...

суббота, 23 августа 2014 г.

[unable to retrieve full-text content]


NASA финансирует проект по созданию роботов для исследования астероидов


Агентство NASA на днях анонсировало начало проекта по созданию роботов для исследования астероидов. При этом роботы будут работать на поверхности астероида, что влечет за собой некоторые сложности для работы.


Дело в том, что сила гравитации астероида не позволяет удержать сколько-нибудь активно двигающися гусеничный, реактивный или шагающий аппарат. Небольшая ошибка, чуть более активный толчок — и все, робот улетает в космос, и туда же, в пустоту, отправляются надежды на получение информации об астероиде.


В NASA решили использовать для работы на астероиде не привычные нам колесные, гусеничные, шагающие и все прочие типы аппаратов, а инерциальные системы. Со стороны это будет выглядеть, как прыгающий куб. Работает все это примерно так:



Или вот так:



Само собой, такие инерциальные системы должны быть доработаны в соответствии с условиями микрогравитации. Кстати, примерно такую систему используют космические телескопы и некоторые другие аппараты, работающие в космосе. Для изменения положения в пространстве в таких аппаратах используются маховые колеса.


На астероиде инерциальная система будет представлять собой прыгающий куб, который не сможет катиться или шагать (само собой, это же куб), но зато сможет совершать прыжки. Это не самый точный способ передвижения, но достаточно эффективный при таких условиях.



Кроме того, с наружной части куба не будет никаких движущихся частей, а энергии потребляться будет очень немного. Для обеспечения энергией инерциального прыгающего куба будут использоваться солнечные батареи, размещаемые на корпусе. Кроме того, в куб можно встроить научные инструменты, которые будут изучать объект по разным параметрам.


Планируется, что подобные зонды, аппараты, будут простыми и не очень дорогими. К астероиду их будет доставлять корабль-матка, выбрасывающий группу кубов при достижении цели. Команды для кубов будут передаваться через такой корабль.


Текущее финансирование, по плану, не предназначается для доведения проекта к финальному этапу — созданию конечной версии куба. До этого еще далеко. По плану NASA, цель проекта — доведение параметра TRL (Technology Readiness Levels) до 3.5. Сейчас TRL=2, что означает «сформулированную технологическую идею проекта». Уровень 3 — это уже теоретическое и практическое доказательство работоспособности идеи. Уровень 4 — создание элементов прототипа и самого прототипа, способного функционировать с смоделированной среде.



В общем, конечный этап текущего проекта — доказательство работоспособности идеи «прыгающего куба», с, возможно, изготовлением каких-то частей макета или хотя бы компьютерной модели куба.


Кстати, уровень TRL, равный 8, означает изготовления целиком функционирующей системы, которая уже прошла все испытания в условиях, максимально схожих с реальными. До полета к астероиду еще далеко, времени много, так что у проекта прыгающего куба есть все шансы быть реализованным.


Via ieee


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Месяц с Sony SmartBand

Нет, это не обзор названного в заголовке устройства. Я попробую описать свой личный опыт использования этого трекера. Для тех, кто не знает, что это такое, коротко объясню, что это — шагомер, персональный логгер активности, «умный» будильник в виде браслета от компании Sony. Более подробный обзор можно найти тут.

Здесь же я напишу, почему я его купил и как мне с ним живётся.



Почему и как я купил это устройство




Давно хотел купить что-то в этом духе. Во-первых, потому что давно назрела необходимость следить за своим здоровьем. Каждый год это становится всё более очевидным. Да что там год — каждый раз, когда встаю на весы, понимаю, что «что-то надо с этим делать». Во-вторых, я вообще люблю сякие умные штучки, которые что-то рассказывают мне о мире вокруг и обо мне самом. Интересно же, сколько я прошёл, пробежал, проехал в день, сколько этих самых вредных калорий сжёг и пр.

Поэтому, оказавшись в одном из крупных сетевых магазинов электроники в большом торговом центре, сразу подошёл к витрине с такими устройствами.

Там было несколько разных моделей, но в первую очередь я, конечно, попытался примерить хорошо распиаренный JawBone UP24. Понятно, что захотелось посмотреть, как он работает, и будет ли дружить с моим Galaxy Note 2. Увы, но продавцы-консультанты так и не смогли его мне продемонстрировать — то ли что-то не работало, то ли заряд батареи слабый. Те же проблемы оказались с демонстрацией «родного» самсунговского устройства, да и Sony тоже продавцы подключить не смогли.

Кстати, на устройство от Sony я обратил внимание в последнюю очередь, и это, как говорится, «не баг, а фича» — та самая неброскость, которая мне весьма симпатична. В общем, что-то купить в этом магазине мне не удалось, так как консультанты, мягко говоря, были не готовы работать с этими устройствами. Всё решилось в находящемся поблизости фирменном магазине Sony, где консультант лихо установил три (!) приложения, которые необходимы для работы SmartBand с моим телефоном. Всё завелось и заработало и я решил, что это судьба и купил устройство.

Первые впечатления




Здорово. Да, мне всё вначале нравилось. Та самая неброскость, которая является в данном случае следствием элегантности и здорового минимализма, мне сразу понравилась. За месяц меня никто не спросил, что это за штука у меня на руке! Я не люблю «светиться» новыми покупками, так что меня это вполне устраивает. Если же вы наоборот — любите привлекать к себе внимание новыми девайсами, то с SmartBand это будет непросто.

Понравилось мне и приложение LifeLog, которое может не только записывать то, что «прилетело» из носимого устройства, но и всё, что вы делаете на телефоне: читаете ли новости, книгу, играете в игры, фотографируете, снимаете видео или бродите по интернету — всё это записыватся и вы можете увидеть, что, когда и где вы делали. Не знаю, имеет ли это практичекое значение, но мне показалось это занятным.

Приложение, как и положено фитнесс-трекеру, отражает количество пройденных шагов, минут, сожённых калорий и прочего. В качестве геймофикации скучного процесса сжигания калорий используются цели и за их достижение приложение «награждает» вас радостным сообщением.

Как уже много раз писали в том числе и на Хабре, одна из самых востребованных функций — «умный» будильник, который следит за вашим сном и будит тогда, когда вам легче всего проснуться. Будит вибрацией, а это значит, что будит только вас и ваши близкие могут продолжать видеть сладкие сны.

Да, «умный» будильник работает. Я стал вставать иногда раньше (даже на полчаса!), но всегда легко, без этого ужасного и тяжёлого пробуждения, которое бывает, когда обычный «принципиальный» и совсем не умный будильник жесткокосердно обрывает ваш сон «на самом интересном месте».

А ещё мне понравилось то, что SmartBand может сообщать вибрацией о приходящих звонках или сообщениях. Особенно это удобно на улицах, в шумных местах или там, где вам приходится отключать звонок телефона. Так же (вибрацией) устройство сообщает вам, что вы удалились от устройства. Мне это показалось впоне полезной функцией на работе. Наверное, у всех, кто работает в офисе были случаи, когда ваш сосед уходил надолго, оставив свой телефон на столе? А потом телефон начинал звонить. Кто-то очень настойчивый и целеустремлённый очень хочет поговорить с отсутсвующим коллегой и всё никак не сдаётся. Или перезванивает каждые пять минут. Если у вас есть такой сосед по офису — подарите ему что-то вроде SmartBand. Я теперь без своего телефона никуда не ухожу. Правда, дома приходится отключать эту функцию вручную, а то от телефона отвязаться не получится — браслет будет держать вас на «коротком поводке».

А ещё, не снимая этого устройства, можно мыться. По крайней мере, я не снимаю его, когда принимаю душ. Где-то на форумах читал, что один пользователь даже в баню ходит, не снимая SmartBand. Но я бы так не рисковал — мне кажется, что мягкий и эластичный браслет их мягкого пластика может и не пережить русской парной.

А теперь о грустном




Увы, но как фитнес-трекер SmartBand использовать не получится. Уж больно он врёт часто. Заметил это я довольно быстро. Проехался на машине, посмотрел, что там записал мой чудо-девайс… Оказалось, что я не ехал на машине, а то бежал, то пешком ходил, то просто стоял и ничего не делал. Увы, но SmartBand часто принимает поздку на транспорте то как бег, то как ходьбу. Естественно, посчитанные на этой основе калории никакого отношения к действительности не имеют. Я каждый день много и долго езжу на транспорте и «сжигаю» столько калорий, сколько не всякий атлет способен сжечь. Если верить девайсу, то я готовлюсь к крупным легкоатлетическим соревнованиям.

По этому грустному поводу я написал в службу поддержки Sony, надеясь, что мне хотя бы ответят, что, мол, знаем об этом досадном недостатке, инженеры день и ночь трудятся над испралением прошивки для девайса, программисты правят приложение для телефонов. Но, увы, в ответ — тишина. Зато пришло предложение зарегистрироваться у них (Sony) на сайте. После регистрации тоже никаких откровений по поводу работы устройства мне узнать не довелось. «Двойка» вам, служба тех.поддержки Sony, за работу.

В поисках решения проблемы узнал, что для обладателей телефонов Sony в приложении есть режимы для езды на транспорте и для катания на велосипедах. Думаю, что это могло бы решить и мою проблему. Но у меня телефон не этой фирмы. То ли я для Sony пользователь второго сорта и они как бы подталкивают меня к мысли купить «правильный» телефон, то ли они просто обкатывают новинку сначала на знакомом железе и мне просто нужно подождать. Хотелось бы надеяться на второе, но молчание службы поддержки таких оснований не даёт.

Ещё мне бы хотелось видеть свои логи не только в мобильном приложении, но и «на большом экране», например, веб-приложения. Пару дней можно и пролистать на относительно маленьком экране моего Ноута, но вот увидеть месяц своей жизни лучше было бы в более подходящем формате.

Итого




Если для вас важны точные замеры вашей фитнес-активности, то на SmartBand полагаться не стоит. Если вам нужен незаметный и в меру стильный «умный» будильник и «поводок» для телефона, то это устройство может вполне для вас подойти. Я хоть всё так же тяжело вздыхаю, вставая на весы, но пока сдавать девайс обратно не спешу. Во-первых, есть (слабая) надежда, что софт доведут до ума. Во-вторых, не уверен, что другие устройства работают лучше.

