Зачем в криптоалгоритмах нужны «магические» константы и что будет, если их поменять? В этой статье мы препарируем программную защиту, использующую кастомный поточный шифр. С помощью x32dbg и IDA Pro мы восстановим алгоритм, найдем его корни в известном GSM-шифре и разберем, как ошибки в тактировании регистров приводят к катастрофическим коллизиям. Ты увидишь, почему попытки «улучшить» классические криптоалгоритмы превращают защиту в тыкву и как подобные баги выявляются в ходе реверса.

Meshtastic — это децентрализованная меш‑сеть, позволяющая передавать короткие сообщения на десятки километров без интернета, через цепь промежуточных узлов — нод. Она основана на протоколе LoRa, созданном для передачи данных на большие расстояния. Сегодня мы узнаем, как устроен Meshtastic изнутри, какие у него есть проблемы и ограничения.

Хоть Кирилл и не был силен в юриспруденции, но твердо знал: держать несовершеннолетнего в отделении без серьезных на то оснований дольше трех часов не позволяет закон, после этого с подростком должны находиться либо родители, либо педагог или защитник. За уличную драку, если дело обошлось без серьезных травм или тяжких телесных, обычно и вовсе отпускали с предупреждением. В его родном Подгорске разборки среди молодежи из разных районов считались обычным делом, он и сам не раз попадал в милицию по разным поводам, то один, то за компанию с Санчо. Однако сейчас, если верить словам Маши, кому‑то разбили в потасовке не только нос, но и мобильник, и это могло обернуться уже более серьезными последствиями. Если, конечно, владелец телефона напишет заявление, в чем Кирилл искренне сомневался.

Второй удар пришелся в плечо — не такой сильный, но достаточный, чтобы вогнать разум в глухую, животную панику. Кирилл попытался закрыться руками и, отступая, наткнулся спиной на шершавые доски забора. Торчащая меж штакетин ветка чахлого деревца больно ткнула в лопатку, по спине пробежал холодный ток — смесь страха и злости.

Врачей в районной поликлинике Кирилл прошел быстро: ему померили давление, окулист заставил прочитать мелкие буквы на табличке и назвать цифры, изображенные на листках с цветными кружочками, а лор, стоя за спиной, заговорщицки шептала слова, которые требовалось произнести вслух. Причем пройти всех специалистов удалось без предварительной записи, просто произнеся магическое заклинание «водительская медкомиссия», которым с ним поделились в регистратуре. Сложности начались в районном психоневрологическом диспансере, где внезапно обнаружилась очередь из охранников и охотников, пришедших сюда оформлять справки для разрешения на оружие.

Время от времени Кириллу казалось, что человечество делится не на мужчин и женщин, не на богатых и бедных, а на тех, кто способен понять принцип работы компьютера, и тех, кто смотрит на него, как на икону, ожидая, что чудо произойдет само собой. Причем вторых в процентном соотношении, как оказалось, подавляющее большинство. Запустить на компе вложенного в письмо с обещанием халявы трояна‑шифровальщика ума у них вполне хватило, а вот выполнить несколько простых действий, чтобы вернуть потерянные файлы, — уже нет. Кирилл приделал к своему расшифровщику простой интерфейс: юзерам всего‑то нужно было указать программе путь к поврежденным данным и фрагменту исходного документа при его наличии да ответить на пару вопросов. Но и это оказалось для большинства чересчур сложной задачей, даже несмотря на выложенную на сайте подробную инструкцию. Один страдалец между делом обвинил Кирилла в том, что тот сам распространяет энкодеры с целью поживиться на несчастных жертвах вымогателей, многие же просто ругались, что утилита не работает, хотя сами не сумели выполнить простую последовательность из нескольких действий. Как говорил Альберт Эйнштейн, «бесконечны только Вселенная и глупость человеческая», и в этом Кирилл был полностью солидарен с великим ученым.

Лежащий на полу возле надувного матраса телефон пронзительно задребезжал, вырывая Кирилла из теплых объятий сна. Он нащупал рукой вибрирующую трубку, глянул на экран, с трудом разлепив глаза, и вдавил кнопку приема звонка. Этому абоненту следовало ответить, даже несмотря на то, что тот решил разбудить его в девять часов утра, да еще и в выходной.

Борис Семенович остановился в прихожей и огляделся.

