Временная скидка 60% на годовую подписку!
Главная Материалы журнала

Материалы журнала

Xakep #232

Android: обзор Android Go, новые механизмы защиты Android P и обратный шелл с помощью Frida

Сегодня в выпуске: отличия облегченного Android Go от стандартного Android, новые механизмы защиты Android P, инструкция по внедрению обратного TCP-шелла в Android с помощью Frida, распознавание лиц и текста с помощью ML Kit, генерация кода Kotlin с помощью аннотаций и описание новейшего MotionLayout. А также: подборка ссылок на ресурсы, облегчающие дизайн UI, и 14 свежих библиотек.

Xakep #231

Android: куда смартфоны сливают данные, 10 вопросов о Kotlin и запуск shell-кода с помощью JIT

Сегодня в выпуске: выполнение shell-кода с помощью JIT-компилятора, рассказ о том, куда смартфоны сливают данные, десять самых популярных вопросов о Kotlin, рассказ о WorkManager и Slices, представленных на Google I/O, и, конечно же, подборка свежих инструментов и библиотек.

5 неизвестных функций Википедии

Думаю, что многие из вас даже не подозревали, что на сайте Википедии можно зарегистрироваться. Ещё меньше людей знают о том, что у Википедии есть бета-секция, в которой можно включить достаточно интересные функции, о которых мы расскажем ниже.

Как я учил Ruby on Rails за три ночи. И так и не выучил

Я уже давно хотел изучить Ruby on Rails на каком-то базовом уровне. Без конкретной цели. Скорее просто для себя, чтобы лучше понять, что же в нем такого особенного (в отличие от 100500 других технологий и фреймворков), что позволяет быстро создавать и масштабировать довольно нагруженные интернет-проекты. Вторичной причиной стало желание попробовать новые подходы к обучению. Когда я учился на программиста, у нас были только книги и форумы, где можно спросить совета. Сейчас есть интерактивные учебники и онлайн-школы программистов, огромное количество скринкастов (почти мечта: смотреть, как программируют гуру), базы знаний вроде stackoverflow.com и тонны исходных кодов на GitHub, где можно часами изучать исходники настоящих профи. Следующие несколько ночей (а днем банально некогда) я решил выделить на то, чтобы попробовать новые способы обучения в действии.

Комфортный шелл — это как?

В последнее время мне довольно много приходится работать в консоли с удаленными серверами. Поймал себя на мысли, что, несмотря на 2014 год, ощущения от работы по SSH напоминают времена, когда был только Telnet. Но после некоторых экспериментов жизнь стала заметно лучше.

Машинное обучение для домохозяек

Когда-то давно я рассказывал, как проходил курс по машинному обучению на Coursera. Курс ведет Andrew Ng, который объясняет все настолько простыми словами, что довольно сложный материал поймет даже не самый усердный студент. С тех пор тема машинного обучения мне стала близка, и я периодически смотрю проекты как в области Big Data (читай предыдущую колонку), так и в области машинного обучения .

Big Data для безопасности

Любовь к цифрам Есть у меня большая тяга к анализу и визуализации различных метрик. Круто, когда есть много данных и можно проанализировать, как они менялись исходя из каких-то внешних событий. Возможно и обратное: изменения каких-то метрик могут свидетельствовать о возникновении некоторых событий, и этим нехитрым приемом многие активно пользуются. В том числе в информационной безопасности. YaC и Etsy Например, в …

Оцифруй себя: сервисы мониторинга жизнедеятельности

Еще в прошлого года я начал довольно любопытный эксперимент — попытку оцифровать себя. Не в том плане, чтобы вживить себе какой-нибудь имплантат с программным управлением, который бы сразу прибавил мне +20 к памяти или +30 к умению считать в уме (хотя это было бы прекрасно). Идея гораздо проще и куда более реальна: собрать и проанализировать различные показатели своей жизнедеятельности.

MIDAS или как защитить OS X

Неожиданно для себя оказался на конференции по безопасности АСУ ТП (промышленного производства). Если ты уже спешишь закрыть страницу, не пугайся — колонка ни в коем случае не о том, как я защищал инфраструктуру очистительных сооружений для водоканала г. Мухосранск (хотя не без этого — читай статью :)).

