astrobeglec

Microsoft была основана в 1975 году и первым продуктом был отчаянно ненавидимый профессионалами Basic. Заработав первые деньги в 1981 году Б.Гейтс получает контракт от IBM на создание ОС для их компьютеров на архитектуре x86. Для этого MS покупает 86-DOS, а точнее релиз самой популярной ОС для intel-8080 архитектуры CP/M и адаптировала её под требования IBM. Судя по тому, что "адаптация" заняла 6 недель изменения были чисто косметическими...

Это первая жертва мелкомягких. Компания которая сделала DOS так и не взлетела...

С первого успеха Гейтс загорелся взять следующую "высоту" - ОС с графическим интерфейсом, к этому его подтолкнули партнеры от IBM. Работая над новой ОС Гейтс выиграл 2 года, но в итоге ему пришлось в 1983-м году анонсировать Windows... И пропасть еще на 2 года, за которые MS родила самую худшую на тот момент ОС с графическим интерфейсом Windows 1 интерфейс которой базировался на редакциях 1981 года Xerox Star и Apple Lisa.

Обе компании можно рассматривать как вторую жертву мелкомягких.

О качестве продукта говорит тот факт, что 1 августа 1984 года IBM решила выпустить OS/2... И привлекла к работе Microsoft...

Это третья жертва MS т.к. ветка Windows NT построена на совместных наработках по OS/2...

Следующей жертвой стал Unix - MS перенесла из него сетевые технологии и набор, который в последствии стал знаменитым Active Directory... Можно идти в этом списке и дальше, но для понимания корпоративных принципов MS этого вполне достаточно.

Объективно говоря MS Windows - франкенштейн собранный из частичных копий других ОС с легким "цементом" для скрепления этих частей в одно целое.

Из свежих примеров политики можно привести 3 ключевых примера:

1. Nokia - международный рейдерский захват крупной корпорации...

2. Массовое внедрение EFI вместо BIOS

3. Открытый шпионаж за пользователями.

И вот теперь MS добралось до Linux. Начало атаки прошло почти для всех незамеченным, началась она с фундамента - ядра ОС. Кто сидел на 2-й ветке и переходил на 3-ю тот поймет без дополнительных пояснений. Для остальных поясню - MS стала активно участвовать в разработке ядра (5 в топе по числу правок, традиционно игнорируя принципы программирования принятые в Linux) стабильность работы ядра и скорость работы серьезно упала.

Теперь после длительного обхаживания Canonical был анонсирован формат пакетов Snap для Linux. Для непосвященных snap (Linux) = msi (Windows). В результате все преимущества архитектуры Linux летят коту под хвост и Linux "легким щелчком мыши" трансформируется в недо-Windows... Потому что построенный на snap-пакетах образ ОС будет работать гораздо хуже Windows.

Связано все это с простым фактом - 7-ка стала последним относительно удачным продуктом MS, при этом за последние 5 лет Windows по разным оценкам потерял до 11% рынка настольных ОС. Потерял часть рынка. При этом Canonical демонстрирует лучшие качества дурака - MS нае обманул уже не одну компанию для своей пользы... Аж аналогия с нашими соседями просматривается...

Я не против конкуренции, я очень даже за. Я за разные структуры ОС и прочее...

Я против недобросовестной конкуренции. И я против того, что в конкурентной борьбе вместо улучшения своего продукта топят конкурентов.

Эй, мелкомягкие, не пробовали поработать над качеством своей ОС?

P.S. В свое время я был активным Хабровчанином, но после того как я предсказал смерть Nokia после начала сотрудничества с MS меня слили... Nokia де-факто умерла...Yt [jxe j

Уф... В процессе суровой почти круглосуточной работы в последние 2 недели наметился просвет (в 23:30, что символично...). Так вот, подумал я, подумал, да и решил публиковать маленькие хитрости ИТ до которых дошел сам (что не исключает, что кто-то дошел до них раньше/позже).

Итак, прежде всего обо мне нужно знать 2 вещи:

1. Говнокодю пишу (или это надо зачеркнуть?) я в подавляющем случае для себя.

2. Я суровый и бородатый, поэтому библиотеки, а уж тем более фреймворки использую только когда пустив скупую слезу признаю, что в данном вопросе я тупой ламер и сам ничего сделать не могу.

Еще мой большой недостаток - работа в "режиме FullStack". Те кто читали/читают Хабр наверно думают, что FS - это миф (https://habrahabr.ru/company/Voximplant/blog/275229/), но я больше склоняюсь к такой концепции (с того же Хабра) https://habrahabr.ru/post/278467/

Когда мой знакомый (очень уважаемый человек, запредельно классный специалист в своей узкой области) узнал чем и как я занимаюсь он сказал такую поговорку: Лебедь умеет ходить, летать и плавать, но делает он это плохо (в значении, что рыбы лучше плавают, соколы лучше летают, гепарды быстрее бегают).

