Математическая модель редакторских войн в Википедии
Какие-нибудь гопники в случае разногласия могут устроить мордобой, а вот гики при наличии конфликта по любому мало-мальски важному вопросу тут же начинают войну правок в Википедии. Они воюют до тех пор, пока противник не признает своё поражение и не отступит с позором. Или же война может превратиться в затяжной конфликт, с эскалацией человеческих ресурсов с обеих сторон.
Группа учёных из Оксфордского университета (Великобритания), Будапештского университета технологии и экономики (Венгрия), университета Аальто (Финляндия), университета Пальма-де-Мальйорки (Испания) и Центральноевропейского университета в Будапеште опубликовала научную работу “Opinions, Conflicts, and Consensus: Modeling Social Dynamics in a Collaborative Environment”, где описывают математическую модель, в соответствии с которой возникают, развиваются и затихают конфликты в Википедии.
В интернете есть несколько тем, которые традиционно являются предметом острых споров между группами пользователей. В списке самых дурацких редакторских войн Википедии указано, сколько правок зарегистрировано для каждой статьи за каждый год. Конфликт может возникнуть абсолютно в любой статье. Например, в список самых конфликтных статей 2004 года вошла статья про сериал «Доктор Хаус» с 8423 правками. Группа пользователей из Азии и другого мира бурно сражалась вокруг фразы о том, что в фильме предвзято показывают людей азиатской
... Читать дальше »
Angry Birds на смартфоне или планшете — это скучно и неинтересно, таким способом развлекают себя обыватели. Суровые российские хакеры играют в Angry Birds исключительно на ATM, предварительно взломав систему. Руководитель отдела анализа защищенности Positive Technologies Дмитрий Евтеев опубликовал видеоролик, на котором его коллега взламывает банкомат.
После получения денег взломщик вызывает контекстное меню Windows долгим нажатием на экран. Оттуда запускает Explorer, экранную клавиатуру и консоль, а затем игру Angry Birds Space.
Anonymous невольно помогли деанонимизировать двух китайских хакеров
Несколько дней назад был опубликован скандальный отчёт Mandiant с результатами контрразведывательной операции против китайских хакеров из группировки APT1. Американские специалисты сумели собрать сотни улик, проследить десятки случаев реальных взломов и изучить активность на серверах хакерской группировки, которые привязаны к местоположению в Шанхае (Китай), где базируется P.L.A. Unit 61398, подразделение Народно-освободительной армии Китая. Предположительно, именно это «компьютерное подразделение» занимается проведением специфических операций разведывательного характера в США и других западных странах.
Специалистам Mandiant удалось записать скринкаст с компьютера одного из хакеров, а также деанонимизировать нескольких сотрудников хакерской группировки. Как выяснилось сейчас, это было сделано при невольной помощи хактивистов Anonymous.
В попытках установить личности хакеров, компания Mandiant сконцентрировалась на псевдонимах, которые чаще всего встречались в коде. Например, часто встречалось имя UglyGorilla. Этот хакер указан как автор первого образца вредоносной программы MANITSME, обнаружённой ещё в 2007 году. В коде программы стоял комментарий “v1.0 No Doubt to Hack You, Writed by UglyGorilla, 06/29/2007”. В последующие годы имя UglyGorilla встречалось и в других образцах кода, но американские специалисты никак не могли выйти на след этого ра
... Читать дальше »
Учёные обнаружили, что афалины — самый известный вид дельфинов — способны называть друг друга по имени. Судя по всему, это единственный вид млекопитающих, кроме человека, у которых существует система персональной идентификации.
Отличие системы идентификации дельфинов от человеческой состоит в том, что они используют свист на разной частоте вместо букв или цифр, как принято у людей. Прежние научные исследование доказали, что каждый дельфин способен назвать себя, издав уникальный свист. Это в определённом роде декларация при появлении в обществе других дельфинов, вроде «Всем привет! Я здоровый молодой мужчина, и вот мой идентификатор!» Сородичи способны уловить и распознать ID дельфина на расстоянии до 20 км, в зависимости от глубины и мощности сигнала.