This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Mail.Ru Group приняла на грудь несколько десятков литров


сегодня в 18:29



Mail.Ru Group не устрашилась вызова, брошенного нам Badoo и Яндексом. За честь компании в тяжелейшей всемирной битве Ice Bucket Challenge постояли: pr_a_tak, yeah_boss, pkruglov, oparinov, AndrewSumin, viacheslavnu, а также их друзья и близкие.


Это событие состоялось на крыше здания Mail.Ru Group, а многие «бойцы» пришли с детьми, которые с радостью приняли участие в развлечении родителей. Не каждый день доводится таким весёлым способом помочь в спасении жизней и здоровья других людей. Респект и уважуха всем участникам! И на пожертвования не поскупились: помимо фонда борьбы с ALS, Mail.Ru Group перечислит дополнительные средства фондам, участвующим в проекте Добро Mail.Ru.



Если кто ещё не в курсе, Ice Bucket Challenge — это такая кампания по сбору средств на борьбу с ALS, боковым амиотрофическим склерозом. Редкий недуг на сегодняшний день неизлечим, одной из его жертв является Стивен Хокинг.


И напоследок: мы бросаем вызов на участие в Ice Bucket Challenge командам трёх компаний — Лаборатории Касперского, HeadHunter и ВКонтакте! Так уж и быть, в честь выходных даём вам 48 часов. :)




Только зарегистрированные пользователи могут оставлять комментарии.

Войдите, пожалуйста.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


В чем польза ZooKeeper для админов и разработчиков. Семинар в Яндексе

Привет! Меня зовут Андрей Степачев. В конце прошлого года я выступил перед коллегами с небольшим рассказом о том, что такое ZooKeeper, и как его можно использовать. Доклад изначально был рассчитан на широкий круг аудитории и может быть полезен и разработчикам, и админам, желающим разобраться, как все это примерно работает.

Начнем, пожалуй, с истории появления ZooKeeper. Сначала, как известно, в Google написали сервис Chubby для управления своими серверами и их конфигурацией. Заодно решили задачу со взаимными блокировками. Но у Chubby была одна особенность: для захвата локов необходимо открывать объект, потом закрывать. От этого страдала производительность. В Yahoo посчитали, что им нужен инструмент, при помощи которого они могли бы строить различные системы для конфигураций своих кластеров. Именно в этом основная цель ZooKeeper — хранение и управление конфигурациями определенных систем, а локи получились как побочный продукт. В итоге вся эта система была создана для построения различных примитивных синхронизаций клиентским кодом. В самом ZooKeeper явных понятий подобных очередям нет, все это реализуется на стороне клиентских библиотек.




Основа ZooKeeper — виртуальная файловая система, которая состоит из взаимосвязанных узлов, которые представляют собой совмещенное понятие файла и директории. Каждый узел этого дерева может одновременно хранить данные и иметь подчиненные узлы. Помимо этого в системе существует два типа нод: есть так называемые persistent-ноды, которые сохраняются на диск и никогда не пропадают, и есть эфемерные ноды, которые принадлежат какой-то конкретной сессии и существуют, пока существует она.



На картинке буквами Р —обозначены клиенты. Они устанавливают сессии — активные соединения с ZooKeeper-сервером, в рамках которого происходят обмен heartbeat-пакетами. Если в течение одной трети от тайм-аута мы не услышали хартбита, по истечении двух третей тайм-аута, клиентская библиотека присоединится к другому ZooKeeper-серверу, пока сессия на сервере не успела пропасть. Если сессия пропадает, эфемерные ноды (на схеме обозначены синим) пропадают. У них обычно есть атрибут, который указывает, какая из сессий ими владеет. Такие узлы не могут иметь детей, это строго объект, в который можно сохранить какие-то данные, но нельзя сделать зависимые.


Разработчики ZooKeeper посчитали, что очень удобно было бы иметь это все в виде файловой системы.


Вторая базисная для ZooKeeper вещь — это так называемая синхронная реализация записи и FIFO-обработка сообщений. Идея заключается в том, что вся последовательность команд в ZooKeeper проходит строго упорядоченно т.е. данная система поддерживает total ordering.



Все операции в ZooKeeper превращается в эту идемпотентную операцию. Если мы хотим изменить какую-то ноду, то мы создаем запись о том, что мы ее изменили, при этом запоминаем ту версию ноды, которая была и которая будет. За счет этого мы можем много раз получать одно и то же сообщение, при этом мы будем точно знать, в какой момент можно его применить. Соответственно, любые операции на запись осуществляются строго последовательно в одном потоке, в одном сервере (мастере). Есть лидер, который выбирается между несколькими машинками, и только он выполняет все операции на запись. Чтения могут происходить с реплики. При этом у клиента выполняется строгая последовательность его операций. Т.е. если он послал операцию на запись и на чтение, то сначала выполнится запись. Даже несмотря на то, что операцию чтения можно было бы выполнить не блокируясь, операция на чтение будет выполнена только после того как выполнена предыдущая операция на запись. За счет этого можно реализовывать предсказуемые системы асинхронной работы с ZooKeeper. Сама система в основном ориентирована на асинхронную работу. То что клиентские библиотеки реализуют синхронный интерфейс — это для удобства программиста. На самом деле, высокую производительность ZooKeeper обеспечивает именно при асинхронной работе, как обычно и бывает.


Каким образом это все работает? Есть один лидер плюс несколько фолловеров. Изменения применяются с использованием двухфазного коммита. Оновное, на что ориентируется ZooKeeper — это то, что он работает по TСP плюс total ordering. В целом целом протокол ZAB (ZooKeeper Atomic Broadcast) — это упрощенная версия Паксоса, которая, как известно, переживает переупорядочивание сообщений, умеет с этим бороться. ZAB с этим бороться не умеет, он изначально ориентирован на полностью упорядоченный поток событий. Параллельной обработки нет, но часто она и не требуется, потому что система ориентирована больше на чтение, чем на запись.



Например, у нас есть такой кластер, есть клиенты. Если сейчас клиенты сделают чтение они увидят то значение, которое сейчас сейчас видят фолловеры, считают, что сейчас значение у некого поля сейчас 1. Если мы в каком-то клиенте запишем 2, то фолловер выполнит операцию через лидера и получит в результате новое состояние.



Лидеру для того чтобы запись считалась успешной, нужно, чтобы как минимум 2 из 3 машин подтвердили то, что они эти данные надежно сохранили. Представьте, что у нас вот тот фолловер, который с 1, сейчас, например в каком-нибудь Амстердаме или другом удаленном ДЦ. Он отстает от остальных фолловеров. Следовательно, локальные машины уже будут видеть 2, а тот удаленный фолловер, если клиент произведет с него чтение до того, как фолловер успеет догнать мастера, увидит отстающее значение. Для того чтобы ему прочитать правильное значение, нужно послать специальную команду, чтобы ZooKeeper принудительно синхронизировался с мастером. Т.е. как минимум на момент выполнения команды sync будет точно известно, что мы получили состояние достаточно свежее по отношению к мастеру. Это называется slow read — медленное чтение. Обычно мы читаем очень быстро, но если все будут пользоваться медленным чтением, то понятно, что весь кластер будут читать всегда с мастера. Соответственно, масштабирования не будет. Если мы читаем быстро, позволяем себе отставать, то мы можем масштабироваться на чтение довольно хорошо.


Рецепты применения




Управление конфигурацией




Первое и самое основное применение — это управление конфигурацией. Записываем в Zookeper какую-то настройку, например, URL коннекта с базой или просто флажок, который запрещает или разрешает работу какому-то сервису внутри нашего кластера. Соответственно, участники кластера подписываются на раздел с конфигурацией и отслеживают ее модификации.


Если они зафиксировали изменение, они могут его прочитать и как-то отреагировать на это. За счет т.н. эфемерных нод можно отслеживать, например, жива ли еще машинка. Или получить список активных машин. Если у нас есть набор воркеров, то мы можем зарегистрировать каждого из них. И в зукипере мы будем видеть все машины, которые реально на связи. За счет наличия таймстемпа последней модификации или списка сессий, мы можем даже предсказывать, насколько машинки у нас отстают. Если мы видим, что машина начинает приближаться к тайм-ауту, можно предпринимать какие-то действия.


Рандеву




Еще один вариант — так называемое рандеву. Идея заключается в том, что есть некий путь воркеров и дилер, который раздает им задачи.


Мы не знаем, заранее, сколько у нас воркеров, они могут подключаться и отключаться, мы этот процесс не контролируем. Для этого можно создать каталог workers. И когда у нас появляется новый воркер, он регистрирует эфемерную ноду, которая будет сообщать о том, что воркер все еще жив, и, например, свой каталог, куда будут попадать задания для него. Лидер будет отслеживать каталог workers. Он заметит, если один из воркеров отвалится в какой-то момент. Обнаружив это он может, например, перенести задачи из queue к другому воркеру. Таким образом, мы можем построить на ZooKeeper несложную систему обработки заданий.


Блокировки




Допустим, пришел один клиент. Он создает эфемерную ноду. Тут нужно оговориться, что в ZooKeeper помимо обычных есть sequential-ноды. К ним в конце может приписываться некий атомарно растущий сиквенс.


Второй клиент, приходя создает еще одну эфемерную ноду, получает список детей и отсортировав их, смотрит, является ли он первым. Он видит, что он не первый, вешает обработчик событий на первый и ждет, пока он исчезнет.



Почему не нужно вешать на сам каталог my-lock и ждать когда там все исчезнет? Потому что, если у вас много машин, которые пытаются что-то заблокировать, то когда пропадет lock–0001, у вас будет шторм уведомлений. Мастер будет просто занят рассылкой уведомлений об одном конкретном локе. Поэтому лучше их сцеплять именно таким образом — друг за другом, чтобы они следили только за предыдущей нодой. Они выстраиваются в цепочку.



Когда первый клиент отпускает лок, удаляет эту запись, второй клиент видит это и считает, что теперь он является владельцем лока, т.к. впереди никого нет. За счет сиквенса никто вперед него гарантированно не залезет. Соответственно, если первый клиент придет снова, он создаст ноду уже в конце цепочки.


