Типичный программист
81.4K subscribers
2.64K photos
888 videos
8 files
7.44K links
Всё самое интересное по программированию

Разместить рекламу: @tproger_sales_bot

Правила общения: https://tprg.ru/rules

Другие каналы: @tproger_channels

Сайт: https://tprg.ru/site

VK: vk.com/tproger

Регистрация в перечне РКН: https://tprg.ru/mJwo
Download Telegram
Что с блокировками VPN у нас и в Китае и возможно ли их обойти?

В августе многие пользователи VPN в России заметили проблемы с подключением к серверам. Картина складывалась противоречивая: у абонентов одного оператора мог работать VPN, а мог — нет, в одном регионе у части пользователей были трудности с подключением, а другие не испытывали технических проблем.

Ребята из Xeovo решили «поднять» VPN в Китае и понять, как это работает, чтобы перенести опыт в Россию. И вот что у них получилось: https://habr.com/ru/companies/xeovo/articles/753834/

#безопасность #интернет
Оказалось, что за последней крупной утечкой GTA 6 стоит 18-летний британец Арион Куртадж — если это не история любви к своему делу, то мы вообще не знаем, что это тогда

Дело в том, что в прошлом году он находился под домашним арестом как участник группировки LAPSU$. С него начали брать показания и ради его же безопасности перевели жить в отель. Ему запретили пользоваться компьютером и интернетом.

Но парень просто сходил в супермаркет, купил там Smart TV приставку от Amazon. С помощью смартфона, клавиатуры и мышки Куртадж смог выйти в интернет и подключиться к защищенным серверам компании, скачав оттуда более 90 роликов. То есть одна из крупнейших утечек Rockstar Games случилась из-за 18-летнего подростка, который сидел в номере отеля с ТВ-приставкой, смартфоном, клавиатурой и мышкой.

Кто-нибудь, пригласите его уже на работу, парень явно любит своё дело.

#безопасность #кек
Хамза Бенделладж — хакер, которого называют Робином Гудом

В русскоязычной среде полно информации о знаменитых хакерах вроде покойного Кевина Митника, однако мало кто знает о скандальном алжирском хактивисте Хамзе Бенделладже, которого многие считают Робином Гудом и который довольно известен в США.

Рассказали историю алжирского хакера Хамзы Бенделладжа, который украл миллионы долларов и стал народным героем вроде Робина Гуда: https://tproger.ru/articles/hamza-bendelladzh-haker-kotorogo-nazyvayut-robinom-gudom

#безопасность #история
​Ликбез по распространённым Client-Side уязвимостям

Хороший и качественный код — не всегда безопасный код. Поэтому любому разработчику важно иногда изучать ИБ практики, чтобы не упускать хотя бы самые очевидные уязвимости в коде.

Начнем с Client Side-уязвимостей. Это слабые места или ошибки в ПО, работающем на стороне пользователя. Их можно использовать для хакерских атак или несанкционированного доступа к системе.

В статье — самые распространённые виды уязвимости на стороне клиента и некоторые методы Client-Side защиты: https://habr.com/ru/companies/bastion/articles/757590/

#безопасность #веб
Может ли саундбар вас подслушивать?

Не ещё одна фобия, но увлекательное исследование, в котором специалист по ревёрс-инжинирингу решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести.

Будет интересно не только специалистам в области ревёрс-инжиниринга, но и всем, кто интересуется конфиденциальностью и безопасностью умных устройств. Читается как остросюжетный детектив: https://habr.com/ru/companies/bizone/articles/762122/

#безопасность
FlipperZero? А может лучше NokiaZero?

Flipper Zero — модный хакерский мультитул, выполненный в стиле тамагочи. Так вот один энтузиаст решил не только прокачать клавиатуру устройства, но и заключить его в корпус легендарного кнопочного телефона Nokia.

Что получилось в итоге, а также как создавался сакральный мультитул из 2000-х, читайте в статье: https://habr.com/ru/articles/764600/

#diy #безопасность
Разработчик Flipper Zero выпустил версию устройства с прозрачным дизайном

Только вчера писали про энтузиаста, который попытался повторить функциональность FilpperZero в корпусе легендарной Nokia. А сегодня разработчики оригинального FlipperZero решили порадовать пользователей обновлением. Теперь видны внутренние компоненты и сложный дизайн. Так в компании показали приверженность открытому исходному коду.

Всего планируют выпустить 7,5 тыс. устройств, но стоить они будут как обычно — $169 за штуку. К тому же, один пользователь сможет купить не больше 2 устройств.

#безопасность
Cloudflare включает ECH для миллионов сайтов, включая пиратские, — теперь их блокировка сайтов станет бесполезной

Cloudflare активировал функцию Encrypted Client Hello (ECH). Это новый стандарт конфиденциальности, который уже получил поддержку от таких браузеров как Chrome, Firefox и Edge.

Новая функция конфиденциальности делает невозможным отслеживание интернет-провайдерами посещенных абонентами сайтов и блокировку пиратских сайтов, если и сайт, и посетитель активировали ECH. Функция активна для всех пользователей бесплатных тарифных планов, которые используют многие пиратские сайты.

Что интересно, Cloudflare не упоминает о возможности обхода блокировок. Вместо этого компания «просто рада делать интернет более конфиденциальным и безопасным для всех».