Теперь экспериментально доказано, что другие дельфины воспринимают, узнают этот ID и способны воспроизводить его в определённых ситуациях. Например, если самка ищет потерянного супруга и желает воссоединиться с ним, то она громко повторяет его имя. Подобное случается при поиске друзей или родственников, но, судя по всему, дельфины никогда не называют чужое имя в агрессивных целях или для кражи личности. Учёные склоняются к мнению, что повтор чужого имени содержит дополнительные звуки, которые отличают его от оригинального произношения.
Стефании Кинг (Stephanie King) из отдела исследований мор
... Читать дальше »
Благодаря усилению мер защиты количество угонов почтовых ящиков Gmail сократилось на 99,7%, похвастались разработчики Google в корпоративном блоге. Число инцидентов уменьшилось в десятки раз по сравнению с пиковыми значениями 2011 года.
Сегодня когда человек входит в аккаунт, почтовая система не просто сверяет его пароль, IP-адрес и cookies, но сличает ещё 120 различных переменных — всё для того, чтобы максимально точно удостовериться, что это именно тот же человек, который обычно заходит в этот почтовый ящик под этим паролем. Благодаря такой слегка параноидальной защите и удалось снизить количество случаев угона на 99,7%.
«Если вход в почтовый ящик кажется подозрительным или рискованным по каким-нибудь причинам (может быть, он осуществляется не с того континента, как предыдущий вход в аккаунт), мы задаём простые вопросы о вашем аккаунте, — говорит Майк Харн (Mike Hearn), один из специалистов по безопасности Google. — Например, мы можем спросить номер телефона, привязанного к аккаунту, или ответ на секретный вопрос. Обычно эти вопросы трудны для взломщика, но просты для реального владельца».
Майк Харн говорит, что увеличение количества попыток взломать аккаунт связано с утечками информации с других сайтов. Очень часто в открытый доступ попадают баз
... Читать дальше »
В минувшее воскресенье сибирский метеорит побил исторический рекорд сервиса Youtube. По информации аналитической компании Visible Measures, ещё ни одному явлению не удавалось так быстро набрать 100 миллионов просмотров. Космический болид сделал это за три дня.
Больше всех просмотров (23,6 млн за 72 часа) набрал видеоролик с камеры регистратора, который ретранслировался телеканалом RussiaToday. Владельцы этого телеканала заявили, что в воскресенье кто-то организовал DDoS-атаку на их сайт.
Аналитическая компания Visible Measures идентифицировала более 400 видеозаписей, связанных с падением метеорита. Из них 160+ записей набрали более 100 тыс. просмотров или больше. В общей сложности, эти 400+ видеороликов сгенерировали 138 миллионов просмотров в течение 72 часов.
Кроме рекорда по скорости набора 100 млн просмотров, челябинский метеорит поставил рекорд по максимальному количеству просмотров за один день: 73,3 млн.
Ненадёжность паролей и применяемых методов хэширования в последнее время стала всем очевидна. Получив базу парольных хэшей, злоумышленники могут в считанные дни расшифровать львиную долю паролей. Что делать в такой ситуации — не совсем понятно. Некоторые считают, что выходом может быть применение других алгоритмов хэширования.
Организаторы конкурса Password Hashing Competition говорят, что существующие алгоритмы не слишком хорошо приспособлены для хэширования паролей в вебе. Здесь к ним предъявляются специфические требования: алгоритм должен быть достаточно быстрым, чтобы не расходовать слишком много серверных ресурсов, и при этом достаточно медленным, чтобы затруднить брутфорс на современных GPU.
Национальный институт стандартов и технологий (NIST) рекомендует использовать PBKDF2, хотят тот весьма уязвим к брутфорсу. Существует немного альтернативных вариантов: по существу, это только bcrypt и scrypt. В сообществе специалистов по безопасности и криптографов обсуждалось несколько идей, но они так и не дошли до конкретной реализации. Объявленный конкурс призван исправить ситуацию.
Конкурс Password Hashing Competition организован по образцу криптографических конкурсов, таких как AES, eSTREAM и SHA-3. Стандартные условия подобных состязаний можно изучить на сайте competitions.cr.yp.to. В жюри вошли многие авторитетные криптографы и эксперты, которые отвечают за отбор лучших алгоритмов для финального раунда. Среди
... Читать дальше »
В рамках исследования Halifax Insurance Digital Home Index, проведённого в Великобритании, была сделана приблизительная оценка, что современные дети на протяжении своей жизни примерно 25% свободного времени будут смотреть на тот или иной экран: телевизор, компьютер, планшет, смартфон и т.д. Эта цифра не учитывает рабочего времени.