Производительность




На графике ниже по оси x отображено отношение записи к чтению. Заметно, что с ростом количества операций записи в процентном отношении, производительность сильно проседает.


Это результаты работы в асинхронном режиме. Т.е. операции шлются по 100. Если бы они слались по одной, числа по оси y нужно поделить на 100. На чтение можно расти лучше. В ZooKeeper помимо возможности построить кворум из, скажем, пяти машин, которые будут гарантировать сохранение данных, можно еще делать неголосующие машины, которые работают как репитеры: просто читают события, но сами в записи не участвуют. За счет этого и получается преимущество в записи.

































Servers100% reads0% reads
13460k8k
9296k12k
7257k14k
5165k18k
387k21k

Таблица выше демонстрирует, как добавление серверов влияет на чтение и запись. Видно, что скорость чтения растет вместе с количеством, а если мы увеличиваем кворум на запись, производительность падает.


На картинке ниже можно посмотреть, как ZooKeeper реагирует на различные сбои. Первый случай — выпадение реплики. Второй — выпадение реплики, к которой мы не присоединены.



Падение лидера для зукипера условно критично. При хорошей сети ZooKeeper может восстановить его примерно за 200 мс. Иногда лидер может выбираться и несколько минут. И в этот момент если мы пытаемся захватить lock, любые попытки записи без активного лидера ни к чему не приведут, мы будем вынуждены ждать его появления.


Задержки































severs / workers 3579
1776748758711
101831183115721540
202470233619341890

Время в таблице выше представлено в наносекундах. Соответственно по скорости чтения ZooKeeper приближается к in-memory-базам. Фактически это такой кэш, который всегда читает из памяти. Вообще у ZooKeeper база данных всегда находится в памяти. Запись происходит примерно так: ZooKeeper пишет лог событий, он в соответствии с настройками тика сбрасывается на диск и периодически система делает снэпшот всей базы. Соответственно, при слишком большой базе или слишком загруженных дисках задержки могут быть сравнимы с тайм-аутом. Этот тест моделирует создание некой конфигурации: у нас есть 1килобайт данных, сначала идет один синхронный create, потом асинхронный delete, все это повторяется 50 000 раз.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Что такое деньги




Деньги не являются ценностью. Деньги — это лишь численное отражение ценностей.


Что такое ценности




Обычно под ценностями понимаются следующее. Ценности — это:

1) товары (например хлеб, недвижимость),

2) услуги (например подстрижка и т.п).

Так или иначе товары и услуги материальны. Но существуют еще такие объекты как фильмы, музыка, OpenSource программы, технологии. Всё это — не материальные свободные ценности.



Ценность — важность, значимость, польза, полезность чего-либо.

Ценность — как характеристика предмета, обозначающая признание его значимости. Разделяют «Материальные ценности» и «Духовные ценности».

Википедия



Как появляются ценности




Разберем на примере. Предположим мы делаем глиняные горшки. У нас есть кусок глины стоимостью 100 руб и на изготовление горшка мы затрачиваем час своего времени. Предположим час времени стоит 500 руб. Сумма затрат равна 600 руб. Но готовый горшок мы продадим по рыночной цене (предположим это 1000 руб). Есть доход 1000, есть затраты 600, прибыль получается 400 руб. Всё просто.

Но давайте задумаемся. А откуда появились эти 400 руб? Вы ответите, что это очевидно. 400 руб — это прибавочная стоимость. Но какой физический смысл у этих 400 руб? Час труда (500 руб) — это услуга, глина (100 руб) — это товар. А 400 руб — это ни товар ни услуга. Эти 400 руб — ничто иное как прибавочная ценность.


Другими словами, мы не просто делаем горшки, а привносим ценности в этот мир. Её величина называется «прибавочная ценность».


Как появляются деньги




Теперь давайте рассмотрим как появляются деньги. И здесь вы ответите, что всё очевидно. Деньги выпускает госурарство в лице Центрального банка. Новых ненег, по идее, выпускается столько сколько появляется новых товаров и услуг на территории этого государства. Если новых денег выпускается больше, чем появляется новых товаров и услуг, то происходит инфляция. При этом, по Кейсианской теории, считается очень хорошо выпускать как можно больше денег. Это позволяет «развивать экономику». Хотя, на самом деле это называется «надувание пузырей». Но мы сейчас не об этом.

И так. Деньги выпускает государство, под обеспечение товаров и услуг, которые произведены на территории (или под юрисдикцией) этого государства. Это является официальным платежным средством на территории этого государства. Такие деньги называются национальными валютами или фиатными.



Фиатные деньги (от лат. fiat — декрет, указание, «да будет так») — деньги, законные платёжные средства, номинальная стоимость которых устанавливается, обеспечивается и гарантируется государством посредством его авторитета и власти.

Википедия





С этим всё понятно. Товары находятся на территории какого-то конкретного государства и услуги предоставляются на территории конкретного государства. И под эти товары и услуги государство эмитирует новые деньги. А как быть со свободными ценностями, которые распространяются свободно в интернете? Какому государству принадлежат не материальные ценности?

Не материальные свободные ценности




Ведь, де-факто как только фильм или музыка попадает в сеть, то она уже перестаёт принадлежать кому-либо. Да, юридически права кому-то принадлежат. Но мы говорим про то как происходит на самом деле. Фильмы, музыка, технологии и все остальные цифровые «товары» которые опубликованы хотя бы один раз в сети — де-факто принадлежат всему миру.

Очевидно, что разработка цифровых «товаров» — штука ценная. Технологии и алгоритмы, порой, являются очень ценными. Возникает вопрос Какое государство, при этом, должно производить эмиссию новых? Да, очевидно, что если компания и её сотрудники находятся на территории и в юрисдикции определенного государства, то это государство и будет производить эмиссию. Тут всё просто. Но если компания зарегистрирована в одном государстве, разработчики физически находятся в другом государстве, а работу ведут на серверах, расположенных в третьем государстве. А если команда распределенная, работа производится децентрализованно и без образования юрлица (OpenSource разработки)? Что тогда? Где именно произведены ценности и какое государство выпускает новые «обеспеченные» деньги? Все государства сразу? Или разработка не является ценной? Например ядро Linux и другие OpenSource проекты являются ценными разработками или нет? :)


Эмиссия за не материальные свободные ценности




Мы утверждаем, что за все не материальные свободные ценности эмиссию должен получать их создатель. Под свободными ценностями здесь мы понимаем все ценности, созданные свободными людьми в рамках свободного пространства интернета.

Кто такие свободные люди




Это люди, которые трудятся в интернете. При этом физически человек может находится в одном государстве, работать в компании зарегистрированной другом государстве, на сервере, расположенном в третьем государстве. Главное — это то, что результат труда должен распространяться в интернете свободно, без территориальных ограничений. Другими словами — OpenSource.

Свободная валюта




Проанализировав всё это, мы пришли к выводу, что в интернете необходима свободная валюта (криптовалюта). Тем более, что технологии для создания такой валюты уже существуют и успешно используются многими людьми. Это Bitcoin и его многочисленные форки. Но Bitcoin не является деньгами в нашем понимании. Т.к. эмиссия Bitcoin производится не за полезный труд, а распределяется случайным образом за подбор хеша. По сути вся система Bitcoin и его аналоги попусту сжигают электричество, не производя полезных (научных) вычислений. Поэтому мы говорим, что Bitcoin — это прообраз валюты будущего. Существуют проекты криптовалют, в которых предлагается сделать генерацию блока на основе полезных вычислений. Это правильно, но эти криптовалюты пока на стадии идеи.

Мы решили создать первую свободную криптовалюту, где эмиссию будут получать только авторы интересных и полезных разработок (фильмы, музыкальные произведения, OpenSource программы, изобретатели, разработчики новых технологий). Авторы будут получать эмиссию в качестве премии за полезный труд, за созданные ценности.


Как определить полезный труд или нет и на сколько




Сбор средств

Мы предлагаем авторам работ (предпринимателям), до того как начать разработку сначала провести сбор средств методом краудфандинга. Таким образом можно еще до создания оченить нужность решения/продукта.


То есть производить оценку той или иной работы будем в два этапа.

1. До создания, с помощью краудфандинга, определить нужен продукт или нет и на сколько нужен (какова собранная сумма финансирования). Если необходимая сумма на проект собрана, то далее деньги автоматически передаются автору проекта и работа начинается.

2. После реализации, с помощью голосования, определить на сколько хорошо реализован проект. Если проект сделан хорошо, то автор автоматически получает эмиссию в качестве премии. Если проект выполнен плохо, то автор эмиссию не получает и теряет свою репутацию.


Начало реализации проекта


Как это работает




Описание идеи наиболее понятно получается объяснить на примере. Предположим, что в системе есть несколько участников и есть сообщества. Один из участников предлагает реализовать CrowdFunding проект. Для защиты системы, проект обязательно реализуется в рамках какого-либо сообщества. При этом автор проекта должен являться членом того сообщества в рамках которого планирует проводить сбор средств.

Сообщества в системе необходимы для того, чтобы иметь возможность экспертной оценки проекта при начислении эмиссии. Члены сообщества, при оценке, выступают в роли экспертов. При этом другие участники оценивают самих экспертов. Поэтому экспертам выгодно объективно оценивать проекты и не допускать в свой круг случайных людей.


Завершение реализации проекта


Эмиссия




Разберем пример эмиссии в системе. Предположим что есть автор, который предлагает собрать дистрибутив Linux. Автор ранее хорошо себя зарекомендовал, есть сообщество, есть желающие помогать как советами, так и деньгами. Но необходимо финансирование. Поэтому автор решает собрать необходимую сумму методом краудфандинга. И так, что нужно сделать:

1. Регистрация. Зарегистрироваться в системе, завести кошелек.

2. Сообщество. Если подходящего сообщества еще нет, то необходимо создать сообщество. Либо подать заявку на вступление в имеющееся сообщество и подождать одобрения от экспертов (от членов сообщества).

3. Проект. Создать проект «сборка дистрибутива Linux», задать необходимую сумму, задать сроки сбора средств и сроки выполнения проектов.