Как узнать IP ламера

Начну с небольшого тизера. В следующем номере у нас будет материал, в котором мы собрали самые разные утилиты с последних хакерских конференций. Просматривая его, я наткнулся на утилиты HoneyBadger & PushPin и подумал: «Где ж вы были раньше?» Объясню: за последнее время меня не раз спрашивали, как можно определить месторасположение какого-то пользователя. Причины у людей разные, но цель всегда была одна — понять, где физически находится человек. Точкой на карте, не иначе :).

Параноик? Нет! Кажется, нет

Паранойей я, в общем-то, не страдаю. Когда нечего скрывать, не так уж сильно и запариваешься, что кто-то может читать твою почту или получить пароль к твоему ящику. Никакой папки top secret никто там не найдет — ее там просто нет

Про мониторинг сервера

Хочу поделиться с тобой настоящей находкой. Не так давно я познакомился с инструментом, который теперь использую ежедневно. Я говорю о сервисе мониторинга New Relic. Мне не раз про него рассказывали, но, по правде говоря, каждый раз я пропускал это мимо ушей, потому что сложный мониторинг мне никогда нужен не был.

Про бесплатный Wi-Fi

Мне довольно часто приходится быть в разъездах, и поиск работающего Wi-Fi часто превращается в занудный квест. С многочисленными хотспотами возникают бесконечные неполадки. Иной раз кажется, что нормальный инет — это слишком высокое требование к гостинице/кафе. Очень часто с этой проблемой ничего не сделаешь, однако есть несколько лайфхаков, которые могут быть полезными в охоте на Сеть.

Битва мозгов

За последний месяц я оказался сразу на двух соревнованиях, где состязались программисты. И это были настолько разные форматы, что о каждом стоит рассказать подробно.

Десант Facebook’а в Москве

Марк Цукерберг, по духу истинный хакер (в самом хорошем смысле этого слова) мог бы стать отличным героем нашего интервью. Увы, уловить его хотя бы не полчасика для разговора не удалось — ничего, получится в следующий раз. Зато с Марком в Москву высадился целый десант сотрудников Facebook, включая самую интересную для нас категорию людей — разработчиков. Жизнерадостные парни, сияющие от причастности к разработке сервиса, который в буквальном смысле меняет мир, с упоением рассказывали много интересных вещей.

Бэкап бэкапов

Есть у нас в издательстве милая девушка Вера, которая каждый месяц делает страшное. Она берет рабочие файлы одного из прошлых номеров «Хакера» (тексты, иллюстрации и фотографии, файлы верстки) и заливает их на DVD-болванку. Для архива. Со временем файлы из рабочей папки автоматически удаляются, чтобы сетевое хранилище не забивалось под завязку, но файлы всегда остаются в архиве на болванке. В теории. На практике не раз оказывалось, что файлов нужного номера может не оказаться. Или, к примеру, на болванке, где должны быть файлы январского номера прошлого года, легко могут оказаться файлы февральского. Ну что взять с ручной работы? Естественно, это давно надо было автоматизировать, однако технической возможности не было. Журналов много, файлы большие — админы уверяют, что никаких их NAS’ов для такого объема не хватит (особенно если нужно гарантировать целостность данных). Пришлось все брать в свои руки. Где разместить гигабайты данных максимально дешево? Максимально надежно и как можно более дешево? Пока я думал над этим вопросом, Amazon анонсировал свой новый сервис Amazon Glacier. Это явно было послание свыше :).

О быстром создании виртуальных машин

Один из важных плюсов облачных сервисов — возможность быстро поднять столько серверов, сколько нужно. Хочешь два — будет тебе два. Хочешь сто — два клика мышью и будет сто. Все зависит только от твоего кошелька, платформа же позволяет развернуть столько виртуальных серверов (с нужными ресурсами), сколько тебе нужно. С виртуальной машиной на домашнем компьютере такой фокус не проходит. Чтобы создать виртуалку, задать ей нужные настройки и, что муторнее всего, установить ОС, уходит уйма времени. В один момент мне стало интересно: а можно ли как-то автоматизировать процесс и разворачивать новые виртуальные машины по-настоящему быстро? Ну, то есть указать что-то вроде: "Хочу три виртуальные машины с такими-то настройками и установленную на них Ubuntu последней версии" — и получить эти три виртуальные машины без лишнего геморроя. В поисках подходящего решения я наткнулся на открытый проект Vagrant.