Можно разжечь цельный холивар о том что лучше FS или OO (Only One - разработчик только в одной технологии), но лучше сразу признать, что нужны обе категории специалистов, а с учетом современных реалий для 95-99% задач нужны именно FS разработчики. Почему? Потому что в 95-99% случаев заказчику требуется куча всего и он не настолько квалифицирован чтобы отличить говнокод от высококлассного. Поэтому (к моему глубочайшему сожалению) говнокодеры нынче в моде.

Итак, дабы потешить ЧСВ и взяв пример с коммунистов (нормальных, а не КПРФ) я решил немного заняться ликвидацией безграмотности (ликбезом). Для этого в перерывах основной работы создается специализированная платформа по популяризации, обучению и созданию действительно свободной биржи фриланса (управляемой сообществом). О чем по готовности будет пост.

С вводной частью покончили, теперь о набивших оскомину паролях и их хранении. Поскольку я теперь несколько "научно-исследовательский", то сперва немного занудства (ну и переписывания терминов в "ламер-стайл"):

логин - находящийся в свободном доступе набор символов который служит для опознания пользователя (идентификации, так сказать).

пароль - секретный набор символов, которые служат для подтверждения соответствия логина пользователю. Пароли хранят в файлах, чаще всего пароли хранятся в текстовых, специальных (например, базах данных) файлах и являются целью № 1 при взломе.

Пароли в открытом виде хранятся только в двух случаях:

1. У полных идиотов

2. Для обеспечения автоматического использования в сторонних программах

Во всех остальных случаях хранят не пароли, а их хеши. Хеш-функция - односторонняя функция преобразования с потерей точности. Самая простая иллюстрация хеш-функции это остаток от деления. Например простейший хеш можно изобразить как: хеш = остаток(число / 12345). Совершенно очевидно, что если число больше чем 12345 то одному хешу будет соответствовать несколько значений, а значит исходным паролем может быть любой из возможных вариантов. Это приводит к двум очевидным особенностям:

Положительная: даже если хеш подобран, это не гарантирует что именно это решение - верное. Если один и тот же пароль используется на нескольких сайтах, то при небольшом везении можно частично избежать взлома всего.

Отрицательная: как пароль подойдет любой из возможных вариантов хеша.

Атаки на хеши разнообразны и порой весьма оригинальны, но самой действенной атакой остается банальный перебор вариантов (особенно помогают "Радужные таблицы" https://ru.wikipedia.org/wiki/Радужная_таблица ). Хорошая статья по методам защиты от перебора написана здесь: https://habrahabr.ru/post/139974/

Так вот, посидел я, подумал и решил, что пора двигаться дальше, потому что предложенное в статье решение хоть и рабочее, но приводит к сильной нагрузке на сервер. В принципе это не проблема если ресурс очень слабо нагружен или есть много денег на кучу серверов. Но если мы бедны и убоги?

А вот если мы бедны и убоги, то нам поможет следующая абсурдная конструкция (алгоритм, думаю перенести его на любой язык программирования не составит труда):

Регистрация:

Запрашиваем: логин, пароль

Случайно генерируем "соль" т.е. последовательность символов.

Вычисляем длину пароля.

Генерируем n паролей той же длинны и заносим в массив n[x] (лучше чтобы 30-40 % вариантов были из радужных таблиц)

Вычисляем хеши логин+соль+n[x] и заносим его в отдельную таблицу (отдельная таблица для y пользователей)

Обход цикла n (циклично проходим по массиву подставляя значения n): Вычисляем хеши логин+соль+n[x] и заносим эти значения в ту же таблицу

Авторизация:

Запрашиваем: логин, пароль

Вычисляем хеши логин+соль+n[x] и сверяем его с таблицей

Если хеш в таблице есть, то авторизацию разрешаем

В чем плюсы:

- низкая нагрузка на сервер

- нужно пересчитывать пароли для каждого пользователя

- есть n вероятностей паролей, в т.ч. такие которые пользователь реально мог использовать, а значит нужно сделать n попыток авторизации на сторонних сайтах от имени данного пользователя.

В чем минусы:

- к аккаунту подходят y*n паролей

Этот минус можно нивелировать если детектировать перебор паролей как связку IP/логин и разрешать запросы на авторизацию по 1 в 5-10 секунд.

Разумная критика приветствуется.