Иногда кажется, что интернет — это огромный аквариум, в котором плавают миллионы разноцветных рыб. Ты смотришь на них сквозь стекло монитора: вот одна сверкает нарядной чешуей, другая машет ярким хвостом аватарки, третья лениво пускает пузырьки пустых слов. Но стоит прижать ладонь к стеклу, и ты понимаешь: оно холодное и непроницаемое. Тянуть руку внутрь бессмысленно — рыбам все равно, кто любуется на них по ту сторону экрана.

Прошлые отношения чем‑то похожи на старый рекламный баннер в интернете. Ты уже давно его не замечаешь, пролистываешь страницу не глядя, но где‑то в глубинах сайта он продолжает мигать тусклой надписью «Купи счастье», пока не приходит момент и ты вдруг не наводишь на него курсор мыши, чтобы звонко щелкнуть ее левой клавишей. Кирилл щелкнул. Только на этот раз «ссылка» вела в глубины форума, где среди аватарок и никнеймов прятались чужие жизни, а заодно — нужные ему контакты для связи с той, что называла себя WWWедьмой.

— Как тебя зовут, я в квитанции подсмотрел, — хитро прищурившись, пояснил Борис Семенович, — у тебя же почтовый ящик не запирается. А еще слышал на днях, когда на лавке у парадной сидел, как пацаны с соседнего дома обсуждали, что ты в местном компьютерном клубе работаешь. Ты как раз мимо проходил, они тебя и узнали. Ну так что, зайдешь?

По перронам Финляндского вокзала, будто по дюнам Финского залива, гулял стылый ветер. Паровоз с номером 293 замер в своем стеклянном саркофаге, провожая погасшими глазами фар спешащих на электрички пассажиров. Когда‑то, в 1917 году, он привез в Петроград Ленина и в наказание за этот проступок остался навеки заточенным за стеклом, словно в прозрачной глыбе льда. А сам Ильич замер бронзовым истуканом неподалеку — на привокзальной площади.

Мир чем‑то похож на странный вендинговый автомат по продаже последствий твоих собственных поступков. Ты бросаешь туда действия, а в ответ он порой выдает что‑то совершенно неожиданное, и самое обидное, что инструкции к этому автомату не прилагается. Возня с «Икс‑Байтом» заняла гораздо больше времени, чем Кирилл рассчитывал изначально, поэтому заранее купленный обратный билет пришлось сдать. Когда он все‑таки собрался возвращаться, внезапно выяснилось, что свободных мест в поездах уже не осталось. Он купил билет на самолет, , причем через Москву, и добрался до ближайшего к Подгорску аэропорта на междугороднем автобусе. Однако на этом злоключения не закончились: его рейс улетел в столицу с опозданием, из‑за чего Кирилл пропустил свой самолет в Питер. До следующего оставалось целых три часа, которые предстояло чем‑то занять.

Эта история — продолжение романа «Хакеры.RU», который мы начали публиковать на страницах «Хакера» ровно год назад. Рассказ о приключениях Кирилла и Трикси запомнился нашим читателям, и мы решили вновь вернуться к этим героям, чтобы рассказать о том, как сложилась их дальнейшая судьба.

Тиражи ограничены, а некоторые выпуски почти распроданы. Если ты планируешь собрать коллекцию бумажных сборников «Хакера» с лучшими материалами последних лет, сейчас самое время.

Настало время снова подводить итоги года, то есть хвастаться всем тем, над чем мы в «Хакере» усердно трудились очередные двенадцать месяцев. Сегодняшняя колонка — в равной мере годовой отчет о работе и небольшой путеводитель по лучшим статьям.

Как выглядел уходящий год в мире кибербезопасности? Взлом автопроизводителя повлиял на экономику целой страны. ИИ‑браузеры оказались дырявее решета. Самораспространяющиеся черви скомпрометировали десятки тысяч разработчиков. 2025-й был богат на интересные события, и мы, как всегда, отобрали для тебя самое важное, странное и эпичное из того, что происходило последние двенадцать месяцев. Только самые яркие события, и ни одной скучной истории. Погнали!

Сегодня разберемся с практической стороной хешкрекинга: установим драйверы CUDA и OpenCL, сравним программы для взлома хешей и проверим, есть ли разница в скорости на разном железе, — ура, бенчмаркинг! Заодно узнаем, с какими методами защиты паролей приходится иметь дело хешкрекерам, что делать с «дорогими» алгоритмами, как посчитать время подбора пароля и что такое хешрейт.