Если предположить, что человек будет смотреть на экране ещё 40 часов в неделю (минимальная рабочая неделя), то процент увеличивается с 25% до 49%.
Это средняя цифра для всего населения в целом. Разумеется, всегда будет продвинутая часть граждан, которая больше других любит компьютеры — они будут гораздо больше времени проводить за монитором. Определённое влияние окажут носимые устройства, которые наверняка будут выпущены в ближайшее время: устройства с наголовными мониторами, такие как Google Glass.
Так что 25% свободного времени за монитором — это ещё очень оптимистичная оценка. Скорее, у многих эта цифра будет ближе к 90%.
Кстати, по результатам того же исследования, 45% жителей Великобритании общаются с помощью электронных средств коммуникации (скайп, телефон) с друзьями и родственниками, даже если они находятся в одном доме с ними. Вот эта цифра даёт более реалистичное представлении о том, что нас ждёт в
... Читать дальше »
Две недели назад специалист по безопасности Майкл Месснер сообщал о серьёзных уязвимости в маршрутизаторах D-Link DIR-600 и DIR-300. Они позволяют любому желающему получить доступ к маршрутизатору в удалённом режиме, через интернет, затратив минимум усилий.
Теперь Месснер рассказал, что не менее опасные уязвимости присутствуют и в продукции других производителей. В своём блоге Месснер упоминает точки доступа Edimax EW-7206APg и Edimax EW-7209APg, TP-Link TL-WA701N, маршрутизатор Linksys WRT160N, ADSL-модем Netgear DGN2200B, а также сетевые накопители Raidsonic IB-NAS5220 и IB-NAS4220-B.
Во всех случаях Месснер уведомлял производителей об уязвимостях много недель назад, но они либо вообще не дали никакого ответа (как в случае TP-Link), либо не выразили желания выпускать апдейты (Edimax, Raidsonic), либо выпустили апдейт без уведомления, закрыта ли уязвимость (Netgear). Месснер сказал, что компания Linksys не отвечает на его письма уже более двух месяцев.
Уязвимости включают в себя возможность получения паролей администратора без авторизации (TP-Link), исполнения произвольных команд в шелле без авторизации (Raidsonic и Netgear) или после авторизации (Linksys), а также хранение паролей в открытом виде (Netgear). Многие устройства уязвимы для XSS-атак.
Критическая уязвимость в подсистеме ptrace ядра Linux
В ядре Linux обнаружена локальная уязвимость в подсистеме ptrace. Уже существует прототип эксплойта. Уязвимости присвоен номер CVE-2013-0871 в общей базе.
Баг типа race condition (состояние гонки) — довольно типичная ошибка проектирования многопоточной системы или приложения, при которой работа системы или приложения зависит от того, в каком порядке выполняются части кода. Такие баги довольно трудно принудительно вызвать, но это возможно. В данном случае желательно внесение небольшого изменения в ядро, упрощающего проявление эффекта гонки при вызове ptrace с параметром PTRACE_SETREGS.
Последствия возможной эксплуатации уязвимости ещё до конца не изучены, но некоторые эксперты предполагают, что это самый опасный баг в ядре Linux за последние несколько лет. Для большинства дистрибутивов Linux её можно считать уязвимостью нулевого дня, хотя в основной ветке ядра проблема исправлена почти месяц назад. Вообще, это интересная ситуация: выглядит так, словно автор эксплойта узнал об уязвимости именно из патча, внесённого в ядро месяц назад. То есть вместо дизассемблера хакеры теперь изучают историю коммитов Линуса.
Тем не менее, в основных дистрибутивах дыра всё ещё присутствует. Есть предположение, что уязвимость может затрагивать все основные дистрибутивы Linux как на платформе x86_64, так и на платформе x86_32.
В последнее время появляется всё больше новостях об уязвимостях в ядре Linux, а также о вредонос
... Читать дальше »