В продолжении темы поднятой в: http://pikabu.ru/story/_4191275

Провели расширенное исследование, а именно "пробили" номера с разных точек района. И еще больше погрузились в странность, а именно:

Топ указанный в прошлом посте можно смело выкинуть на мусорку.

Как оказалось при прозвоне с точек в радиусе 30 км не зависимо от оператора набор из голосового меню (есть/нет) и количество гудков до звонка (число гудков в одном месте дошло до 16) уникален для каждой точки.

С сотовыми операторами не связан, поэтому ИМХО - настройки адресации не централизованы (или есть несколько параллельных линий) и очень сильно зависят от вышки куда подключается телефон, так что проверяйте кто лучше/хуже соединяет.

Поэтому лучше всего следовать двум правилам:

1. Ждать не менее 3-4 минут дозвона до оператора.

2. Если п. 1 не получился - вытащить сим-карту или включить "режим полета" (на моих аппаратах с Андройд 4.4 и 5 в этом режиме вызов идет)

Всем добра!

Пост специально для @djaaxtu, @justvisitor и @LetterGo по комментариям к http://pikabu.ru/story/_4191275

Если взять таблички с тарифами сотовых операторов то можно увидеть четкое разделение тарифов на 2 категории:

1. Универсальные тарифы - стоимость услуг связи по таким тарифам выше минимальных цен по другим тарифам, но ниже максимальных.

2. Целевые тарифы - этот тариф имеет "цель", причем стоимость "цели" весьма "вкусная", но вот остальные пункты тарифа бывает вызывают неосознанный страх...

Кроме этого у каждого сотового оператора есть политика относительно вызовов на стационарные номера и номера других сотовых операторов.

Поэтому есть 2 пути по экономии затрат на сотовую связь:

1. Коллекция сим-карт и держать в памяти кому с какой звонить (я пользуюсь именно этим вариантом, у меня есть симки "большой четверки"). Здесь тарифы нужно подбирать не по стоимости, а по охвату - 1 симка для Интернета, вторая местные звонки, третья - межгород и т.д. и т.п. Общий принцип - симки должны дополнять друг друга, а не дублировать. В этом случае Вы всегда можете выбрать нужный Вам тариф для звонка/смс.

2. Провести расчет стоимости звонков и выбрать наиболее выгодный тариф.

Помните - "Супервыгодных" тарифов нет ни у кого, каждый тариф имеет свои плюсы и минусы.

Итак идем в личный кабинет и скачиваем детализацию звонков. Делаем табличку из 2 строк:

1. Постоянные звонки (кому Вы звоните регулярно).

2. Случайные звонки (разовые звонки).

В каждой строке выделяем заголовки по сотовым операторам.

В итоге должно получиться что-то вроде (только в виде таблицы, буквы - наименования операторов):

Постоянно: 1ч-А, 2ч - Б, 3ч - В, 30м - Г

Временно: 1ч-А, 2ч - Б, 3ч - В, 30м - Г

Дальше ксерим нашу табличку и берем тарифы операторов. На каждом ксероксе напротив каждой цифры ставим сумму звонков и подсчитываем итог.

Листик с самой маленькой цифрой - нужный Вам тариф.

Тарифы будут отличаться у каждого человека! Потому что набор времени звонков на различные "зоны" у каждого человека свой. Кто-то звонит по всей стране, кто-то только на один-два номера, поэтому универсальных рецептов из "тариф Х иУ" не может быть в принципе!

Не забываем учесть и такой момент - звоните не только Вы, но и Вам, поэтому озаботьтесь выбирать не слишком накладный тариф для тех кто будет звонить Вам или... тариф "перезвони" придет именно к Вам ;-)

Всем добра!

Все знают, что по телефону 112 с мобильного можно вызвать экстренные службы. По Краснодарскому краю в порядке гражданской инициативы проверили системы оповещения. Сделали параллельную цепь сотовый-112 (т.е. берутся 2 телефона по 1 телефону связываемся с дежурным, а на 2-м набираем 112) и ждем отклик.

Результаты тестирования оказались несколько странными:

ТОП времени вызова экстренных служб по сотовым операторам от худшего к лучшему:

4 место: Мегафон - дважды слушаем голосовое меню, на 14-м гудке срабатывает звонок в экстренной службе.

3 место: Теле2 - однократное голосовое меню, на 13-м гудке срабатывает звонок в экстренной службе.

2 место: МТС - однократное голосовое меню, на 8-м гудке срабатывает звонок в экстренной службе.

1 место: Биллайн - голосового меню нет, срабатывание звонка моментальное.