4. Сбор средств. После регистрации проекта, все желающие могут профинансировать проект (стать вкладчиками).

5. День окончания сбора средств. Если проект не наберет нужной суммы, то собранные средства автоматически возвращаются.

6. Выполнение проекта. После сбора средств автор получает деньги в свое распоряжение.


Вручение результата работы вкладчикам


7. Час X окончания проекта (DeadLine). После назначенного времени, когда проект должен быть готов, производится оценка. В течение нескольких дней проходит голосование. При этом оценивают проект как вкладчики, так и эксперты (члены сообщества).Оценка


8. По результатам голосования определяется коэффициент эмиссии, начисляется эмиссия, а так же прибавляется или уменьшается показатель репутации.



Эмиссия зависит от нескольких коэффициентов и от собранной суммы. В частности от интереса к сообществу, от результатов голосования вкладчиков и результатов голосования экспертов.


Репутация




В системе есть численный показать репутации, который показывает на сколько много и хорошо автор выполнял прошлые проекты. Репутацию нельзя купить, её можно только заработать. Репутация является аналогом показателя Кармы на Хабре.

Обеспеченность




Так как эмиссия в системе производится только за реальный труд, за созданные ценности -то мы утверждаем, что все деньги в системе обеспечены реальным полезным трудом. Таким образом мы получаем первую обеспеченную криптовалюту.

Защита от накруток




Совокупность репутации каждого автора, и репутация (вес) каждого сообщества внутри системы даст защиту от накруток. Все транзакции и все проекты являтся открытыми. Как только появляется подозрение о мошенничестве — то пользователи системы «заминусуют» как автора, так и сообщество в котором он состоит. Кстати, именно по этой причине эксперты (члены сообщества) будут выставлять оченки адекватно, не завышая их.

Венчурный краудинвестинг





Краудинвестинг — составная часть краудфандинга. Главная особенность краудинвестинга — возможность получения вознаграждения за спонсорство, если проект добивается успеха (аналогично инвестированию).Википедия





В системе реализована возможность инвестировать в потенциально выгодные стартапы — венчурное инвестирование на ранних стадиях. Автор проекта организует компани по сбору средств с челью начальной реализации проекта с дальнейшим привлечением средств от инвестиционного фонда. При этом фонд «выкупает» доли у первоначальных инвесторов. Это хорошая возможность для авторов собрать посевные инвестиции и проверить свою бизнес-идею. И хорошая возможность для инвесторов-ангелов заработать. А главное возможность инвестировать в любые проекты, без привязки к территории. Естественно есть и риски. Показатель репутации, отчасти, будет являться гарантией.

Техническая реализация




Криптовалюты, основанные на PoW не подходят, необходим 100% PoS. За основу мы взяли исходный код криптовалюты NXT (NextCoin). Исходный код полностью переписан на JavaScript (Node.js) и в него добавлен механизм эмиссии.

NXT — это 100% PoS криптовалюта второго поколения. Подробнее:

Что делает NXT криптоплатформой второго поколения

Новые веяния в криптовалютах: 100% proof-of-stake и Nxt


LibreMoney




Проект первой свободной обеспеченной криптовалюты мы назвали, по аналогии с LibreOffice, LibreSSL.


Основной сайт проекта

LibreMoney.org


Проект зародился в России. Но уже существует сообщество LibreMoney в Италии. А так же создаются сообщества на Китайском и Испанском языках.


Реализована Alpha1-версия (0.0.7) в которой можно зарегистрировать кошелек.

libremoney.com


Исходный код доступен на GitHub.

http://ift.tt/1zhJWIL


Вознаграждение разработчикам системы LibreMoney




Каждый разработчик, за свой труд, получает долю из первоначальной эмиссии (genesis). Первоначальная эмиссия 1 000 000 Lm.На форумах криптовалют часто можно увидеть негодование по поводу «премайна». В проекте LibreMoney первоначальная эмиссия обеспечена реальным трудом разработчиков. Никакого необеспеченного «премайна» не будет.Проект в начале своего развития. Нам нужны партнеры. Нужны все: программисты, дизайнеры, маркетологи, инвесторы. Присоединяйтесь. :)

Метаполис




Кроме того криптовалюта LibreMoney будет официальной денежной единицей свободной руспублики Метаполис.

Метаполис — международная сеть корпоративных жилых комплексов для фрилансеров и вольных путешественников. Предоставляет возможность всем стартап-предпринимателям реализацию своих проектов в режиме удаленной работы в комфортной эко-среде.


Метаполис — уникальный проект, не имеющий аналогов в истории и на рынке. Представляет из себя инфраструктурный инкубатор для инноваций нового типа. Воплощается в рамках коллективного клуба, в виде технопарка на борту океанического лайнера и взаимосвязанной с ним сети наземных объектов недвижимости.


Каждый объект включает в себя жилой корпус, учебный акселератор и рабочие зоны. Вся инфраструктура с неограниченным периодом проживания. Каюты, номера и квартиры допускают право частной собственности. Могут быть основным место жительства и местом для предоставления гостеприимства. Цель проекта — создание жилых комплексов, в том числе некоммерческого иннограда на борту лайнера совершающего бесплатные, экспедиционные, рабочие круизы Вокруг Света. Аудитория: стартап — предприниматели которые хотели бы осуществлять предпринимательство без привязки к офису и месту жительства, то есть бизнес в режиме фриланса сочетаемый с вольными путешествиями.


Подробнее о проекте Метаполис можно прочитать здесь, здесь, здесь и здесь. А так же можно скачать презентацию проекта по следующей ссылке. Metapolis.pdf



Кстати, в данный момент проводится сбор средств на реализацию проекта Метаполис на Boomstarter


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Темы Wordpress и «бесплатный сыр»

Тот факт, что бесплатные шаблоны для cms, скачанные не с оригинальных сайтов, могут быть заражены, содержать “пасхальные яйца” или уязвимости, вряд ли кого-то удивит. На просторах интернета достаточно много материала на эту тему. Но статьи с предупреждениями об опасности “бесплатного сыра” не содержат конкретных цифр, никто не пытался количественно измерить масштаб бедствия.


Мы решили провести эксперимент: скачали и проверили 2350 популярных руссифицированных шаблонов для Wordpress, которые блоггеры используют на своих сайтах.


Результат нас неприятно удивил. Более половины, а точнее 54%, оказались зараженными хакерскими веб-шеллами, бэкдорами, black hat seo (“спам”) ссылками, а также содержали скрипты с критическими уязвимостями.


Темы и шаблоны для Wordpress мы скачивали с популярных сайтов-каталогов, предлагающих русскоязычные премиум и тематические шаблоны:



  • best-wordpress-templates.ru (99% зараженных или уязвимых тем)

  • wordpress-ru.ru (99% зараженных или уязвимых тем)

  • wpfree.ru (97% зараженных или уязвимых тем)

  • wpfreethemes.ru (16% уязвимых тем)

  • bestwordpress.ru (7% уязвимых тем)

  • wordpreso.ru (3% зараженных тем)




Данные сайты были выбраны как наиболее популярные, поскольку находятся по запросу “бесплатные темы для wordpress” в первой десятке в результатах поисковой выдачи.


Обращаем внимание на то, что они не единственные. Существует огромное число сайтов-клонов, которые предлагают пользователям те же архивы с зараженными и уязвимыми темами. Например, если скачать тему blogdog с другого сайта, например, wp-templates.ru, то мы увидим тот же хакерский бэкдор в файле comments-popup.php.



С помощью данного бэкдора можно выполнять произвольный код на сайте (загрузить веб-шелл, удалить содержимое каталогов, вставить вирусный код в шаблоны и скрипты, получить доступ к базе данных и многое другое), в результате чего получить полный контроль над всеми сайтами аккаунта хостинга.


Только с сайта wp-templates.ru тему blogdog скачали 309 раз, а в результатах поиска по запросу “ тема wordpress blogdog ” находится несколько десятков сайтов-каталогов с шаблонами. По грубым оценкам, суммарное число скачанных зараженных тем – более 500 000.

Какой вред таят в себе зараженные шаблоны?


1. Спам-ссылки




Подавляющее большинство (около 97%) проверенных тем содержат код, размещающий чужой контент и спам-ссылки на страницах блога. Это так называемое “черное seo” – недобросовестный метод продвижения сайтов в поисковых системах и накручивания поисковых параметров тИЦ и PR. Как он работает? В момент открытия страницы код в файлах header.php, footer.php или functions.php выполняет загрузку списка спам-ссылок с внешнего сайта и размещает их на страницах блога в невидимом для посетителей блоке.


Более продвинутый вариант кода может выполнять кэширование загруженных ссылок в файле (обычно такой файл имеет расширение .png или .gif и размещается в каталоге images темы, чтобы не вызвать подозрение вебмастера). Кроме размещения спам-ссылок в невидимом блоке, код может вставлять чужой контент (текст и ссылки) на страницах блога, а также заменять отдельные слова в тексте на ссылку, ведущую на чужой сайт.



В шаблонах часто можно встретить и статические ссылки на чужие сайты. Но они будут также изначально закодированы с помощью base64 или функции str_rot13.



С учетом большой популярности бесплатных тем, данный метод “черного” продвижения достаточно эффективен, так как позволяет сформировать большую ссылочную массу, поэтому активно используется недобросовеcтными seo оптимизаторами и хакерами для продвижения сайтов клиентов или собственных проектов.


В результате работы вредоносного кода сайт превращается в линкферму, заспамленную “пластиковыми окнами”, “виагрой” и ссылками на сайты для взрослых, теряет лояльность со стороны поисковой системы и посетителей, а иногда попадает в бан или блокируется антивирусным программным обеспечением. Еще одним негативным моментом для сайта является также увеличение нагрузки на процессор и замедление открытия страниц блога, так как каждый при открытии каждой страницы выполняется подключение к внешнему ресурсу.


