Привет, Хабр!

На самом деле, я немного приукрасил заголовок: Black Swift на эту минуту набрал на Кикстартере 161 % — и у него ещё пять дней впереди, так что проценты будут расти. Проект мы сознательно запускали на короткий период, три недели, и сейчас с лёгкой дрожью смотрим на проекты со сроком до 60 дней, только к его концу выползающие за 100 %.

И пока свежи в памяти воспоминания, хочу рассказать о том, что мы делали и не делали, было ли это легко или дёшево, и так далее — надеюсь, это поможет другим российским стартапам, которые думают о краудфандинге.

Впрочем, картинкой для привлечения внимания поставлю другое:



Это первые 100 машинокомплектов Black Swift в финальном (третьем) дизайне, приехавшие в Россию позавчера. Так как в Китае с 4 по 19 февраля — Новый год, то очередную опытную партию мы будем собирать здесь. Если с ней всё будет хорошо — в марте запускаем производство первой полномасштабной партии.

Однако я обещал про Кикстартер.

Читать дальше →

http://habrahabr.ru/post/250399/

Хочу поделиться парой серьёзных уязвимостей, найденных мною в телефонных аппаратах Grandstream.

1. Загрузка произвольного конфига в телефон

Изучая веб интерфейс цветных телефонов gxp21xx для изучения их api, наткнулся на скрипт загрузки конфига в телефон, это скрипт /cgi-bin/upload_cfg
В отличии от других скриптов, этому скрипту не передаётся sessionid, а передаётся только файл. Быстрая проверка через curl показала, что и вправду, воспользоваться этим скриптом можно без авторизации:

curl -i -F name="config.txt" -F file="@config.txt;type=text/plain" -H "Content-Disposition: form-data; name=file; filename=config.txt" http://xx.xx.xx.xx/cgi-bin/upload_cfg

Файл config.txt представляет из себя тектовый файл с набором параметров вида: Рхххх=уууу
Заливая файл с одной строчкой «P2=admin», мы меняем админский пароль на телефоне, после чего можем залогиниться в веб интерфейс.
В телефоне присутствуют аналогичные скрипты для загрузки воллпейпера, телефонной книги и т.д.
Данная узязвимость присутствует в телефонах gxp2130, gxp2140 и gxp2160
Читать дальше →

http://habrahabr.ru/post/250403/

10 февраля Консорциум Всемирной паутины объявил о том, что стандарт, описывающий API для управления вибрацией, получил статус рекомендованного. Сама по себе возможность заставить браузер повибрировать устройством была доступна уже некоторое время, но только сейчас она была наконец-то оформлена рекомендованной спецификацией, так что пришла пора подумать, как и где это можно использовать на повседневной основе. Впрочем, уже в самом начале авторы стандарта предупреждают, что API разработан специально для тех случаев, когда требуется простая тактильная обратная связь, и он не предназначен для использования в качестве общего механизма уведомления пользователя. Для уведомлений рекомендуется использовать Notifications API.

Желающие приобщиться к официальной спецификации со всеми её нюансами могут это сделать на сайте W3C, а здесь мы лишь бегло посмотрим на то, как всё это можно использовать, а также осветим некоторые моменты, не раскрытые в документации.
Читать дальше →

http://habrahabr.ru/post/250393/

Неделю на Хабре бушуют страсти по программе Яндекс.Метро. Давно его не включал, решил посмотреть ещё раз. И вдруг поймал себя на мысли, что приложение раздражает меня.
Читать дальше →

http://habrahabr.ru/post/250381/

После прочтения этого топика появилась идея сделать то же самое, но в виде Standalone приложения. В результате получился небольшой многопоточный HTTP сервер.
Читать дальше →

http://habrahabr.ru/post/250379/

Позвольте вас немного развлечь и рассказать о том, как обычный человек может вдруг превратиться в звукорежиссера, если Родина скажет «надо».

Дело было на хакатоне GamesJamMicrosoft, где мы небольшой командой делали игру про радугу и мохнатый глаз на ножках.


(это Вениамин, знакомьтесь)
Читать дальше →

http://habrahabr.ru/post/250367/

Стандарт PSR-7 успешно завершён. На этой неделе были добавлены последние штрихи. И теперь версия 0.6.0 пакета http-message package готова к использованию. Попробуйте следовать этому стандарту в своих приложениях.