О хранении паролей

Использовать один и тот же пароль для всех сервисов сразу — одна из самых серьезных ошибок пользователей. Но и удержать в голове огромное количество уникальных пассов — задача явно непосильная. Я долго пытался приучить себя к использованию менеджеров паролей вроде KeyPass, но из этого так ничего и не вышло. Открывать программу, чтобы искать там нужный пароль — явно не самое удобное, что можно придумать. Да и локальное хранилище, в котором находятся зашифрованные пароли, попахивает архаизмом — не таскать же его на флешке? :) Короче говоря, я решил попробовать решения, которые так же, как и KeyPass, помогали бы генерировать уникальные пароли и сохранять их, но вдобавок автоматически использовали бы их в браузере! Вариантов тут не так много.

Виртуальная машина на флешке

Несмотря на то, что я все больше использую разные онлайн-сервисы для решения многих задач, на флешке у меня всегда есть набор незаменимых portable-приложений, которые запускаются без установки на любом компьютере. Разработчики сами часто выкладывают портабельные версии своих продуктов. Но если даже нет, то за них это зачастую делают энтузиасты. В конце концов, сейчас уже каждый может скачать замечательную утилиту Cameyo и …

Про то, как я Python с Excel’ем подружил

Есть миллионы людей, которые бесхитростно работают в Excel с самыми обычными электронными таблицами. Есть очень редкие гики, которые используют максимум возможностей встроенного VBA-языка, чтобы, к примеру, обойти ограничение на запуск менеджера задач, реализовав свой собственный. Я отношусь к первому типу :). Я сильно не люблю составлять отчеты.«Вот если бы в Excel был встроен Python для скриптинга, то все было бы в десять раз проще», — подумал я и набрал в Google: «excel with python». Оказалось, что подобной ерундой был озадачен не только я :).

Как заблокировать трафик на сайте из определенного региона?

Недавно столкнулся с проблемой: на сайт в огромном количестве повалил китайский трафик. Оказалось, что одна из размещенных на моем хосте картинок попала в китайские блоги. Провайдер, у которого я арендую сервер, тут же забил тревогу о несоответствии соотношений (три к двум) российского и зарубежного трафиков.

Про HTTP-туннелирование

Понадобилось мне тут на днях воспользоваться достаточно известным приемом, а именно — HTTP-туннелингом. О существовании решений, позволяющих создать TCP-соединение поверх HTTP-запросов, я знал давно, но на практике никогда не использовал

Колонка редактора: Синергия двух мониторов

Один из лучших способов увеличить собственную продуктивность — обзавестись вторым монитором. Дополнительное рабочее пространство пригодится всем. Я, к примеру, привык работать так, что в системе одновременно запущено два десятка программ, а в браузере открыто море вкладок

Про TeamViewer и удаленный рабочий стол

Не могу не поделиться восхищением по поводу развития проекта TeamViewer. С этим инструментом я познакомился довольно давно, когда мне потребовалось быстро подключиться к удаленному рабочему столу компьютера, который находился за NAT.

Анализатор поверхности атаки

Вечная тема — безопасность Windows. Любая критическая ошибка дорого обходится Microsoft. Иногда баг превращается в катастрофу. Достаточно вспомнить 2003 год, когда в результате эпидемии «Бластера» было заражено более 1 500 000 компьютеров по всему миру

Xakep #112

Энциклопедия антиотладочных приемов. Трассировка, или игры в прятки

Обзор антиотладочных приемов мы начнем с базовых понятий, фундаментальным из которых является трассировка (или пошаговое исполнение кода). Сначала мы узнаем, зачем нужна трассировка, как и в каких целях она используется отладчиками, по каким признакам защитный код может определить, что его трассируют, и какие примочки к отладчикам позволят хакеру избежать расправы.

25 лет «Хакеру»!

Еженедельный дайджест

Спасибо за подписку! Мы будем присылать важные новости ИБ в еженедельном дайджесте
Ошибка при подписке Случилась ошибка при создании подписки на наш дайджест. Пожалуйста, попробуйте позднее
Важные события и скидка на подписку:
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
4000 р.
на год
920 р.
на месяц

«Хакер» в соцсетях

Материалы для подписчиков