Пример заражения шаблона:



После декодирования:



2. Критические уязвимости в timthumb.php




Следующая по популярности проблема в шаблонах wordpress – это уязвимости в скрипте timthumb.php. Данный скрипт очень популярен среди разработчиков шаблонов и активно используется в темах для автоматического масштабирования изображений. В версии 2.8.13 и более ранних обнаружено несколько критических уязвимостей, позволяющих исполнять произвольный код на сайте и загружать произвольные файлы на хостинг (в том числе хакерские веб-шеллы). Если на вашем сайте установлена одна из старых версий, необходимо как можно быстрее обновить ее до актуальной из репозитория http://ift.tt/nEV6qG. В противном случае все сайты на вашем аккаунте хостинга под угрозой.

3. Бэкдоры и веб-шеллы




И, наконец, переходим к самым опасным и явным признакам зараженной темы – это наличие бэкдоров и веб-шеллов.


Эти скрипты предоставляют хакеру полный контроль над файловой системой и базой данных аккаунта: можно управлять файлами и каталогами, размещать дорвеи, мобильные и поисковые редиректы, вирусный код в шаблонах и многое другое. Поскольку на большинстве виртуальных хостингов скрипты сайта могут получить доступ к файлам соседнего сайта, скопрометированными оказываются все сайты владельца, размещенные на том же аккаунте хостинга.


К счастью, веб-шеллов было обнаружено всего в 3% проверенных тем каталога wordpresso.ru (в шаблонах 3_PM, beautygames, blogdog, browntextures, edu_0, gamesstylish, gamingzone, grand-banquet, hostingsite, myfinance_0, pink-cake, PurpleStyle, refresh-your-taste). Тем не менее, необходимо быть на чеку и перед использованием проверять темы на наличие хакерских скриптов.


Revisium Wordpress Theme Checker




Мы написали небольшой сканер, который ищет вредоносные фрагменты в темах wordpress.


Как уберечь свой блог от взлома через уязвимости в шаблонах





  • Скачивайте темы только из проверенных источников. Если вы скачиваете коммерческую премиум-тему с сайта, где она размещена бесплатно, скорее всего шаблон заражен. Поэтому в первую очередь от взлома блогов на wordpress страдают любители халявы. Коммерческие темы для wordpress нужно покупать на официальных сайтах. Это практически исключает вредоносные вставки в шаблонах.

  • Проверьте скачанные темы на наличие вредоносного кода и спам-ссылок. Это можно сделать сканером AI-BOLIT. Все подозрительные файлы проверьте вручную. Для анализа тем на вредоносные вставки вы также можете обратиться к специалистам. Для экспресс-проверки можете воспользоваться сканером тем rwp_checker.php.

    Не рекомендуем использовать десктопные антивирусы для проверки шаблонов. В большинстве случаев они не обнаружат ничего подозрительного, так как обнаружение вредоносного кода в php скриптах — не их профиль.

  • Если на вашем сайте используется скрипт для масштабирования изображений timthumb.php или его модификации (thumb.php, _img.php и пр), проверьте его версию и обновите до последней доступной: http://ift.tt/nEV6qG

  • Удалите все неиспользуемые шаблоны из директории wp-content/themes

    По нашим наблюдениям, пользователи устанавливают не один, а сразу несколько бесплатных шаблонов, тем самым увеличивая в разы вероятность взлома сайта. Если тема неактивна, она все равно позволяет открывать вредоносные скрипты из каталога wp-content/wp-themes/<имя темы>, поэтому не рекомендуем хранить коллекцию тем непосредственно на хостинге. Оставьте одну, активную, а остальные удалите.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Как была взломана Gamma International

image

3 августа в сабреддите /r/Anarchism некто пользователь PhineasFisher создал тред, в котором сообщил о том, что ему удалось украсть 40 гигабайт различных данных компании Gamma International. Возможно, подобная история могла оказаться не столь громкой, если бы не бизнес, которым занимается эта европейская фирма — создание и продажа программных средств для взлома и скрытой слежки (а иными словами — самой настоящей малвари), заказчиками которых обычно выступали государственные структуры. Через несколько дней после первого сообщения взломщик выложил длинный рассказ о том, как ему удалось проникнуть на сервера Gamma International и что удалось там найти.


Подробнее о FinFisher




В начале небольшое лирическое отступление и рассказ о том, чем хакера заинтересовала Gamma International. Помимо всего прочего, эта компания занимается дистрибуцией комплекта ПО FinFisher , который описывается как "программное решение для вторжения и удаленного мониторинга, созданное для использования правительственными структурами". Несколько государств преимущественно Ближнего Востока были уличены в переговорах или использовании этой шпионской системы, но большой огласки и расследования эти факты не получили.

Сначала малварь попадала на компьютеры через дырку в iTunes (любая сторонняя программа могла воспользоваться автообновлением этого медиацентра со всеми доступными операциями и вытекающими последствиями), которую Apple не закрывала более трех лет.


В 2012 году многие оппозиционные активисты Бахрейна по электронной почте получили письма с вложениями — .rar-архивами с фотографиями или другими документами, под видом которых на их машины проникал многофункциональный троян. Примечательно, что названия файлов, например, exe.Image.jpg на первый взгляд казались «правильными», но в локализованных для арабских стран системах они, как положено, переворачивались справа налево и у файл для системы оказывался не картинкой, а исполняемым файлом gpj.egamI.exe. Исследованием этой атаки занялись ребята из CitizenLab, и вот что им удалось выяснить.


image


Троян копировал в папку C:\Documents and Settings\<User>\Local Settings\Temp\ два файла — драйвер и скрипт для самоудаления. Для работы троян использовал технику Dynamic forking (Process hollowing), то есть образ его исполняемого файла в памяти размещался в адресном пространстве другого, уже существующего процесса. То есть зловредный код исполняется во вполне безобидном контейнере и при этом успешно скрывается от проактивной защиты (кстати сказать, пользуясь рядом других антиотладочных техник). Далее троян прописывает себя в автозагрузку через MBR и начинает собирать данные. Для этого он создает скрытый каталог с рандомным именем типа C:\Windows\Installer\{49FD463C-18F1-63C4-8F12-49F518F127}, куда сохраняет скриншоты, данные кейлоггинга, пароли (извлекаемые из браузеров и чат-клиентов), записи звонков по Skype и многое другое. Раз в десять минут троян пересылает собранные данные на сервер по заданному IP (в анализируемом случае это был 77.69.140.194) через порты 22, 53, 80, 443, 4111 (в основном — через два последних).


Результаты анализа действий малвари таковы:



  • Сокрытие от 40 самых популярных антивирусных систем

  • Скрытая связь с контролирующим сервером

  • Полный мониторинг Skype (звонки, чаты, переданные файлы, видео, список контактов)

  • Сохранение сообщений основных средств общения (email, чаты, VoIP)

  • Онлайн трансляция при наличии веб-камеры и микрофона

  • Слежение за своим геоположением

  • Исследование локальных файлов

  • Кейлоггинг

  • Открытие удаленного доступа к системе

  • Сложные фильтры для сбора необходимой информации

  • Поддежка самых распространенных ОС (Windows, Mac OSX и Linux)


Со времени этого исследования прошло более двух лет, и создатели FinFisher явно не сидели на месте. Учитывая даже громкие публичные утечки, у них было достаточно времени и ресурсов, чтобы дотачивать и расширять функцинальность своих шпионских систем.


Но теперь давайте перейдем собственно ко взлому. Хакер расписал этот процесс очень подробно, хотя для опытных пен-тестеров в нем нет никаких ноу-хау. Но для новичков в теме компьютерной безопасности эта инструкция может дать много пищи для размышления.


Рассказ для удобства будет вестись от первого лица.


Собственная безопасность прежде всего


Разумеется, все описанные действия — уголовно-наказуемое преступление, поэтому стоит предпринять основные способы обеспечения анонимности:


Для начала создаем скрытый зашифрованный том с помощью утилиты Truecrypt 7.1a. Далее устанавливаем на него Whonix. Это дистрибутив на основе Debian, все сетевые соединения в котором осуществляются только через анонимную сеть Tor. Вполне достаточно и того, что Whonix будет гонять весь наш трафик через Tor, но все-таки лучше, если мы не станем использовать свое домашнее интернет-соединение. В поиске доступных беспроводных подключений вам помогут инструменты aircrack-ng и reaver, а также самодельная антенна cantenna.


Следуйте здравому смыслу и не проявляйте подозрительную активность вне Whonix, а под ним — наоборот, не занимайтесь своими повседневными сетевыми делами, а также никогда не рассказывайте в хакерской тусовке о своих занятиях в обычной жизни, а друзьям — о своих грандиозных взломах. Если вы придерживаетесь этих правил — можете не переживать за свою анонимность.


Примечание: вообще, я не советую заниматься взломом исключительно через Tor. Он полезен для многого, включая браузинг веб-страниц, но когда дело доходит до пен-теста и использования инструментов вроде nmap, sqlmap и nikto, которые генерируют тысячи обращений к внешним узлам, через Tor будут работать медленно. Их лучше запускать со взломанных серверов или купленных за биткойны VPS. В этом случае через Tor вы будете лишь управлять этими средствами, которые, в свою очередь, будут работать через быстрое соединение.


Поиск цели


Для этого я обычно использую fierce, а также данные прямых и инверсных whois-запросов по IP-адресам и доменным именам.


Для примера возьмем частную военную компанию Blackwater. Что мы знаем изначально — доменное имя их сайта (academi.com). Найдем все поддомены:



fierce.pl -dns academi.com

67.238.84.228 email.academi.com
67.238.84.242 extranet.academi.com
67.238.84.240 mail.academi.com
67.238.84.230 secure.academi.com
67.238.84.227 vault.academi.com
54.243.51.249 www.academi.com


Теперь сделаем whois-запрос по www.academi.com и по выданному диапазону адресов узнаем, что сайт хостится на Amazon Web Service.



NetRange: 67.238.84.224 - 67.238.84.255
CIDR: 67.238.84.224/27
CustName: Blackwater USA
Address: 850 Puddin Ridge Rd


whois-запрос на academi.com также сообщил, что сайт зарегистрирован по этому же адресу (850 Puddin Ridge Rd), поэтому эту строчку можно использовать для инверсных whois-запросов. Вообще, такие сервисы с актуальными данными берут деньги за услуги, поэтому можно исхитриться и использовать Google:



"850 Puddin Ridge Rd" inurl:ip-address-lookup
"850 Puddin Ridge Rd" inurl:domaintools


Мы получили диапазоны IP-адресов, для которых fierce.pl подскажет нам доменные имена, а fierce.pl -dns — поддомены и их IP-адреса. Итерации можно выполнять до тех пор, пока вы не найдете все, что вас интересует.