Я до сих пор слышу замечания как по поводу слишком упрощённого, так и по поводу слишком сложного изложения. Именно поэтому написан этот пост — чтобы продемонстрировать использование опубликованных рекомендаций и показать одновременно и их простоту, и полноту и надёжность, которые они предоставляют.
Читать дальше →

http://habrahabr.ru/post/250343/

Разработчики TLS-имплементации на языке OCaml объявили конкурс BTC Pi~nata, чтобы доказать надёжность своей защиты. Известно, что конкурсы не могут быть настоящим доказательством, но этот очень уж забавный, да ещё с небольшим денежным призом.

Итак, эти двое хакеров открыли демо-сервер ownme.ipredator.se.

На сервере лежит ключ от биткоин-адреса 183XuXTTgnfYfKcHbJ4sZeF46a49Fnihdh. Сервер отдаст нам ключ, если мы предъявим сертификат.

Организаторы предусмотрели механизм MiTM для нас. Мы можем пропускать через себя трафик между виртуальными машинами BTC Pi~nata (TLS-сервер и TLS-клиент). Как понятно, в этом трафике есть нужный сертификат, нужно его только извлечь каким-то образом.
Читать дальше →

http://habrahabr.ru/post/250339/

На днях еще одно государственное ведомство, Министерство внутренних дел РФ, озвучило свою позицию по криптовалютам, в частности про биткоин.

«Неурегулированный статус криптовалют делает операции с ними довольно рискованными, и в случае каких-либо потерь держатели Bitcoin оказываются совершенно незащищены», — считает начальник Бюро специальных технических мероприятий МВД России Алексей Мошков. Об этом он сообщил ТАСС.

Он добавил, что в отношении bitcoin МВД России будет действовать исходя из законодательного регулирования, которое должен разработать Центробанк. «Мы полагаемся на решения нашего регулятора в лице Центробанка и будем действовать исходя из законодательной практики, складывающейся в этом направлении», — сказал Мошков.

В сентябре 2014 года замглавы Минфина Алексей Моисеев говорил, что законопроект о запрете использования виртуальных денег в России может быть принят Госдумой весной 2015 года. По его словам, осенью документ находился на стадии согласования при том, что со стороны правоохранительных органов были серьезные замечания, связанные с наказаниями (за что наказывать и как).

Летом прошлого года сообщалось, что ЦБ и правительство РФ могут со временем разработать регулирование для обращения электронных валют в России. «Мы сторонники аккуратного подхода к биткоин. Совместно с Банком международных расчетов мы мониторим эту ситуацию. Нельзя отвергать этот инструмент, возможно, за ним будущее», — отмечал Лунтовский, первый зампред ЦБ РФ.

Тем временем на официальном портале общественных и экспертных обсуждений Regulation.gov.ru выставлен текст законопроекта, подготовленный Минфином, который вносит изменения в КоАП РФ, а также в федеральные законы «о ЦБ РФ» (86-ФЗ) и «Об информации, информационных технологиях и о защите информации» (149-ФЗ), расширяющие толкование понятия денежных суррогатов и налагающие новые санкции за их выпуск/эмиссию, распространение, а также за информацию об этом. Читать дальше →

http://habrahabr.ru/post/250337/

Этой записью в блог мы начинаем цикл постов о паролях в SAP-системах: о том, как различные пароли хранятся в системе, как защищаются и передаются.
На первый взгляд все просто — хранить пароли нужно в базе данных. Конечно, в случае обычных пользователей так и есть: пароли хранятся в виде хешей в БД. Однако для служебных пользователей SAP-системы не все так просто.
Ввиду сложных архитектурных особенностей ERP-системы, разработчикам из компании SAP приходится использовать различные типы хранилищ для такой критичной информации, как пароли системных пользователей.



Что ж, обсудим, как надежно реализованы эти хранилища и может ли атакующий использовать их недостатки в своих целях.
Читать дальше →

http://habrahabr.ru/post/250335/

Позавчера мы ради интереса прошлись по компаниям, сидящим по-соседству — даже в самых стабильных задумываются о сокращении штатных расписаний и урезают бюджеты на обучение сотрудников.

