 30 июня 2009 года прекратит платную подписку на свой антивирусный сервис OneCare, который так и не стал популярным Взамен будет выпущен бесплатный антивирус Morro.

Будешь ли ты платить Касперскому за его антивирус, когда есть бесплатная защита? Я думаю, что нет. Компания Microsoft таким шагом говорит, что они не хотят конкурировать с антивирусниками, а хочет просто улучшить лояльность пользователей к своим продуктам, т.е. к ОС Windows. Но чтобы реально улучшить лояльность, антивирус Morro должен быть качественным, иначе это будет фуфло, а не лояльность. Если Morro сможет стать качественным сыщиком вирусов, то доходы антивирусников упадут в несколько раз.

Недавно посмотрел презентацию с PDC о том, что будет из себя представлять офис от Microsoft следующего поколения - Office 14. Я никогда не отслеживал этот пакет программ, потому что использую Office в основном как печатную машинку без изысканных оформлений, но в последнее время иногда приходится с ним работать, поэтому я решил взглянуть. Большая часть презентации была посвящена самым главным и самым сильным новшествам - коллективной работе и WEB интерфейсу.

Следующий Microsoft Office сможет работать как в качестве локальной программы с рич интерфейсом, так и в качестве WEB приложения. В браузере офис будет работать практически так же, как и локальная версий и это достигнуто благодаря сочетанию множества различных технологий, основные из которых: AJAX и Silverlight. Что тут еще сказать? Даже не знаю, по презентации трудно что-то понять, нужно реально пощупать программку.

Вторая новинка - это совместная работа над документом. Да, теперь один документ может быть открыт несколькими пользователями и каждый из них может работать над своей частью. При этом, данные между пользователями будут синхронизироваться во время работы практически в реальном времени (с небольшой задержкой). Но это еще не все. Офису абсолютно параллельно, откуда открыли документ - с помощью рич программы офиса или WEB варианта. Один пользователь может редактировать документ из браузера, а другой из локальной программы.

Внимательно читайте название книги, потому что в ней говорится об эксплоитах, а не взломе сайтах. Однажды я видел где-то возмущение читателя, что не нашел в книге, как взломать сайт. Книга не подойдет администраторам, которые защищают системы или хакерам, взламывающим WEB сайты. Но она будет интересна тем, кто знает программирование (желательно С/С++, но можно Delphi) и тем, кто программирует.

Эта книга из другой серии, потому что она описывает, как хакеры используют переполнения в программах для злома удаленных программ. Да, если эта удаленная программа работает на WEB сервере, то вы проникните на него, но цель книги выше, а варианты использования шире. Любая сатевая программа, осоебнно написанная на неуправляемом языке (например С++), при неправильном программировании может привести к печальным последствиям. Книга рассказыват нам о самых популярных ошибках программистов и автор рассказывает, как хакеры могут использовать уязвимости и что могут получить.

Не секрет, что везде увольняют ИТ сотрудников и главная проблема тут вездусущий кризис. Но мне понравился сегодня анализ на cnews, и больше всего последний абзац:

Стремительный рост числа уволенных следует за пессимистичными прогнозами относительно бюджетов ИТ-компаний в следующем году. Так, по данным IDC, расходы компаний в 2009 г. вырастут всего на 1%, тогда как в августе прогнозировалось, что этот показатель составит как минимум 4,2%.

Рост расходов компаний на ИТ будет, просто не такой большой, как ожидалось. Не хватает всего 3,2 процента, но это же не значит, что теперь нужно уволить 180 тысяч ИТ-шников. А кто же будет удовлетворять спрос на ИТ в следующем году? Так может быть не из-за этого недопроцента увольняют такую массу народа? Я уверен, что нет!!!

Работа с графикой – одно из самых любимых моих занятий. Я люблю работать с графикой, правда эта работа в основном на любительском уровне и не превращается в профессиональную (не приносит доход). Основной доход все же базы данных и создание различных утилит. Но в свободное время я с удовольствием играю с DirectX или OpenGL.