Можно поискать организацию в Google и найти другие относящиеся к ней вебсайты. Например, для academi.com можно найти портал вакансий, онлайн-

магазин и раздел для сотрудников:



54.236.143.203 careers.academi.com
67.132.195.12 academiproshop.com
67.238.84.236 te.academi.com
67.238.84.238 property.academi.com
67.238.84.241 teams.academi.com


После очередных whois-запросов и дальнейших поисков выясняется, что academiproshop.com не относится к объекту исследования, так что мы вычеркиваем его из списка.


В случае FinFisher к уязвимому ресурсу finsupport.finfisher.com меня привел простой whois-запрос по finfisher.com, который сообщил наименование зарегистрировавшей его организации "FinFisher GmbH". Поиск "FinFisher GmbH" inurl:domaintools выдал gamma-international.de, который редиректил на finsupport.finfisher.com.


Я думаю, вы поняли принцип поиска цели. Вообще, это одна из важнейших частей атаки, поскольку чем больше площадь, которую вы смогли обнаружить, тем проще найти в ней подходящую дырку.


Сканирование и взлом


Просканируем nmap-ом все найденные IP-диапазоны и обнаружим запущенные на узлах сервисы. Кроме стандартного сканирования не станет забывать и о SNMP-сканировании.


Теперь надо определиться с каждым найденным сервисом:



  1. Выставляет ли он наружу что-то, чего выставлять не должен? Иногда компании выявляют сервисы, которые не требуют авторизации, и это считается безопасным, так как этот URL или IP используется только для внутренних нужд. Возможно у вас fierce найдет поддомен с git-ом, и пройдя в http://ift.tt/1uReh06 вы получите исходные коды сервиса как на ладони.

  2. Если ли ошибки конфигурации? Возможно, вам попадется FTP-сервер, который позволяет анонимный доступ для чтения или даже записи в важный каталог. Или сервер базы данных с пустым паролем администратора. Или встроенные устройства (VOIP-маршрутизаторы, IP-камеры, роутеры...) используют заводской аккаунт с паролем по умолчанию.

  3. Насколько стара версия и есть ли для нее публичные эксплойты?


Веб-сервера попадают в отдельную категорию. Для них, включая те, которые nmap нашел на нестандартных портах, я обычно делаю следующее:



  1. Хожу по веб-страницам. На найденных fierce поддоменах, которые явно не предназначаются для публичного взора, например test.company.com или dev.company.com можно найти много интересного, просто открыв их в браузере.

  2. Запускаю nikto. Он произведет поиск доступных каталогов webserver/.svn/, webserver/backup/, webserver/phpinfo.php и еще тысячи обычных ошибок в настройке.

  3. Определяю, какое ПО используется на вебсайте. В этом помогает WhatWeb.

  4. В зависимости от обнаруженного ПО можно использовать специализированные инструменты, вроде wpscan, CMS-Explorer и Joomscan. Сначала исследуйте те сервисы, для которых проще найти известную уязвимость или публичный эксплойт. Если таких не наблюдается, баг надо искать самому.

  5. Самописные веб-приложения — более благодатная почва для поиска багов, чем широко используемые проекты, поэтому начнем с них. В этом случае я использую комбинацию автоматических тестов ZAP и ручной поиск через его перехватывающий прокси.

  6. В случае использования сторонних систем достаньте их копию и изучите ее. Если это свободное ПО, вы сможете просто его найти и скачать. Если проект проприетарный, найдите пиратскую версию. Если вдобавок эта система еще и так надежно защищена, что никто не выложил ее пиратскую версию, вы можете либо купить себе лицензию (отстойный вариант), либо через Google найти другие использующие ее сайты, в которые будет проще проникнуть и достать ее копию.


Для finsupport.finfisher.com процесс выглядел так:



  • В фоне запустил nikto.

  • Зашел на сайт. Увидел форму логина. Быстро проверил на наличие SQL-инъекции.

  • Запустил WhatWeb с целью определить используемое ПО.

  • WhatWeb ничего не нашел, поэтому следующий вопрос, с которым следовало разобраться, — это сайт, написанный в Gamma или есть другие вебсайты, которые используеют аналогичное ПО?

  • Я открыл исходный код страницы, чтобы найти URL, по которому выполнить поиск (index.php, как вы понимаете, не настолько уникален). Я выбрал Scripts/scripts.js.php и обратился к Google: allinurl:"Scripts/scripts.js.php"

  • Выяснил, что существует множество сайтов, которые используют аналогичную систему, написанную в небольшой веб-конторе. Кажется, что все они с самописными движками, но на самом деле у них общий код. Я хакнул пару таких сайтов и скачал себе исходные тексты их движка.


На этом этапе я представляю себе огромные статьи, в которых журналисты пишут что-то воде: "В результате сложной, многоходовой атаки хакеры сначала взломали веб-контору и получили конфиденциальную информацию, которая помогла им атаковать Gamma Group..."

Но на самом деле, когда вы овладеете этой техникой, все делается довольно просто, почти на автопилоте. Заняло всего пару минут:



  • Нашел другие сайты через Google: allinurl:"Scripts/scripts.js.php"

  • Выяснил, что все они имеют SQL-инъекцию в первом параметре, который я проверил.

  • Понял, что веб-сервер использует Apache ModSecurity, поэтому я запустил sqlmap с аргументом --tamper='tamper/modsecurityversioned.py'

  • Получил логин и пароль администратора, зашел в админку, залил PHP-шелл (проверка на допустимые расширения загружаемых файлов делалать на клиентской стороне JavaScript-ом) и скачал исходный код веб-сайта.


Просмотрев исходный код, подумал, что этому движку можно было дать название Чертовски Уязвимый.


Теперь ко второму найденному сайту. В нем то же самое: инъекция, LFI, загружаемый файл проверяется на клиенте JavaScript-ом, а если вы не залогинены — страница админки отправляет вас обратно на страницу логина с заголовком Location, но вы можете отфильтровать этот заголовок через свою перехватывающую прокси и войти в админку без данных аккаунта.


Вернемся к сайту finsupport. Админка по адресу /BackOffice/ возвращает 403 Forbidden, возникают сложности с чтением локальных файлов и я решаю воспользоваться SQL-инъекцией (хорошо иметь несколько вариантов действий). Другие сайты на этом движке имели уязвимый сценарий print.php, и пара быстрых запросов к



http://ift.tt/1pthTou and 1=1
http://ift.tt/1pthTou and 2=1


обрадовала меня тем, что print.php присутствует и здесь, и так же уязвим. И полученные данные администратора подошли и к базе данных! В случае MySQL это означает возможность читать и создавать файлы. Оказалось, что на сайте были включены magicquotes, поэтому я не смог писать в файлы через MySQL-команду INTO OUTFILE. Здесь я воспользовался небольшим скриптом, который через sqlmap --file-read читает исходный код PHP-скрипта по заданному URL и совершает обычный запрос к веб-странице, чтобы получить HTML-код, потом ищет другие подключенные к скрипту файлы или PHP-страницы по ссылкам в HTML-коде, чтобы рекурсивно скачать весь движок.


Изучив исходные тексты, я понял, что клиенты могут прикреплять файлы к тикетам, и при этом расширения файлов никак не проверяются. Из базы данных я выбрал логин и пароль одного из пользователей, создал тикет с прикрепленным шеллом и попал внутрь.


Повышение прав (которое не состоялось)



___________
< got r00t? >
-----------
\ ^__^
\ (oo)\_______
(__)\ )\/\
||----w |
|| ||
^^^^^^^^^^^^^^^^


Получение прав root на 50% Linux-серверов в дикой природе осуществляется с помощью двух простых скриптов: Linux_Exploit_Suggester и unix-privesc-check.


Сервер finsupport работал на последней версии Debian, под которую нет эксплойтов для получения прав суперпользователя, но unix-privesc-check сообщил:



WARNING: /etc/cron.hourly/mgmtlicensestatus is run by cron as root. The user
www-data can write to /etc/cron.hourly/mgmtlicensestatus
WARNING: /etc/cron.hourly/webalizer is run by cron as root. The user www-data
can write to /etc/cron.hourly/webalizer


В /etc/cron.hourly/webalizer я добавил следующие строки:



chown root:root /path/to/my_setuid_shell
chmod 04755 /path/to/my_setuid_shell


Подождал час, и… ничего. Оказалось, что процесс cron на самом деле не выполняет запланированные задания. Если посмотреть в каталог webalizer, то видно, что статистика не обновляется уже месяц. Очевидно, после обновления заданного часового пояса cron либо не запускал задания вообще, либо запускал их в неправильное время, поэтому нам следует поменять часовой пояс и перезапустить cron. ls -l /etc/localtime сообщил, что часовой пояс менялся 6-го июня, в это же время webalizer перестал обновлять статистику, так что, вероятно, это и есть корень проблемы. Но в любом случае, все, чем занимается этот сервер, — это хостинг сайта, и я уже имею доступ ко всему, что меня интересует. Root-доступ не добавил бы ничего нового, поэтому я начал исследовать другие узлы сети.


Изучение сети


Следующим шагом было осмотреть локальную сеть, к которой подключена взломанная машинка. Этот во многом аналогичен описанному в главе Сканирование и взлом, за исключением того, что перед файрволлом можно обнаружить еще больше интересных сервисов. Здесь нам снова пригодится статически слинкованный nmap со всеми имеющимися скриптами. Очень полезными оказываются различные nse-скрипты с именами nfs-* и особенно smb-*. Единственной интересной находкой в локальной сети finsupport-а был еще один веб-сервер, раздававший папку qateam, в которой находился их шпионский софт для мобильных.


