-60%

Оформить подписку на «Хакер»:

4000 руб

на 1 год

920 руб

на 1 месяц

Хакер #189. Набор хакера за 100$

В продаже со 2 октября

  • Как Стив Джобс превратил Mac OS X в мобильную ОС
  • Злоупотребляем JSONP с помощью утилиты Rosetta Flash
  • Ищем ключи криптографических алгоритмов
  • Ковыряем самый маленький троян современности
  • Проверяем возможности сигнатурного поиска на модифицированных образцах малвари
  • Укрощаем потоки данных с помощью Python
  • Разбираемся с технологией Native Client от Гугла
  • Разбираем универсальный способ работы с содержимым в облачных хранилищах
  • Собираем набор полезных тулз для MySQL и клонов
Содержание
(Подписчикам доступно 29 статей)

COVER STORY

Полный набор безопасника за 100$

Скрытые камеры, жучки, локпикинг, клонирование ключей и многое другое

Наша цель — это портативные гаджеты, которые по праву можно внести в джентльменский набор хакера, начинающего детектива или специалиста по информационной безопасности. Сегодня мы раскроем темы использования и модификации различных спецустройств, которые еще недавно могли считаться уделом избранных.

PC ZONE

На смерть трукрипта

CyberSafe — шифровальщик на все случаи жизни

После закрытия разработки TrueCrypt армия любителей шифрования и секретности (в которой, как мы не раз говорили, уже давно должен состоять каждый айтишник) начала бороздить просторы интернета в поисках достойной альтернативы. В рамках этой статьи мы рассмотрим интересный и даже местами опенсорсный проект от отечественного производителя — CyberSafe Top Secret.

Системы управления проектами

Жизнь по agile

Рано или поздно в растущих компаниях бесплатная система управления проектами (читай: Redmine) перестает справляться с потоком приходящих задач, а ее минусы перевешивают все существующие плюсы. И именно тогда нужно сделать правильный выбор и заплатить за ту систему, которая будет соответствовать всем необходимым требованиям.

X-MOBILE

Без права на разгон

Ускоряем Android, не имея прав root

Будем честны: большинство интересных возможностей по настройке Droid-девайсов спрятаны и требуют рутования устройства. Тем не менее получать root предпочитают не все — кто-то из боязни потерять гарантию, другие из-за банальной лени. Мы решили рассмотреть альтернативные способы ускорения устройств на платформе от Google, для которых не нужно прав суперпользователя.

Карманный макинтош

История о том, как Стив Джобс превратил Mac OS X в мобильную ОС

Все в курсе, что мобильные девайсы Apple работают под управлением iOS. Многие знают, что iOS представляет собой облегченную версию настольной Mac OS X. Некоторые догадываются, что в основе Mac OS X лежит POSIX-совместимая ОС Darwin, а те, кто всерьез интересуется IT, в курсе, что основа Darwin — это ядро XNU, появившееся на свет в результате слияния микроядра Mach и компонентов ядра FreeBSD. Однако все это голые факты, которые ничего не скажут нам о том, как же на самом деле работает iOS и в чем ее отличия от настольного собрата.

ВЗЛОМ

Колонка Алексея Синцова

О внедрении SDLC…

Про SDLC, как и про пентесты, не писал разве что ленивый, а так как я не ленивый (врет он. — Прим. совести), то напишу и я. Особенно хочется поговорить про элементы и парадигмы SDLC в рамках гибких методологий разработки, в частности Agile, а также вообще про организацию безопасной разработки в современных софтверных компаниях.

Хитрая розеттка

Злоупотребляем JSONP с помощью утилиты Rosetta Flash

В этой статье мы познакомимся с Rosetta Flash (CVE-2014-4671, CVE-2014-5333) — утилитой, которая создает специальные SWF-файлы, состоящие из ограниченного набора символов, чтобы использовать их против конечных точек JSONP. Это позволяет проводить CSRF-атаки на домены, хостящие конечные точки JSONP, и обходить ограничение Same Origin Policy.

Криптография под прицелом

Ищем ключи криптографических алгоритмов

Криптография воспринимается как волшебная палочка, по мановению которой любая информационная система становится защищенной. Но на удивление криптографические алгоритмы могут быть успешно атакованы. Все сложные теории криптоанализа нивелируются, если известна малейшая информация о промежуточных значениях шифра. Помимо ошибок в реализации, получить такую информацию можно, манипулируя или измеряя физические параметры устройства, которое выполняет шифр, и я постараюсь объяснить, как это возможно.

MALWARE

20 кило ассемблера

Ковыряем самый маленький троян современности

Этот троян запросто мог бы затеряться среди тысяч своих собратьев по ремеслу, если бы не одно «но». Согласись, в нынешнем мире гигабайт, гигагерц и сотен тысяч строк кода не каждый день можно встретить полноценную банковскую малварь размером чуть меньше двадцати килобайт, да и к тому же полностью написанную на асме.