Не помню уж когда, но это было давно и я как-то написал статью, в которой рассказываю, как можно апроксимировать поверхность сферы. Это было сделано на основе лабораторного задания какого-то ИТ курса. Сегодня я решил выложить это задание во всеувидение на Hackish Code. И не смотря на то, что в статье использовался язык программирования C, проект без проблем переносится на Delphi, так что рекомендуется к прочтению программистам разных языков.

Читать полный вариант статьи: Создание изображений с использованием библиотеки OpenGL.

Недавно на books.ru оставлял комментарий на какую-то книгу и случайно обратил внимание на каптчу (Captcha). В глаза бросилось то, что она нарисована в виде банального текста. Я сначала протер глаза и очки, в надежде, что мне это кажется. Кликаю дважды по каптче, а она выделяется как банальный текст. Я снова не верю глазам и лезу в исходник страницы. Не может быть!!! Captcha действительно лежит в открытом виде и передается от формы к сценарию банальным параметром.

Для чего это делали? Хакеры могут без проблем взломать каптчу и написать программу, которая будет программно загружать страницу, анализировать в поисках секретного кода и передавать его серверу. Так как это легко реализовать программно, то можно без проблем организовать флуд на сервер.

Единственное, от чего спасает такая каптча - от ручного флуда. Пользователь не сможет ручками флудить банальным обновлением страницы. Нужно каждый раз вводить код. Зато любой хакер, который может написать программу, сможет зафлудить сервер по самую крыжечку.

Как же новостные ленты любят приукрашивать заголовки. Вот сегодня можно уже увидеть новость о том, что из-за кризиса уволенные ИТ-шники начинают убивать. Супер!!! В Калифорнии обиженный сотрудник (бывший инженер-тестировщик одного из стартапов) растрелял троих топ менеджеров своей компании и скрылся на джипе. Одного случая достаточно, чтобы теперь заголовки звучали как итэшники начинают убивать. Ну это же единственный случай товарищи и никто же не говорит, что они продолжатся.

ИТ-шники тоже люди и как и в любом обществе среди них есть как уравновешенные люди, так и не уравновешенные, которые могут любую новость воспринять как личное оскорбление и начать стрелять. В Америке вообще стреляют регулярно и если завтра доктор пристрелит кого-то? Каждый день мы будем перечислять всех по профессиям. А ведь проблема не в том, что ИТ-шник или кто-то другой пристрелил, а проблема в том, что у этого человека было оружие.

В свое время, когда в Америке властвовал разбой и преступность, разрешение на ношение оружие позволило сдержать преступность, а народу защищать себя. Сейчас, в цивилизованных странах оружия не должно ходить по рукам свободно. Это в нашей стране страшно выходить на улицу по вечерам и нам для защиты нужно разрешить носить пистолеты. Тут не нужно боятся, что бандиты будут покупать их, у них уже есть оружие. В цивилизованных странах преступность достаточно низкая, чтобы не разрешать носить пистолеты и тогда расстрелы в школах сократятся.

За последний месяц меня просто преследуют невезения. Все началось со смены работы. Мне это было очень не удобно и не вовремя. Нет, меня вполне устраивает новое место работы, коллектив хороший и работа вполне стабильная, потому что компания очень серьезная. Об этом говорят даже те факты, что в ней не поощряется нелегальный софт, техника только брендовая и зарплата абсолютно вся белая. Давно я этого не видел в Питере. Когда я был в Ростове, то там наоборот, все платили по белому, а здесь в Питере большинство дают деньги в конверте.

В начале этой неделе ребенок попадает в больницу и только на следующей неделе узнаю, что с ней было. Сейчас все идет на поправку, и я надеюсь, что ее отпустят на следующей неделе домой.

Вчера вечером поставил машину под подъезд, а сегодня забрал с разбитым бампером. Дворник очень аккуратно вывозил мусорные баки и умудрился серьезно повредить бампер. Какого черта он вывозил эти баки в воскресенье, когда на подъезде написано, что вывоз мусора по субботам. Дворника не найти, а вызывать участкового времени не было, потому что спешил к дочке в больницу, а потом нужно было сына в бассейн везти (еженедельно вожу в бассейн в поликлинику по назначению врача). Поэтому теперь скорей всего придется ремонтировать за свой счет, которого нету из-за смены работы.