Веселимся


Настоящее веселье начинается, когда ты попадаешь в их сеть. Используйте свое воображение. Не обязательно нужно ограничиваться сливом документов. Изначально я планировал:



  1. Взломать Gamma и получить копию серверной части FinSpy

  2. Найти в ней уязвимости

  3. Просканировать интернет в поисках установленных FinSpy C&C серверов

  4. Определить, кто их использует

  5. Использовать C&C-сервер для загрузки и запуска программы на всех объектах слежения, чтобы сообщить им, что за ними следят

  6. Также с помощью C&C-сервера удалить FinFisher с их устройств

  7. Объединить C&C-сервера в ботнет и DDoS-ить Gamma Group.


Но полностью взломать Gamma у меня так и не получилось, я добыл лишь несколько интересных документов, но никакой копии серверной части FinSpy, на которую я так рассчитывал, найти не удалось, поэтому пришлось перейти к менее веселому плану Б, который заключался в публикации их документов и высмеивании этого в Twitter-е.


Примечание: на самом деле слито много зашифрованных файлов, так что направляйте свои GPU на файл FinSpy-PC+Mobile-2012-07-12-Final.zip (magnet-ссылка, 38,7 Гб) и расшифруйте его, чтобы я смог перейти ко второму пункту!


Другие методы


Еще один метод взлома, который я бы выделил наряду со сканированием и применением эксплойтов, больше подходит тем, кто имеет опыт программирования. Здесь нет четкой инструкции, но все способы хороши.


1) Эксплойты в веб-браузере, Java, Flash или Microsoft Office совместно с отправлением сотрудникам компании email-рассылки, в которой нужно убедить их кликнуть на ссылку или открыть прикрепленный файл. Либо взломать сайт, на который часто посещают эти самые сотрудники и добавить в него браузерный/Java/Flash эксплойт.


Таким методом обычно пользуются команды хакеров, работающие на правительство, но вам не обязательно быть правительством, тратящим миллионы на поиск 0day-уязвимостей или подписку на FinSploit или VUPEN, чтобы это провернуть. За пару тысяч долларов можно купить качественный набор эксплойтов от русских хак-групп, либо арендовать его за еще меньшую сумму. Существует еще Metasploit-browser autopwn-сценарий, но, скорее всего, вы добьетесь большего успеха безо всяких эксплойтов, но с фейковым Flash-обновлением.


2) Воспользуйтесь тем, что в 95% случаев люди вежливы, доверительны и готовы помочь. Индустрия компьютерной безопасности даже изобрела для этого термин: «Социальная инженерия». Можно попробовать покопать в этом направлении, если вы не сильно разбираетесь в технических вопросах, и этого может быть вполне достаточно, чтобы стать успешным хакером.


Послесловие


Целиком все добытые материалы занимают около 40 Гб и сидируются активистами и просто небезразличными людьми. Многие файлы зашифрованы, и хотя некоторых владельцев PGP-ключей удалось вычислить, ничего особо секретного раскрыть не удалось. Довольно быстро часть украденного кода используемых эксплойтов была залита на GitHub, где находится и сейчас: http://ift.tt/1l2TJB7.


Другие обсуждения:


Полезные ссылки


Книги:



  • The Web Application Hacker's Handbook

  • Hacking: The Art of Exploitation

  • The Database Hacker's Handbook

  • The Art of Software Security Assessment

  • A Bug Hunter's Diary

  • Underground: Tales of Hacking, Madness, and Obsession on the Electronic Frontier

  • TCP/IP Illustrated


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Hack in Paris 2014. Европейские приключения хакеров в Диснейленде

Прочитал статью Dor1s о DEF CON CTF 22 и захотелось рассказать о своих летних приключениях на Hack in Paris. Думаю хабражителям будет интересно прочитать отчет об этом событие, тем более некоторые из нас на нем даже выступали. Занесло меня на HIP2014 совершенно случайно. Возвращаясь через Париж из деловой поездки, у меня образовался какой-то странный зазор перед отпуском. Стал гуглить, что серьезного проходит поблизости, и неожиданно наткнулся на эту конференцию. Увидел в списке участников парней вроде Винна Шварту (Winn Schwartau) и решил рвануть на этот европейский DEFCON. Билеты стоили довольно дорого, но не смертельно. Примерно 700€.





Я, конечно, ожидал, что Диснейленд будет очень близко, но на самом деле от Hotel New York, где проходило мероприятие, до входа в этот пылесос для карманов родителей со всего мира было всего 4 минуты пешком.


Забавно с серьезными специалистами кушать стейки с кровью и наблюдать, как в это время, напротив, очередная обоятельная девочка добивает уже сдавшуюся маму купить Микки-Мауса, больше ее (мамы) роста.


Основные мысли из докладов…


1. Уровень защиты сетей и контроллеров в производственном секторе нулевой (ICS/SCADA). То есть системы на серьезнейших предприятиях защищены так, что не могут быть вызовом даже для 12 летних детей с нормально работающей головой.

2. Скоро даже утюги и кофеварки будут иметь широкополосный доступ в интернет. Именно тогда-то и начнется настоящий хаос. После этого у обычных пользователей появится значительно больше неприятностей. «Ваш холодильник заблокирован. Хотите утренний рассол — отправьте смс на короткий номер».

3.Хотите более безопасной связи — доставайте бабушкины Nokia зари 90х.

4.В Китае на черном рынке можно купить все, что угодно. Чертежи и технологии любой техники, производящейся на планете.

5.Криптография эволюционирует, и на смену шифрованию приходят устойчивые алгоритмы нового типа.


Ниже обо всем этом развернуто и подробно.



Само мероприятие состояло из 3 частей. Неделя обучающих семинаров, два дня выступлений и сутки соревнований. День и ночь соревнований называются Nuit du Hack. Остальное — Hack in Paris.

Выглядело все достаточно солидно. Выступали директора из огромных компаний, таких как Baidu.


Было море культовых персонажей, с которыми можно было легко пообщаться и попить пивка. Были интереснейшие воркшопы с демонстрационными стендами, которые учили взламывать все от Android телефонов до беспилотников и заводов.



Самые яркие выступления на мой вкус




1. Вот и начинается интересное. Выступление дорогого Альваро Алехандро Сото (Alvaro Alexander Soto), в котором он рассказывает о самых современных технологиях восстановления данных, крупнейшей аппаратной уязвимости наших дней, а также о строительстве своей лаборатории для проведения экспертиз. Частотный анализ? Ага, а клетку Фарадея и разминирование микробомб, заложенных в сервере не хотите?

Я думаю, что для специалистов по безопасности тут будет лишь пару новых моментов, а вот для CEO и технических директоров выступление будет просветляющим. И им сразу захочется еще что-нибудь вложить в безопасность компании. Для этого видео и стоит использовать.



2. А тут блестящий Томас Ванг (Thomas Wang) из Baidu. Китайской компании с количеством юзеров больше, чем в Google. Прямо из самого пекла современного мобильного malware­строительства. Мне его выступление показалось важным, потому что он дает интересное видение одной из новых угроз в области пользовательской безопасности. Рассказывает о том, как они останавливают огромные эпидемии и всячески сыплет примерами из бурной личной жизни. В общем смотреть надо.



Кстати, во время приватного разговора с ним, на одной закрытой коктейльной вечеринке, пришли к выводу, что львиную долю проблем можно решить прикрыв компании, которые предоставляют услуги процессинга платежей мошенникам. Я не буду тыкать пальцем. Мы и так их всех знаем.


Тем не менее, в Китае все гораздо хитрее. Его лекция дает почувствовать вкус происходящего там беспредела.


3. И, наконец, Паул Коггин про ICS/SCADA. Там про то, насколько уязвимы современные системы, работающие в промышленности. Общее ощущение, что уровень безопасности в этой области равносилен защите доверчивых дронтов, которых съели в XVIII веке.




А что еще?


Была интереснейшая история со швейцарской компанией Equivalence AG. Они бросили вызов участвовавшем в конференции хакерам и раздавали всем флаеры в виде 500€, с предложением вскрыть их архив.


В какой-то момент мероприятие де-факто остановилось. Огромный зал вместе со спикерами уткнулся в свои ноутбуки, пытаясь разгадать секрет. Но их так никто и не взломал.


Технология, по их словам, основна на новом принципе, который раньше не использовался. И они не используют шифрование.

Я знаю парни во время Nui du Hack нашли и распотрошили патенты Equivalence AG, но и это не дало никаких результатов.



Я уверен, что мероприятие не дотягивает по масштабу до DEFCON и DERBYCON, но было здорово. Еще понравилось, что всем дирижировала маленькая хрупкая мм… афрофранцуженка по имени Лайла. Не смотря на то, что мероприятие организовывали парни из Sysdreams, реальным руководителем мероприятия была она. Она просто носилась по огромному отелю из конца в конец, на бегу целуя кого-нибудь или отдавая поручения.




Слева Джесс. (Jayson E. Street). Справа Лайла.


В итоге я классно провел 4 дня. Научился вскрывать дверные замки на скорость. И пилотировал квадракоптер до ближайшей стены. Французская кухня и прекрасный местный воздух этому способствовали.


Кстати, что вы думаете про ситуацию со SCADA?


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Во время испытаний взорвался прототип Falcon 9-R


Во время проведения испытательного полета в американском штате Техас взорвался прототип многоразовой ракеты-носителя Falcon 9-R. Эта ракета была сконструирована в частной калифорнийской компании SpaceX. В результате взрыва никто не пострадал.



Испытательный запуск проходил в научно-техническом центре в Макгрегоре, где работают 250 человек. Во время полета в двигателях ракеты были обнаружены аномалии, сработала автоматика, и на первых секундах после старта Falcon 9-R взорвалась.



Ракета имела три двигателя. Она должна была сначала взлететь, а затем вернуться на стартовую площадку по аналогии с ракетой Grasshopper, созданной ранее.



This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


[recovery mode] Windows 9 уже в сентябре

Предположительно, в конце сентября, начале октября состоится презентация Windows 9.



Примерно в это же время разработчики получат Windows 9 Technical Preview. Кодовое название новой операционки Threshhold.



Финальный релиз Windows 9 запланирован на апрель 2015 года. Судя по ранним бета-версиям кнопка пуск и внешний рабочий стол возвращаются к идеологии классической Windows, но есть и новинки: несколько виртуальных рабочих столов, голосовой помощник Cortana. А меню Charms, которое в Windows 8 располагалось по краям рабочего стола убрали.