][-тест: on demand сканирование

Проверяем возможности сигнатурного поиска на модифицированных образцах

То, что сигнатурный поиск начинает пасовать в случае небольшой модификации кода вируса, известно уже давно. Надо сказать, что за годы эволюции антивирусы достигли определенных успехов в преодолении этой проблемы, но XXI век принес в стан антивирусов новый порок: в погоне за наградами в независимых исследованиях независимых (кавычки ставить? :)) лабораторий производители антивирусов начали детектировать вредоносные файлы по MD5-хешам. Результат хороший, вот только один измененный байт в коде малвари приводит к изменению хеша, и файл полностью перестает детектироваться. Кто из современных антивирусов грешит подобным подходом? Проверим в этом исследовании!

КОДИНГ

Перпетуум мобиле на генераторах

Укрощаем потоки данных с помощью Python

В последнее время информация постепенно становится «новой нефтью» с точки зрения ценности. Проблема только в том, что объемы данных, которые приходится обрабатывать, растут не по дням, а по часам. Не все уже влезает даже на винчестер, не говоря уже об оперативной памяти, а на собеседованиях все чаще пугают задачками в духе «сравни на лету два петабайтных файла». Но к счастью программистов, необязательно заставлять машину давиться такими объемами, когда для поточной обработки можно использовать итераторы и генераторы, а еще язык программирования Python, который отлично их поддерживает. Хочешь, расскажу?

C++ в браузере

Вкуриваем в технологию Native Client от Гугла

Наша жизнь все больше перемещается в Сеть. Браузер стал главной программой на ПК, а Гугл вовсю штампует ноутбуки с Chrome вместо полноценной ОС. Казалось бы, в этих условиях перспективы обычных, не веб-ориентированных языков программирования крайне сомнительны. И тем не менее нас, старых добрых хардкорных программистов на си приплюснутом, еще рано списывать на свалку истории — мы все еще получаем кучу денег :), потому что без нормального машинного кода до сих пор никто не обходится.

Полный гайд по альтернативным мобильным осям

Windows Phone, Baidu Yi, Ubuntu Touch, Tizen, WebOS, FirefoxOS и многие другие

Google Play и App Store поражают воображение потребителя разнообразием товара, как Черкизовский рынок в его лучшие годы. Разработчикам-одиночкам, которые хотят раскрутить свое приложение без внушительного бюджета на продвижение, там ловить уже нечего. Но развитие человечества не останавливается, и в мире регулярно появляются новые мобильные операционные системы и магазины приложений для них. ][ расскажет тебе о всех значимых мобильных операционках и посоветует, с какого конца подойти к разработке приложений для каждой из них.

Задачи на собеседованиях

Спецподгон: задания от Mail.Ru Group

Однажды мы заслали в Mail.Ru Group нашего агента, мощного хакера и вообще крутого парня Павла Круглова. Дали ему задачу разведать, как там и что, выяснить, много ли платят, есть ли там офис мечты со столиками для игры в маджонг и капсулы для дневного сна, а если все отлично — то и задачками для этой рубрики разжиться. С тех пор мы Пашу больше не видели, но по странному совпадению он нам теперь пишет с адреса @corp.mail.ru. :)

UNIXOID

Неприкосновенный запас

Разбираем универсальный способ работы с содержимым в облачных хранилищах

Личное облачное хранилище данных уже давно стало такой же привычной вещью, как email, Twitter и социальные сети. Благодаря Dropbox, Google Drive и Яндекс.Диску каждый может получить в личное пользование «маленький сетевой диск», который обойдется ровно в 0 $ на практически бесконечный срок. Однако публичные облака имеют недостатки: мнимая конфиденциальность, ограничения на объем данных, зависимость от ширины интернет-канала. Решить все эти проблемы можно, создав свой собственный облачный диск.

Лево руля, право руля

Обзор средств администрирования OpenLMI

Linux поддерживает очень разнообразный набор средств управления. С одной стороны, это хорошо — у пользователей есть право выбора. Но, с другой стороны, именно это многообразие не совсем удобно для корпоративного сектора, где зачастую нужно управлять десятками и сотнями компьютеров. В последнее время появилось немало инструментов для облегчения данной задачи, один из которых мы и рассмотрим.

SYNACK

Двое из ларца, одинаковы с лица

Использование Packer для создания идентичных образов ОС и development- и production-окружений

С началом активного развития Web’а появилась проблема синхронизации набора ПО, его версий и настроек для production- и development-окружений. Создатель Vagrant придумал новый инструмент, который должен помочь решить эту проблему, — Packer.

Базовая амуниция

Собираем набор полезных тулз для MySQL и клонов

Практически любое современное клиент-серверное приложение не обходится без СУБД, и в большинстве организаций обслуживание серверов баз данных лежит исключительно на плечах сисадмина. Штатные инструменты позволяют решить только базовые задачи, и их функций не всегда достаточно. Утилиты сторонних разработчиков сделают администрирование MySQL и клонов очень простым.