Так что прокачивание своих навыков, будь ты уже знаком с кодом или только думаешь об этом, — теперь, похоже, личное дело каждого. Чтобы было проще сориентироваться, мы собрали курсы и полезные события для начинающих и продолжающих IT-специалистов и их окружения. Дневные и вечерние, оффлайновые и онлайновые.

Не забывай — количество мест на самых привлекательных курсах обычно ограничено и заканчивается стремительно! А некоторые так и просто стартуют совсем скоро — запрыгивай в уходящий поезд!
Читать дальше →

http://habrahabr.ru/post/250333/

Эксперты отрасли призывают разработчиков встроенных систем (ВР) покинуть зону комфорта и приобретать новые навыки, дабы не потерять актуальность в профессии.

Если мы посмотрим на ситуацию в 1980 году, парень (а в основном контроллерами занимаются все-таки парни), который разрабатывал схему обработки смешанных сигналов, парень, который подключал МК, парень, который писал код на ассемблере и парень, который выносил прототип наружу (наверное, имеется в виду отладка -примечание переводчика), был одним и тем же человеком (я сам из таких, хотя, конечно, это началось в СССР намного позже 1980 года -пп). Все это делал в значительной степени один инженер.

По мере того, как встроенные системы становились больше и сложнее, и миллионы строк кода начали поставляться с устройством (Джек Гансли в своей статье вспоминает время, когда с IBM PC поставлялся полный исходный код BIOS — пп), наступило время деления на разработку железа, разработку прошивки и разработку ПО в рамках одного устройства.

Во многих крупных компаний до сих пор так и остается. Но, похоже, маятник качнулся обратно, так как во все больших компаниях наступает консолидация ролей и снова в моде разработчики, которые в совершенстве владеют как аппаратной частью, так и программным обеспечением, и пытаются сделать большее с меньшими затратами. Соответственно, все больший процентов инженеров говорят, что они работают как на аппаратном, так и на программном уровне, и доля универсалов превосходит долю узких специалистов. (Собственно, универсалы никуда и не пропадали, просто какое то время в индустрии царило мнение, что принцип декомпозиции и специализация является серебряной пулей и позволяет достигнуть хороших результатов командой посредственностей — пп).

Поскольку мы не желаем отстать от прогресса в области ВР, то как определить, какие навыки, которые мы можем приобрести или развить, являются наиболее актуальными сегодня?

Журнал EE Times обратился к 9 профессионалам в ВР (видимо, у них произошел сбой в адресной книге, ничем другим то, что они не обратились ко мне, я объяснить не могу — пп) и рекрутерам и попросил их рассказать, что они думают по поводу наиболее важных вещей, необходимых современному инженеру в области ВР.
Еще раз напоминаю, тут НЕТ серебряной пули

http://habrahabr.ru/post/250293/

Всем привет! После успешного дайджеста новостей за 2014 год мы решили сделать рубрику регулярной, точнее – ежемесячной. Сегодня – самые важные новости информационной безопасности за январь. Методика выбора новостей немного изменилась. Мы по-прежнему берем самые посещаемые новости с нашего сайта Threatpost и пытаемся понять, почему они удостоились такого внимания. Но в ежемесячном дайджесте новостей будет пять. Напоминаю, что на Threatpost мы собираем все новости индустрии информационной безопасности. Собственные исследования «Лаборатории» публикуются на сайте Securelist.

Краткое содержание: Дыра в glibc и почему физики не дружат с лириками, северокорейский браузер, зарядка-кейлоггер и дыры в клавиатурах, криптолокеры в целом и в частности, взлом WiFi с социальной инженерией.
Поехали!

http://habrahabr.ru/post/250331/

Предмет интереса этой публикации — считывание и декодирование данных со второй дорожки банкоматовской карточки в условиях дефицита оборудования и средств.

Для начала приведу сухие теоретические знания. Если теория не интересует — можно пропустить.
Читать дальше →

http://habrahabr.ru/post/250329/

Приветствую уважаемых Хабровчан. Я Артем Макаров aka Robin, ведущий инженер компании Хардмастер, уже много лет специализируюсь на восстановлении данных с разнообразных носителей. Сегодня хотел бы поделиться с вами историей восстановления файлов с одной весьма любопытной флешки. Надеюсь получить отзывы на свой хабрадебют в комментариях.