Для чего я это пишу: набирая 112 человек ждет помощи, с советских времен сохранилось "правило шести" когда кладут трубку после шестого гудка, поэтому возможна ситуация когда человек до экстренной службы просто не дозвонится т.к. гудок на сотовом идет, а телефон в дежурной службе не звонит. Не бросайте трубку - ждите ответа!!!

Всем удачи и добра и чтобы не было поводов набирать "112".

@TrankMari - Телефон без СИМ-карты работает по разному ИМХО зависит через какую сеть соединяется.

В продолжение темы: http://pikabu.ru/story/_3806325 и специально для @dtkbrbq по этому комментарию: #comment_65210159

Итак, мало кто из руководителей не боится «маски шоу» с изъятием документов и компьютеров. В середине нулевых (последний раз 7 лет назад) я трижды бывал экспертом при таком изъятии, два — плановые и одно «по горячим следам». Счет по плановым 1:1, внеплановое не в пользу правоохранителей.

Итак сперва повторюсь — сотрудники полиции идут в организацию исключительно при наличии достоверной информации о нарушении (во всех случаях когда меня привлекали, если и изымали у кого-то «просто так» то не в моем присутствии, а то чему не был свидетелм...). То есть если пришли «маски-шоу» - они знают (или думают что знают) что и где искать. Ввиду того, что у нас далеко не столичный регион «масками» выступали ППСники и сотрудники ОВО, причем вместо киношных АК — пистолеты пулеметы. Вот такие «маски-шоу» с учетом местных реалий. Правда тем к кому они приходили, на эту несуразность внимания не обращали.

1. Вводная: Торговая точка на общей системе налогообложения, 3 сотрудника в точке, имеется информация о наличии «черной бухгалтерии». Откуда поступила информация — неизвестно, оговорка — начало по отмашке.

Приезжаем, ждем. Через 40 минут. Выходит покурить парень, дается первая отмашка. Двое сотрудников под видом покупателей заходят в магазин, через минуту за ними заходят еще двое (понятые). Курящий парень заходит в магазин и на его плечах заходит волна «масок» (в кавычках т. к. вошли обычные полицейские). Вошедшие ранее сотрудники не дали пройти парню (как оказалось бухгалтеру) на свое рабочее место, представились, начали проверку. Дают отмашку мне — задача поиск нужных файлов. На 3 сотрудников 3 компьютера и ноутбук. На двух компьютерах стоит ОС+офис+антивирусник... И все. Компьютер бухгалтера имеет дополнительно 1С:Бухгалтерию с одной учеткой, а ноутбук 1С:Бухгалтерию с двумя учетками...

По итогам осмотра составляются документы, ноутбук (это к тому, что «все изъять») пакуется и уходит на экспертизу. Насколько мне известно бухгалтер получил условный срок за... (барабанная дробь) нелицензионное ПО т. к. сумма уклонения от уплаты налогов до уголовной статьи не дотянула, а копия 1С на ноутбуке была пиратской.

2. Вводная: строительная организация (проектно-сметные работы), 7 человек (директор+бухгалтер+юрист и 6 сметчиков, директор не является хозяином), имеется информация о наличии «черной бухгалтерии». Информация поступила от сотрудника организации обиженного на зарплату (он, кстати, на «мероприятии» в открытую высказывал директору что он сдал и т. п., остальные сметчики «на протокол» все подробно рассказывали), хозяин бизнеса дал добро на работу.

Заход «масок» прошол без меня т. к. я банально проспал, да и могу себе это позволить. Прихожу, получаю отмашку на начало работы и файлы смет которые точно делались в «черную». На всех компах ОС+офис+антивирь+ГрандСмета. На первом проходе ничего не нахожу. Понимаю, что что-то пропустил. Беру один из компов и начинаю смотреть подробно. Короче докапываюсь, что сохранение документов идет на локальный (белые проекты) и сетевой (черные) диск. Сетевой диск — молчок. По имени машины и путям устанавливаю, что сетевой диск является microSD вставленный в компьютер директора. И тут облом — то что сменник является microSD я понял по адаптеру вставленному в картридер, сама карточка памяти в компьютере отсутствовала. По документам установили, что отсутствовала и купленная 1Ска. Поскольку карту при обыске не нашли («потерять» или спрятать микроба очень легко) считаю это шоу провалом милиции. Тут бы история и закончилась, если бы не «предусмотрительный» заявитель — на его компьютере была копия файлов с флешки. Файлы записали на диск, компьютеры под мои показания и по велению здравого смысла (организация не виновата) решили не изымать. Объясню что значит «под мои показания» - для суда самое главное — заключение экспертизы, да и понятые стоят не ради мебели. Поэтому возник вопрос как во-первых законно собрать доказательную базу, а во-вторых не подставить хозяина фирмы (нормальный мужик, кстати). Сошлись на том, что я пишу заключение с описанием включения съемного носителя и описание изъятой папки, хозяин и понятые подписываются под моими словами.