Возможно, что Microsoft будет выпускать Windows двух идеологий: классический вариант с кнопкой пуск и традиционным рабочим столом и версию под сенсорное управление, которая опробована в Windows 8.

Чуть ранее Microsoft публично признала, что Windows 8 не удовлетворяет «консервативных» пользователей и большинство до сих пор использует Windows 7. При этом компания приняла решение разрешить бесплатное обновление с Windows 7 сразу на Windows 9. Будет ли это на самом деле так покажет время.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


пятница, 22 августа 2014 г.

«Ростовское IT-сообщество» или 5 шагов для создания тусовки в вашем городе

image

Вечер пятницы — отличное время, чтобы отправиться на какое-нибудь интересное мероприятие. Но что делать, если вы живёте не в Москве или Питере, где частенько проходят тусовочки для гиков, разрабочтиков и вообще ИТ-шников?

В вашем городе нет активного сообщества, нет мест, где собираются программисты, нет культуры деловых знакомств на мероприятиях среди ИТ-специалистов, а люди не понимают разицу между словом “митап” и “стартап”. Заводим трактор и

Вам очень хочется как-то изменить ситуацию? У нас получилось это сделать, под катом опыт и исходники.



Всем привет, меня зовут Трофим Жугастров и так вышло, что я делаю “Ростовское IT-сообщество” уже чуть больше года. На фото сверху наш первый митап 27 июля 2013 года. После моей публикации в блоге инфраструктурщиков начал знакомиться с людьми, которые занимаются тем же самым в других городах. Появилась в голове некая общая канва, по которой можно создавать сообщества там, где их ещё нет. Я приведу здесь 5 простых шагов в стиле Капитана Очевидность, к тому, как начать заваривать тусовку у вас в городе.


1. Найдите место.

Оно должно быть бесплатным (вы ведь делаете некоммерческую историю).

Оно должно вмещать свободно больше 50-и человек. У нас на JS митапе было 130, народ не помещался и уходил :(

Оно должно быть в самом центре города.

Там должен быть проектор, wi-fi, розетки, аудиоаппаратура (микрофон и колонки).

Там должно быть уютно (в идеале лофт пространство).

Там можно пить пиво. Иначе зачем всё это??!


2. Найдите тематические сообщества. Наверняка у вас в городе уже есть тусовка iOS-разработчиков, рубистов или хардкорных java-парней. Вы должны создать некоторую надстройку, с целью объединить всех этих людей. Они не подерутся, не волнуйтесь, у них больше общих интересов, чем холиварных разногласий.


3. Найдите людей в соцсетях. Создайте группы VK и FB, можно ещё твиттер, но у нас он как-то не очень популярен. Пригласите всех знакомых программистов и всех, кто состоит в тематических пабликах. Создавайте в соцсетях страницу события под каждую встречу и приглашайте людей с основной страницы. Не пускайте хедхантеров в группу.


4. Оставайтесь независимыми. У нас в городе были корпоративные попытки создавать сообщества, но все они скатывались в оголтелый хантинг. Делликатный вопрос — спонсорство и пожертвования. Очень важно понимать разницу: при спонсорстве человек платит деньги и получает что-то взамен (рекламу, PR, установку баннера или стенда, возможность email рассылки по участникам и т.д.), а пожертвования приходят безвозмездно, зачастую анонимно, помогают сохранить независимость и привлекательность тусовки. Я советую сделать выбор в пользу второго.


5. Найдите героев. Они есть везде. Это люди известные за пределами вашего города. Их нужно приглашать в первую очередь. Им есть чем поделиться и они рады это делать (причём некоторые регулярно). Обязательно прислушивайтесь к их мнению о том, какой должна быть тусовка, без них она будет унылой.


Раньше, на хабре был раздел событий, там можно было освещать свои мероприятия, сейчас его убрали, а мы запилили свой движок. Оценить его в работе можно тут.

Исходники, как полагается, на гитхабе.

Конечно там ещё много работы, но его уже можно использовать в качестве основы для создания своих сообществ.


Спасибо за внимание!

Чтобы познакомиться с нашей тусовкой поближе, приезжайте на нашу пляжную конференцию South Fest. Это результирующее мероприятие года, которым я подвожу итог своей организаторской деятельности. Буду рад ответить на вопросы в комментариях. Об ошибках сообщайте в личку.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


[recovery mode] Изгибаемые многогранники

Посмотрим на многугольник с жесткими сторонами, в вершинах которого помещены шарниры. Если у него более трех вершин, то он может изгибаться — длины сторон далеко не однозначно определяют многоугольник. А что происходит с многогранниками в трехмерном пространстве? Если зафиксировать форму их граней, смогут ли они изгибаться?



Оказывается, что иногда могут, но это очень редкое свойство



Сразу скажем, что под изгибанием понимается непрерывное изгибание, а не просто то, что многогранник не однозначно задается своими гранями. Такой пример придумать довольно легко:


Однако, еще в 1813 году Коши доказал, что для выпуклого многогранника даже такая ситуация невозможна: выпуклый многогранник однозначно определяется своими гранями.


В 1897 году удалось построить примеры самопересекающихся изгибаемых многогранников(наглядно это можно представить как каркас из проволоки, отсутствие жестких граней не имеет значения, так как все они треугольные и однозначно определяются ребрами) — октаэдры Брикара. Wolfram demonstration


Только в 1976 году Конелли предложил конструкцию несамопересекающегося невыпуклого изгибаемого многогранника. Следуя его идеям, Штеффен вскоре построил пример изгибаемого многогранника с 9 вершинами(позже было доказано, что с меньшим количеством вершин это сделать невозможно). Видео с этим многогранником размещено в начале поста, также имеется Wolfram demonstration.


Оговорим заранее, что рассматриваются многогранники с треугольными гранями. Это не меняет сути дела, так как у любого изгибаемого многгранника можно добавить ребра, разрезав грани на треугольники, от чего его изгибаемость не пропадет. Однако, это упрощает вычисления, так как теперь вся информация о гранях многогранника содержится в комбинаторном строении и длинах ребер.


Попробуем теперь понять, почему оказалось так сложно найти изгибаемые многранники, в то время как для многоугольников это очень типичное свойство. Посмотрим на многугольник с n вершинами. Его форма задается координатами вершин, которых 2n. Эти координаты задают не только форму многугольника, но и его положение на плоскости. Положение задается 3 координатами(например, пара координат одной вершины и угол поворота многугольника вокург нее). Таким образом, получается система с 2n-3 степенями свободы, в то время как длины ребер накладывают лишь n условий, и при n>3 получается 2n-3>n. Говоря математическим языком, иммется n функций от 2n-3 переменных, сопоставляющие набору координат вершин набор квадратов длин ребер(берутся квадраты, чтобы функции получились полиномиальными) и при n>3 образ функции далеко не однозначно задает прообраз.


Проведем теперь аналогичное вычисление для многогранников. Форма многогранника с n вершинами задается 3n-6 параметрами(так как полжение многогранника в пространстве задается 6 параметрами). Посчитаем теперь количество ребер. Пусть их число равно e. Если f — число граней, то 3f=2e, так как к каждому ребру прилегают две грани, а каждая грань содержит 3 ребра. Применяя Формулу Эйлера, получаем n-e+2e/3=2, то есть e=3n-6. Получается, что число условий, накладываемых на многогранник в точности равно числу степеней свободы.


Это не означает, что длины ребер однозначно задают форму многогранника. Вполне возможно, у каждого набора длин ребер будет несколько прообразов среди форм многогранников, но они будут изолированными(как в примере в начале поста), но локально прообраз единственен. См. Теорема о неявной функции. Целое семейство прообразов, нужное для изгибания найдется только при условии вырожденности набора функций, см. Якобиан. Таким образом, для возможности изгибания комбинаторная структура многогранника должна задавать вырожденную систему уравнений на длины ребер и координаты вершин, что объясняет редкость изгибаемых многогранников.


После построения примеров изгибаемых многогранников математики начали изучать их свойства при изгибании. В 1996 Сабитов открыл удивительный факт — изгибаемый многогранник сохраняет объем при изгибании(точнее, он доказал более сильное утверждение — объем многогранника является корнем многочлена, коэфициенты которого полиномиально выражаются через квадраты длин ребер). Что примечательно, несмотря на недавность результата, доказательство совсем не сложно и понятно студенту-математику 1-2 курса.


Далее математики стали изучать многогранники старших размерностей. А. Гайфуллин доказал аналог теоремы Сабитова во всех размерностях и построил примеры изгибаемых многогранников всех размерностей.


Дополнительные материалы:



  1. Видео на сайте etudes.ru об изгибаемых многогранниках

  2. Статья И. Максимова об изгибаемых многогранниках с малым количеством вершин

  3. Лекция А.Гайфуллина

  4. Инструкция по склейке многогранника Штеффена


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Яндекс.Почта приняла Ice Bucket Challenge от Хабра и передает его Mail.Ru, Почте России и РЖД


сегодня в 21:21


Четыре часа назад команда Хабрахабра передала нам Ice Bucket Challenge, который команда Почты приняла в буквальном смысле этого слова во дворе Яндекса. На видео вы можете увидеть бесстрашных и уже закаленных dskut, katyaselenka, pono, riarheos, melodiana, bonifaci, goncharov2a, doochik ipronin, kneht и, пока руководитель Яндекс.Почты jogur_t в отпуске, за него обливается руководитель всего направления персональных сервисов anton_z.


И мы передаем вызов еще двум командам, которые делают почту, — Mail.Ru и Почте России — и Российским железным дорогам.




Только зарегистрированные пользователи могут оставлять комментарии.

Войдите, пожалуйста.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Интервью Илона Маска

Привет, Хабр. Надеюсь вы оцените по достоинству русскую озвучку интервью Илона Маска. Не буду многословен, это нужно смотреть.

Мечтатель и визионер Илон Маск рассказывает в интервью передаче «60 секунд» о своих компаниях Space-X и Tesla Motors, о взлётах и падениях своей бизнес-карьеры и даже немного пускает слезу.



Для любителей смотреть оригинал, есть ссылка.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.