#безопасность #интернет
Мошенничество FTX: почему для мошеннических действий не стоит писать код на Python

FTX — онлайн-сервис обмена цифровых валют. В 2021 году компания имела более миллиона пользователей и объем торгов был третьим среди криптобирж. Уже в ноябре 2022 года компания подала заявление о банкротстве. Но в работе криптобиржи нашли много странных историй, похожих на мошеннические действия. До сих пор ведется расследование.

На днях стало известно, что свидетельства мошенничества FTX обнаружились в самом коде. Впервые взглянуть на кодовую базу FTX мы смогли в прошлую среду.

По идее, ознакомление жюри присяжных должно было сбить их с толку. Но инженеры FTX написали достаточно чистый код с описательными именами переменных и короткими функциями, а также выбрали человекочитаемый язык Python.

Например, этот фрагмент кода якобы демонстрирует данные с баланса страхового фонда, который колеблется, когда биржа добавляет фонды или изымает их для покрытия убытков.

Даже программисту-новичку будет понятно, что на самом деле разработчики просто обновляли сумму, прибавляя к ней объём торгов за день, умножая на случайное число и деля его на миллиард.

Если интересно посмотреть на другие фрагменты кода, указывающие на мошеннические действия, и почувствовать себя в роли следователя, эта статья для вас: https://habr.com/ru/articles/766960/

#безопасность #python #криптовалюта
Может ли саундбар вас подслушивать: исследование саундбара Yamaha YAS-109, часть 2

В прошлый раз автор решил узнать, не «подслушивает» ли его саундбар Yamaha YAS-109. Ведь у него есть встроенная поддержка Alexa, а ещё Bluetooth, WiFi, Ethernet и другие прелести. Но исследование оборвалось на самом интересном месте.

В этот раз автору действительно удалось раскрыть уязвимости и недекларированные возможности, которые зачем-то встроил производитель. Все в стиле предыдущей статьи — читается на одном дыхании, будет интересно всем, кто интересуется конфиденциальностью и безопасностью умных устройств: https://habr.com/ru/companies/bizone/articles/768904/

#безопасность
Взлом YouTube: как технически работает скачивание видео с популярного видеохостинга

Вы наверняка слышали о специальном софте, который позволяет скачивать видео с YouTube. Это — youtube-dl (yt-dl) и его клоны, такие как yt-dlp и yt-dlc.

Исходный код yt-dl и самого популярного клона yt-dlp написан на Python и опубликован на Github. Все инструменты используют стандартный интерфейс YouTube API, который постоянно меняется.

В статье рассматривают примеры обращения к YouTube API из командной строки и показывают, как работают «хакерские» способы, используемые в yt-dl и yt-dlp: https://habr.com/ru/companies/ruvds/articles/765798/

#google #безопасность #opensource
А вы знали, что по времени между нажатиями клавиш можно предположить, что за буквы набираются в пароле?

В августе этого года в ssh(1) (клиент OpenSSH) внесено изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.

Тайминг нажатий клавиш в консоли — известный вектор атаки ещё с 80-х. Грубо говоря, по паттерну появления звёздочек на экране можно примерно определить нажатые клавиши, что на порядок сокращает количество вариантов для брутфорса.

Например, рядом стоящие клавиши обычно нажимаются медленнее, чем дальние, если человек работает двумя руками. Подробнее о том, как это работает, рассказали в статье: https://habr.com/ru/companies/ruvds/articles/770792/

#безопасность
YouTube использует spyware-cкрипты для обнаружения блокирующих рекламу плагинов — хакеры используют те же инструменты

Tomshardware сообщают, что консультант из Ирландии по вопросам защиты частной жизни планирует судиться с YouTube из-за слежки за пользователями. Он утверждает, что скрипты YouTube подпадают под шпионское ПО spyware, являясь технологией слежки. Оно устанавливается без ведома пользователей, чтобы проследить за поведением.

Как минимум, на такие вещи требуется согласие пользователей в соответствии с законодательством ЕС. Как максимум, это уже действительно находится на грани незаконной слежки, а разница между действиями хакеров и большой корпорацией здесь небольшая.

Представители YouTube пока никак не отреагировали на обвинения.

#безопасность #google
Взламываем транспортные карты: чит на бесконечные деньги

Это интересный рассказ о том, как четверо старшеклассников из Массачусетса взломали местную транспортную систему. Один из них — на фото, открыл все турникеты на станции.

Парни смогли сделать так, чтобы транспортная карта бесконечно пополнялась. И даже сделали портативный терминал для пополнения прямо из рюкзака.

Энтузиастам повезло, что после инцидента руководители транспортной компании не стали подавать на них в суд. А пригласили в офис и спросили совета, как такого не допустить в будущем. В итоге они выступили с докладом на DEF CON 31 и создали неплохой урок по реверс-инжинирингу.

В статье — технические подробности о том, как старшеклассникам это удалось: https://habr.com/ru/companies/bastion/articles/772222/

#безопасность #diy
Как работают полумошеннические конторы по ремонту компьютеров: инсайды и советы

В студенчестве автору статьи «посчастливилось» познакомиться изнутри с одной из таких контор. Поскольку их бизнес до сих пор процветает, он решил кратко рассказать, как там все устроено. Он привел примеры их работы и рассказал, как избежать огромных трат, если такие дельцы пришли к кому-то из ваших знакомых, которые не сильно разбираются в технике.

Подробнее — в статье: https://habr.com/ru/companies/lanit/articles/769526/

#безопасность #hardware