Данные о выполненных работах и полученных денежных средствах благодаря «запасливому» сотруднику быстро получили «живые» (с печатями и штампами) доказательства. Получил или нет директор срока не знаю, но с поста директора он был уволен в день обыска.

3 (внеплановый). Вводная: нормальное и долгосрочное партнерство двух фирм. Внезапно одна из них получает письмо о смене реквизитов и звонок о предоставлении очередного пакета документов на оплату. Письмо привезла «попутка», а привезти документы на оплату через два часа должен «продажник». Сумма — несколько миллионов. Главного бухгалтера что-то торкнула и она позвонила «коллеге» во вторую организацию. Реквизиты естественно не менялись. Поскольку «дяди» и суммы серьезные оперативная группа побила все рекорды сбора, согласования и подготовки документов. В момент передачи пакета документов (кстати документы были явно подписаны другой рукой) «продажника» кладут мордой в стол.

Получив подтверждение о поддельных документах оперативно вызывается группа «масок» и идет штурм «с ходу» организации где работал «креативный» продажник. Для тех кто в танке объясняю — у милиции (тогда еще полиции не было) на руках явно поддельные документы и человек который их привез, но вот кто составлял и насколько быстро «составитель» может замести следы неизвестно, поэтому и пошли на жесткие варианты. Параллельно вызванивают меня и дают координаты куда приехать. Приезжаю, наблюдаю соответствующую картину, начинаю работать. Из всего что я нашел был оригинальный (с правильными реквизитами) пакет документов сформированный в 1С и информация о том, что одно из писем двухлетней давности открывалось пару часов назад. Со слов присутствующего продажника он открыл документ, заменил текст, распечатал, отправил с попуткой, закрыл файл не сохраняя. Затем сформировал очередные пакеты документов по организациям, в нужном на просмотре печати отредактировал реквизиты, подписал настоящие, сам подписал поддельные, поставил на всех печать и повез развозить по клиентам.

Итог — продажник получил срок за мошенничество.

Ни на одно судебное заседание меня не вызывали. Так что, как показала практика, грамотно примененная microSD карта может оказаться более эффективной, чем забугорные терминальные серверы. Не из-за «технологичности», а потому, что если приходят «маски-шоу» они скорее всего знают что, где и как искать. Меня привлекали в нулевых по той простой причине, что относительно независимых квалифицированных специалистов в сфере ИТ вдалеке от крупных городов на тот момент практически не было. Но прошло время и теперь у полиции есть «специально обученные» люди для «полевого» нахождения нужной информации на компьютерах организаций. С одной стороны тупых выемок должно стать меньше т. к. специалист может сразу отсеять не нужные для дела машины, с другой стороны — спрятать информацию стало гораздо сложнее, более того даже до нашего городка (типа мухосранска) добралась цивилизация в виде профессиональных механизмов съема стертой информации с хардов и действительно квалифицированных специалистов.

В заключении хочу отметить две вещи и сделать ремарку:

Во-первых — на случай возможного изъятия машин вне организации (если идет полное изъятие изымаются и все флешки/съемники) должна храниться копия рабочих данных. Для большинства сотрудников объем рабочих документов за год — менее 3Гб, а значит можно хардами/флешками обеспечить современный «флоппи-нет» с резервной системой. В этом случае теряется информация за один день. Как временную замену изъятым компам можно использовать или старые машины или планшеты (офис и веб-приложения точно на Андройдах запускаются).

Во-вторых — максимально (в рамках закона естественно) сотрудничайте с правоохранителями. Чем быстрее будут закончены все проволочки, тем быстрее будет возвращена техника и организация приступит к работе.

Ремарка: в последнее время многие фильмы и сериалы "показывают" работу полиции. Так вот это художество и реальность имеют очень мало общего. Более того - правду о работе полиции показывать и рассказывать не будут никогда т.к. это может сказаться на расследовании преступлений. В подавляющем большинстве сотрудники полиции - отличные ребята, многие идут туда именно защищать нас с вами. Есть и уроды, спорить не буду. Просто один урод-полицейский совершивший преступление гораздо заметнее сотен молчаливых ребят, которые пашут сутками напролет, тонут в морях документов, подставляются под ножи и пули. Помните о том, что в любом стаде есть паршивые овцы.

Всем удачи и добра!