Несмотря на то, что перевидать всяких девайсов довелось огромную кучу, с задачей, подобно описываемой далее, раньше мне сталкиваться не приходилось.
Читать дальше →

http://habrahabr.ru/post/250327/

В предыдущей части статьи мы подготовили сервер-образец для клонирования: установили все необходимые драйверы, обновления (системные компоненты) и программное обеспечение. Сделали необходимые настройки — включили MPIO для ISCSI и SAS дисков, объединили интерфейсы в группы, создали логические интерфейсы в разных VLAN, изменили размер обрабатываемых пакетов Jumbo Frames (значение MTU выставили равным 9014< ).
Теперь перейдем к настройке WDS (Windows Deployment Services — Службы развертывания Windows). Читать дальше →

http://habrahabr.ru/post/250325/

Доброго времени суток, %username%!

Прочитал сегодня статью «Отладка с помощью XDebug и PhpStorm на примере сайта 1С-Битрикс». В ней автор использует «зеленого жука» для запуска отладки. В комментариях предложены еще несколько методов запуска отладки, такие как специальные закладки, различные плагины и т.д. На мой взгляд, все это неудобно, к тому же есть наиболее простой и удобный вариант. Я мог бы предложить его в комментариях к статье, но, увы, в read-only это невозможно. Посему вынужден писать отдельную статью.
Читать дальше →

http://habrahabr.ru/post/250323/

Казуальные игры сегодня являются очень востребованным жанром в Одноклассниках со своим устоявшимся форматом. Об особенностях разработки и создания казуальных игр, о возможных ошибках и рекомендуемых шагах рассказывает Артур Шакалис, продюсер с восьмилетним стажем.

Что такое казуальные игры? Это игры с короткими и интенсивными игровыми сессиями, адресованные неискушенным игрокам, с очень красивыми, приятными визуальными эффектами, минимумом текста и очень цепляющие. Об этом полезно помнить, когда вы делаете подобную игру, чтобы понимать, для кого вообще вы ее делаете и каким принципам игра должна соответствовать. Немногим больше года назад топовые казуальные игры в Одноклассниках выглядели примерно так: в основном был хардкор, то есть игры от Plarium, мелкими вкраплениями туда попадал мидкор и всякие интересные твисты, например, игра «Небеса» от компании 2reallife. Но в сентябре-ноябре 2013 года произошел перелом. Играющая аудитория неожиданно стала быстро увеличиваться, прирост составил около трех миллионов абсолютно новых игроков. И это произошло благодаря игре «Найди кота». Это упрощенный до абсурда hidden object, где в каждой комнате нужно найти всего лишь один объект: кота. На этом игра вся и строилась.


Читать дальше →

http://habrahabr.ru/post/250299/

Введение

Немного общей информации

PureData — визуальный язык программирования для создания интерактивных программ (в данном случае их чаще называют «патчи»), используемых для исполнения и записи компьютерной музыки, звукового дизайна и визуализаций. Люди, знакомые, например, с Max/MSP, узнают привычный для них графический код, так как PureData — один из языков семейства MAX-подобных.

Выражаясь проще и слегка утрировано — это язык, заточенный под программирование синтезаторов и эффектов.

В этой статье я опишу некоторые элементы языка, а так же основные принципы, на которых базируется работа со звуком в PureData.
Читать дальше →

http://habrahabr.ru/post/250321/

Большинство тех, кто сталкивался с автоматизацией задач VMware vSphere, рано или поздно узнает про VMware vCenter Orchestrator.

Наличие REST плагина у этого фреймворка привело нас к мысли, что можно провести интеграцию vCenter Orchestrator с Veeam Backup & Replication, автоматизировав таким образом операции, выполняемые Veeam Backup Enterprise Manager, в частности: запуск, остановка или просмотр статистики бэкапов, выполнение восстановлений, просмотр, управление ролями безопаности.

Итак, исходные данные:

• установленный vCenter Orchestrator 5.5.2
• установленный Veeam Backup & Replication v8 Enterprise Plus

Что требуется:

• сделать так, чтобы оно работало вместе через REST (кстати, через PowerShell интеграция тоже возможна, но это уже вне рамок этого кейса)

Что вас ожидает:

• нюансы интеграции
• примеры REST запросов

Прошу под кат за деталями.
Читать дальше →

http://habrahabr.ru/post/249945/